SlideShare uma empresa Scribd logo
1 de 123
IMPRESE E PRIVACY: MODIFICHE
 LEGISLATIVE E ANALISI DEI PIÙ
 RECENTI PROVVEDIMENTI DEL
          GARANTE


       Roma, 29 febbraio 2012



                                 1
Il codice della privacy
 Il Codice della Privacy è stato adottato con
  il Decreto Legislativo 30 giugno 2003
  n.196 e regola il trattamento dei dati
  personali
 Il Codice ha sostituito la legge 675/96




                                             2
Direttiva 2009/136/CE
   modifica della direttiva 2002/22/CE relativa al
    servizio universale e ai diritti degli utenti in materia
    di reti e di servizi di comunicazione elettronica,
    della direttiva 2002/58/CE relativa al trattamento
    dei dati personali e alla tutela della vita privata nel
    settore delle comunicazioni elettroniche e del
    regolamento (CE) n. 2006/2004 sulla
    cooperazione tra le autorità nazionali responsabili
    dell’esecuzione della normativa a tutela dei
    consumatori

                                                           3
Recepimento
   La legge 15 dicembre 2011, n. 217,
    pubblicata in Gazz. Uff. del 2 gennaio
    2012, contiene, all’art. 9, una delega al
    Governo affinché adotti, entro tre mesi
    dalla data di entrata in vigore della legge
    stessa, un decreto legislativo di
    recepimento della direttiva


                                                  4
Regolamento
   Proposta di Regolamento europeo e del
    Consiglio concernente la tutela delle
    persone fisiche con riguardo al
    trattamento dei dati personali e la libera
    circolazione di tali dati




                                                 5
Garante
 Diminuito il numero dei ricorsi, reclami,
  segnalazioni e quesiti
 Diminuite le istanze di accesso
 Diminuito il numero delle ispezioni
 Diminuite le sanzioni (3 ml di euro)




                                              6
Applicabilità del Codice
 Art. 5: a chiunque è stabilito nel territorio
  dello Stato
 Il Codice si applica anche al trattamento di
  dati personali effettuato da chiunque è
  stabilito nel territorio di un Paese non
  appartenente all'Unione europea e
  impiega, per il trattamento, strumenti
  situati nel territorio dello Stato
                                              7
Nozione di stabilimento
 Anche “tramite un semplice ufficio, gestito
  da persone dipendenti dall’impresa”
  (Corte di Giustizia: Reinhard Gebhard)
 Ovvero per mezzo dell’azione di un
  semplice agente (Corte di Giustizia: Daily
  Mail)
 Caso Vividown c. Google
 Problema del cloud computing

                                                8
Proposta di Regolamento
 Il luogo di stabilimento coincide con quello
  “in cui sono prese le principali decisioni
  sulle finalità, le condizioni e i mezzi del
  trattamento dei dati personali”
 Non si tratta di un criterio di individuazione
  giuridico (es. la sede sociale) né fisico (es.
  luogo dove si trovano materialmente i dati
  personali)
                                               9
Prop. Regolamento – Extra UE
 Se le decisioni non sono adottate nell’UE,
  lo stabilimento coincide col “luogo in cui
  sono condotte le principali attività di
  trattamento nell’ambito delle attività di uno
  stabilimento di un responsabile del
  trattamento nell’Unione”
 Nessuna novità significativa per quanto
  riguarda i gruppi di imprese

                                              10
Principi fondamentali nel Codice
               della Privacy
    Il trattamento dei dati personali si fonda
     su cinque principi fondamentali:
    a) correttezza e pertinenza (art. 11)
    b) notificazione (art. 37)
    c) informativa (art. 13)
    d) consenso dell’interessato (art. 23);
    e) diritti dell’interessato (art. 7)

                                             11
Definizioni. Trattamento
   Qualunque operazione o complesso di
    operazioni, effettuati anche senza l'ausilio di
    strumenti elettronici, concernenti la raccolta, la
    registrazione, l'organizzazione, la
    conservazione, la consultazione, l'elaborazione,
    la modificazione, la selezione, l'estrazione, il
    raffronto, l'utilizzo, l'interconnessione, il blocco,
    la comunicazione, la diffusione, la cancellazione
    e la distruzione di dati, anche se non registrati in
    una banca di dati.

                                                        12
Modalità di trattamento
I dati devono essere:
 trattati in modo lecito e secondo correttezza;
 raccolti e registrati per scopi determinati, espliciti e legittimi,
   ed utilizzati in altre operazioni del trattamento in termini
   compatibili con tali scopi;
 esatti e, se necessario, aggiornati;
 pertinenti, completi e non eccedenti rispetto alle finalità per le
   quali sono raccolti o successivamente trattati;
 conservati in una forma che consenta l'identificazione
   dell'interessato per un periodo di tempo non superiore a
   quello necessario agli scopi per i quali essi sono stati raccolti
   o successivamente trattati.

                                                                    13
Definizioni. Dato personale/
             dato sensibile
   Dato personale è qualunque informazione relativa a persona
    fisica, persona giuridica, ente od associazione, identificati o
    identificabili, anche indirettamente, mediante riferimento a
    qualsiasi altra informazione, ivi compreso un numero di
    identificazione personale.
   Dato sensibile è quel dato idoneo a rivelare l'origine razziale
    ed etnica, le convinzioni religiose, filosofiche o di altro genere,
    le opinioni politiche, l'adesione a partiti, sindacati,
    associazioni od organizzazioni a carattere religioso, filosofico,
    politico o sindacale, nonché i dati personali idonei a rivelare lo
    stato di salute e la vita sessuale


                                                                     14
Garante 19.6.2008
   Semplificazioni di taluni adempimenti in ambito
    pubblico e privato rispetto a trattamenti per finalità
    amministrative e contabili
   “Diverse realtà, specie imprenditoriali di piccole e medie
    dimensioni, trattano dati, anche in relazione a obblighi
    contrattuali, precontrattuali o di legge, esclusivamente
    per finalità di ordine amministrativo e contabile (gestione
    di ordinativi, buste paga e di ordinaria corrispondenza
    con clienti, fornitori, realtà esterne di supporto anche in
    outsourcing, dipendenti)”.


                                                             15
Art. 34 comma 1-ter
   Ai fini dell'applicazione delle disposizioni in materia di
    protezione dei dati personali, i trattamenti effettuati per finalità
    amministrativo - contabili sono quelli connessi allo
    svolgimento delle attività di natura organizzativa,
    amministrativa, finanziaria e contabile, a prescindere dalla
    natura dei dati trattati.
   In particolare, perseguono tali finalità le attività organizzative
    interne, quelle funzionali all'adempimento di obblighi
    contrattuali e precontrattuali, alla gestione del rapporto di
    lavoro in tutte le sue fasi, alla tenuta della contabilità e
    all'applicazione delle norme in materia fiscale, sindacale,
    previdenziale-assistenziale, di salute, igiene e sicurezza sul
    lavoro.
                                                                      16
D.L. 13 maggio 2011, n. 70
   Conv. dalla legge 12 luglio 2011, n. 106
   “Il trattamento dei dati personali relativi a
    persone giuridiche, imprese, enti o associazioni
    effettuato nell'ambito di rapporti intercorrenti
    esclusivamente tra i medesimi soggetti per le
    finalità amministrativo-contabili, come definite
    all'articolo 34, comma 1-ter, non e' soggetto
    all'applicazione del presente codice”
   Nozione di abbonato?

                                                       17
I soggetti




             18
Correttezza e pertinenza del
              trattamento
      L’art. 11 del Codice, prima di ogni altra prescrizione, impone al
       titolare di trattare i dati:
    a)      in modo lecito e secondo correttezza;
    b)      per scopi determinati, espliciti e legittimi
    c)      in altre operazioni solo per ragioni compatibili con gli scopi
            originari;
    d)      esatti e, se necessario, aggiornati;
    e)      pertinenti, completi e non eccedenti rispetto alle finalità per le
            quali sono raccolti e successivamente trattati;
    f)      in forma identificativa solo per il tempo necessario per il
            perseguimento dei predetti scopi (es. videosorveglianza).
      I dati trattati in violazione di tali prescrizioni non possono essere
       utilizzati e il titolare è obbligato al risarcimento dei danni eventuali
       subiti dall’interessato.
                                                                        19
Il titolare del trattamento
   È il soggetto cui competono le decisioni in
    ordine alle finalità, alle modalità del trattamento
    di dati personali e agli strumenti utilizzati
   Se il trattamento è effettuato da una persona
    giuridica, titolare del trattamento è titolare del
    trattamento è l'entità nel suo complesso o l'unità
    od organismo periferico che esercita un potere
    decisionale del tutto autonomo sulle finalità e
    sulle modalità del trattamento (es. società
    italiana di un gruppo di società)

                                                     20
Il responsabile del trattamento
    Il responsabile del trattamento è la persona fisica o
     giuridica preposta dal titolare al trattamento:
    a) scelto tra soggetti competenti;
    b) designato in forma scritta;
    c) con predeterminazione analitica dei compiti
    Il titolare può nominare anche più responsabili, anche
     con suddivisioni dei compiti (e/o dei trattamenti: ad es.,
     responsabile dei trattamenti dei dati relativi al rapporto di
     lavoro, responsabile delle misure di sicurezza, etc.).
    Può essere anche un soggetto esterno rispetto alla
     struttura imprenditoriale
                                                               21
Responsabile della protezione
dei dati
   Bozza Regolamento comunitario
   obbligatorio per tutte le imprese che abbiano almeno
    250 dipendenti
   soggetto dotato di specifiche qualifiche professionali,
    inclusa la conoscenza specialistica della normativa
   designato per un periodo minimo di due anni,
    rinnovabile
   il suo nome e le sue coordinate di contatto devono
    essere comunicati al pubblico

                                                              22
L’incaricato del trattamento
    Affinché dipendenti e/o collaboratori possano
     procedere al trattamento, è necessario nominarli
     incaricati del trattamento (art. 30):
    a) La nomina deve provenire dal titolare o dal
        responsabile
    b) La nomina deve essere formalizzata per
        iscritto e deve predeterminare l’ambito del
        trattamento consentito


                                                  23
L’incaricato del trattamento
   La nomina dell’incaricato non amplia la sfera
    delle mansioni assegnate al dipendente ma si
    limita a conferirgli il potere di svolgere le
    operazione di trattamento dei dati. Non deve
    quindi essere oggetto di alcuna contrattazione.
   L’incaricato deve agire sotto la diretta autorità del
    titolare o del responsabile, attenendosi alle
    istruzioni impartite.


                                                      24
Cloud Computing




                  25
Tre figure

 Private cloud: data center, la proprietà dei
  server è dell’impresa
 Public cloud: la proprietà dei server è di un
  soggetto esterno
 Hybrid cloud




                                             26
Indicazioni del Garante
   Scegliere servizi affidabili
   Preferibili soluzioni che consentano un
    salvataggio dei dati in remoto (procedure di back
    up)
   Analizzare responsabilità nelle condizioni
    generali di contratto
   Tempo di conservazione dei dati
   Obblighi formativi per i dipendenti


                                                   27
Problemi
 Legge applicabile
 Nomina di responsabili o titolari
  autonomi?
 Informativa/consenso




                                      28
Notificazione


Art. 37 del Codice



                     29
L’obbligo di notificazione
 Legge 675/96 (art. 7): il titolare era
  obbligato alla notificazione di tutti i
  trattamenti di dati effettuati, salvo quelli
  espressamente esclusi.
 Codice (art. 37): il titolare è obbligato
  alla notificazione dei soli trattamenti
  espressamente individuati dalla Legge.

                                             30
I trattamenti da notificare
    L’art. 37 del Codice obbliga il titolare alla notificazione
     solo se il trattamento riguarda:
    a) dati genetici o biometrici;
    b) dati relativi all’ubicazione geografica;
    c) dati sanitari o sessuali trattati per talune ragioni
        sanitarie;
    d) dati sanitari o psichici trattati da associazioni o enti
        senza scopo di lucro;



                                                              31
L’obbligo di notificazione
e)   dati trattati con strumenti automatizzati per definire il
     profilo o la personalità dell’interessato, o ad analizzare
     abitudini o scelte di consumo, ovvero a monitorare
     l’utilizzo di servizi di comunicazione elettronica con
     esclusione dei trattamenti tecnicamente indispensabili per
     fornire servizi agli utenti;
f)   dati sensibili registrati in banche di dati per finalità di
     selezione del personale (es. curriculum vitae ed
     appartenenza dei candidati a categorie protette);
g)   dati sensibili utilizzati per sondaggi di opinione e simili;
h)   dati registrati in banche di dati relative al rischio sulla
     solvibilità economica, alla situazione patrimoniale (es.
     dealers) ecc.

                                                                32
Regolamento - Profilazione
 L’art. 20 del Regolamento, se confrontato
  con la legislazione italiana vigente, amplia
  le ipotesi di profilazione
 Sono inclusi, per esempio, il rendimento
  professionale, l’affidabilità ed il
  comportamento del soggetto interessato.


                                             33
Informativa e il consenso

   Artt. 13 e 23 del Codice



                              34
L’obbligo di fornire l’informativa
    Il titolare (o chi agisce per esso), prima di
     raccogliere i dati, deve fornire alla persona che li
     fornisce le seguenti informazioni:
    a) Finalità e modalità del trattamento;
    b) Natura del conferimento dei dati (obbligatoria o
        facoltativa);
    c) I soggetti o le categorie di soggetti (ad es.,
        Concessionari della Rete) ai quali i dati possono
        essere      comunicati      (compresi    eventuali
        responsabili o incaricati);


                                                         35
L’obbligo di fornire l’informativa
 d)   L’ambito di diffusione dei dati (ad es., pubblicazione
      su sito internet);
 e)   I diritti di cui all’art. 7;
 f)   Gli estremi identificativi del titolare;
 g)   Gli estremi identificativi del responsabile e, se sono
      nominati più responsabili, almeno di uno
      (preferibilmente quello al quale è affidato il compito
      di gestire i diritti di cui all’art. 7), con espressa
      indicazione delle modalità attraverso le quali è
      agevolmente ed effettivamente conoscibile la lista di
      tutti i responsabili.


                                                          36
Le modalità
   L’informativa deve essere fornita alla persona dalla
    quale si raccolgono i dati, che non necessariamente è
    l’interessato (es. ordini di lavoro).
   Qualora tale soggetto sia una persona diversa,
    l’informativa deve essere resa anche all’interessato
    al momento della registrazione dei dati o al momento
    della prima comunicazione (ad es., mediante invio
    postale). In tal caso l’informativa all’interessato
    potrebbe essere omessa solo se i dati sono trattati per
    obblighi normativi, qualora siano trattati per finalità di
    difesa in giudizio oppure nel caso in cui il Garante, per
    particolari ragioni, lo autorizzi espressamente.
                                                           37
Curriculum
   L’informativa non è dovuta in caso di ricezione di
    curricula spontaneamente trasmessi dagli
    interessati ai fini dell’eventuale instaurazione di un
    rapporto di lavoro
   Al momento del primo contatto successivo all’invio
    del curriculum, il titolare è tenuto a fornire
    all’interessato, anche oralmente, una informativa
    breve contenente almeno gli elementi di cui al
    comma 1, lettere a), d) ed f)

                                                        38
Questionario per selezione
   Garante, 21 luglio 2011
   Dichiarato illecito il trattamento effettuato
    dall'Aler con il questionario somministrato ai
    candidati che partecipavano alla selezione
    per il reclutamento di un dirigente tecnico
   Le domande ivi contenute riguardavano
    aspetti anche intimi della sfera
    personale/affettiva/sessuale dei candidati

                                                     39
Le sanzioni

   L’omessa informativa comporta, nei casi più
    gravi,   l’irrogazione  di     una  sanzione
    amministrativa da 5.000,00 a 30.000,00 euro,
    aumentabili sino al triplo a seconda delle
    condizioni economiche del titolare.




                                             40
Proposta di regolamento
 indicare anche:
 il periodo per il quale i dati personali
  saranno conservati
 il diritto di proporre reclamo all’autorità di
  controllo
 il modo per contattare detta autorità



                                                   41
Il consenso
    Il trattamento dei dati può essere effettuato solo se
     l’interessato ha manifestato il suo consenso, che
     deve essere:
    a) espresso
    b) scritto
    c) specifico
    d) libero
    e) informato
    f) relativo ad un intero trattamento o ad una o più
         operazioni dello stesso

                                                             42
I casi di esclusione del consenso
    Il consenso non è comunque necessario, per quanto qui
     interessa, quanto il trattamento:
    a) È necessario per adempiere ad un obbligo normativo (es.
         comunicazione alla PA dei dati del dipendente in caso di
         multa con company car);
    b) È necessario per adempiere ad un obbligo contrattuale del
         quale è parte l’interessato o per adempiere a richieste
         dell’interessato in fase precontrattuale;
    c) Riguarda dati provenienti da pubblici registri, elenchi, atti o
         documenti conoscibili da chiunque;




                                                                         43
I casi di esclusione del consenso
d)   Riguarda dati relativi allo svolgimento di
     attività economiche;
e)   È necessario per finalità difensiva (con
     esclusione della diffusione);
f)   È effettuato da associazioni o enti senza
     scopo di lucro relativamente ai dati degli
     associati;
g)   È necessario per finalità di ricerca scientifica
     o statistica.

                                                   44
Art. 24, comma 1, lettera i-ter
   Esclusione dell’obbligo di richiedere il consenso
    all’interessato nello specifico caso di “comunicazione”
    (non di “diffusione”) di dati (di qualsiasi interessato) tra
    società, enti o associazioni con società controllanti,
    controllate o collegate ai sensi dell'articolo 2359 c.c.
    ovvero con società sottoposte a comune controllo,
    nonché tra consorzi, reti di imprese e raggruppamenti e
    A.T.I. con i soggetti ad essi aderenti debitamente
    informati di tali finalità con l'informativa di cui all'articolo
    13


                                                                       45
Il trattamento dei dati sensibili
    Il trattamento dei dati sensibili può essere effettuato solo
1.   Con il consenso dell’interessato salvo che:
           Il trattamento riguardi dati trattati da enti senza scopo

              di lucro relativamente ai dati dei propri associati;
           Il trattamento sia effettuato per ragioni di salute;

           Il trattamento sia effettuato per finalità di difesa in

              giudizio;
           Il trattamento sia necessario per adempiere ad obbligo

              normativi per la gestione del contratto di lavoro.
1.   Con l’autorizzazione del Garante per la protezione dei dati
     personali (spesso per mezzo delle autorizzazioni generali,
     per intere categorie di soggetti).

                                                                        46
Il trattamento
          dei dati personali per finalità
          promozionali e commerciali
   I dati personali possono essere trattati per finalità commerciali solo
    con il consenso dell’interessato. Pertanto, i dati dei clienti non
    possono essere utilizzati per finalità promozionali senza che gli stessi
    abbiano espresso il loro consenso (regole su telemarketing)
   L’informativa, in tal caso, può essere allegata o unita alla
    comunicazione promozionale.
   L’unico caso in cui è possibile procedere senza il consenso è quello
    in cui i dati sono stati raccolti da elenchi, atti o documenti conoscibili
    da chiunque (social network?). In tal caso, tuttavia, resta comunque
    obbligatorio inviare all’interessato l’informativa di cui all’art. 13 all’atto
    della registrazione dei dati o della prima comunicazione.


                                                                               47
Acquisizione del consenso
via internet
 Forma scritta?
 Sufficiente il click?
 Garante Privacy, Provv. 15 luglio 2010
  (Casa.it)
 Il consenso per finalità promozionali non
  può essere condizione per l’erogazione
  del servizio

                                              48
Cookies – Art. 5(3) Dir. 136
   “Gli Stati membri assicurano che l’archiviazione di
    informazioni oppure l’accesso a informazioni già
    archiviate nell’apparecchiatura terminale di un
    abbonato o di un utente sia consentito unicamente a
    condizione che l’abbonato o l’utente in questione
    abbia espresso preliminarmente il proprio consenso,
    dopo essere stato informato in modo chiaro e
    completo […] tra l’altro sugli scopi del trattamento”.
   Da opt-out ad opt-in

                                                        49
Modalità per il consenso
   Il consenso – come precisato dal Gruppo
    Articolo 29, che raccoglie i Garanti europei –
    non può essere presunto, né successivo.
   Il consenso prestato copre, però, anche i
    successivi utilizzi, per cui non è richiesta una
    nuova manifestazione di volontà da parte
    dell’utente per ogni singolo collegamento.
   Riconfermato periodicamente?


                                                       50
Diritti dell’interessato


      Art. 7 del Codice



                           51
I diritti di accesso
      Rispetto al trattamento dei suoi dati, l’interessato ha il
       diritto:
    a) di ottenere la conferma o meno di dati personali che
           lo riguardano;
    b) di conoscere l’origine dei dati personali;
    c)     di conoscere le finalità e le modalità del trattamento;
    d) relativamente         ai trattamenti automatizzati, di
           conoscere la logica applicato agli stessi;
    e) di conoscere gli estremi identificativi del titolare e dei
           responsabili;
    f)     di conoscere gli estremi dei soggetti o delle categorie
           di soggetti ai quali i dati possono essere comunicati;

                                                                 52
I diritti di intervento
    L’interessato ha inoltre il diritto di ottenere:
    a)   L’aggiornamento, la rettificazione ovvero, qualora vi
         abbia interessa, l’integrazione dei dati;
    b)   La cancellazione, la trasformazione in forma
         anonima o il blocco dei dati trattati in violazione di
         legge;
    c)   L’attestazione che le predette operazioni sono state
         portate a conoscenza dei soggetti ai quali i dati
         erano stati comunicati (salvo che tale adempimento
         si riveli impossibile o eccessivamente gravoso).


                                                             53
I diritti di opposizione
    L’interessato ha inoltre il diritto:
    a) di opporsi alla prosecuzione del trattamento (o
       di una parte di esso) effettuato per fini
       promozionali;
    b) di opporsi, per motivi legittimi, alla prosecuzione
       del trattamento (o di una parte di esso), anche
       qualora i dati trattati siano conformi alle finalità
       della raccolta.

                                                         54
Modalità per l’esercizio dei diritti
   I diritti di cui all’art. 7 possono essere fatti valere
    dall’interessato, il quale può delegare terzi (persone fisiche o
    associazioni) o, nel caso in cui sia deceduto, da chiunque vi
    abbia interesse, senza particolari formalità (anche oralmente).
   Devono essere esercitati mediante richiesta, anche verbale,
    rivolta al titolare, al responsabile o a un incaricato.
   Non possono essere esercitati solo nel caso in cui ciò
    potrebbe pregiudicare l’esercizio dei propri diritti dinanzi
    l’autorità giudiziaria.
   Con esclusione della rettificazione o l’integrazione, possono
    essere esercitati anche su dati di tipo valutativo (ad es.,
    valutazione dei concessionari).

                                                                  55
Modalità per il riscontro
             all’interessato
    Ricevuta la richiesta, il titolare (o chi per esso) deve
     darvi riscontro:
    a) anche oralmente, salvo che l’istante abbia richiesto
        espressamente la forma scritta. In tal caso il
        riscontro può essere dato anche mediante
        estrazione copia dei documenti nei quali sono
        contenuti i dati (salvo l’oscuramento di quelli relativi
        a terzi);
    b) con riferimento a tutti i dati trattati, salvo che la
        richiesta fosse limitata a particolari trattamenti;


                                                              56
Modalità per il riscontro
            all’interessato
    c)   gratuitamente, salvo che non sia confermata
         l’esistenza di dati. In tal caso il titolare può
         chiedere il rimborso spese, nei limiti stabiliti dal
         Garante;
    Il riscontro deve comunque avvenire entro 15
     giorni. Entro tale termine, per giustificato motivo, il
     titolare o il responsabile possono darne
     comunicazione all’interessato e il termine è
     prorogato di ulteriori 15 giorni.
    In caso di mancato riscontro, è molto probabile
     che l’interessato ricorra al Garante.
                                                           57
Le misure a garanzia dei diritti
     dell’interessato e l’organizzazione
                  aziendale
    Il Codice obbliga il titolare del
     trattamento a:
    a) agevolare l’accesso ai dati anche
        tramite appositi software;
    b) semplificare le modalità di accesso;
    c) ridurre i tempi di accesso.



                                           58
Le misure a garanzia dei diritti
         dell’interessato e l’organizzazione
                      aziendale
   Il titolare non può:
    a) subordinare l’accesso all’indicazione di codici
       identificativi;
    b) chiedere all’interessato di specificare in quale
       trattamento sono contenuti i dati ai quali
       chiede di accedere;
    c) chiedere le motivazioni sottese all’interpello,
       salvo che nei casi espressamente previsti
       dalla legge.

                                                     59
Diritto all’oblio
   Il Regolamento introduce il diritto all’oblio: si tratta
    della formalizzazione del diritto di cancellazione nel
    caso in cui venga meno la necessità di conservare i
    dati personali.
   Cessione a terzi dei dati personali: l’obbligo per il
    responsabile di adottare “tutte le misure ragionevoli,
    anche tecniche, in relazione ai dati della cui
    pubblicazione è responsabile, per informare i terzi
    che stanno trattando tali dati della richiesta
    dell’interessato di cancellare qualsiasi link, copia o
    riproduzione dei suoi dati personali”.
                                                           60
Marketing




            61
DPR 7 settembre 2010, n. 178
   Istituisce il Registro delle opposizioni, presso
    Fondazione Bordoni
   L’operatore che intenda utilizzare gli elenchi
    pubblici deve iscriversi al Registro delle
    opposizioni
   Comunicare la lista degli abbonati i cui dati
    intendono utilizzare


                                                       62
Registro
 Il Registro cancella i nominativi dei
  soggetti che hanno chiesto di non essere
  contattati
 La lista – depurata dai nominativi iscritti –
  è messa a disposizione dell’operatore
  entro 24 ore
 15 gg. di validità


                                                  63
Abbonato
   qualunque persona fisica, persona
    giuridica, ente o associazione parte di
    un contratto con un fornitore di servizi
    telefonici accessibili al pubblico per la
    fornitura di tali servizi, o destinatario di tali
    servizi anche tramite schede prepagate, la
    cui numerazione sia comunque inserita
    negli elenchi
                                                    64
Operatore
   qualunque soggetto, persona fisica o
    giuridica, che, in qualità di titolare, intenda
    effettuare il trattamento dei dati per fini di
    invio di materiale pubblicitario o di vendita
    diretta o per il compimento di ricerche di
    mercato o di comunicazione commerciale,
    mediante l'impiego del telefono


                                                  65
Ambito di applicazione
   Trattamenti per mezzo del telefono
   È escluso il marketing via fax/e-mail/sms/senza
    operatore (dischi preregistrati)
   Invio di materiale pubblicitario
   Vendita diretta
   Compimento di ricerche di mercato
   Comunicazione commerciale


                                                      66
Prerequisito
 Numero presente in elenchi pubblici
 È possibile utilizzare per finalità di
  marketing i dati personali, pur presenti
  negli elenchi e iscritti al Registro delle
  opposizioni, se raccolti in altra maniera
  (es. campagne pubblicitarie)
 Sanzioni da 10 a 120 mila euro



                                               67
Garante, 29 settembre 2011
   Vietato utilizzare per scopi promozionali i
    dati personali di iscritti negli albi
    professionali se il promotore non
    acquisisce il consenso dell'interessato o
    se non presenta offerte attinenti l'attività
    svolta dal professionista contattato.



                                                   68
Decreto sviluppo
   Il comma 6 dell’art. 6 estende anche agli indirizzi
    postali il regime dell’opt-out
   gli operatori di marketing diretto possono utilizzare
    anche gli indirizzi degli abbonati contenuti
    nell’elenco telefonico per finalità promozionali
    senza bisogno di chiedere il consenso, alla sola
    condizione che questi ultimi non abbiano richiesto
    l’iscrizione del proprio numero telefonico e del
    proprio indirizzo presso il registro delle opposizioni


                                                        69
Garante - 15 giugno 2011
 “Titolarità del trattamento di dati personali
  in capo ai soggetti che si avvalgono di
  agenti per attività promozionali”
 Società che effettuano in outsourcing
  l’attività di marketing per conto di altre
  società


                                                  70
Prassi corretta
   Nominare “responsabili del trattamento le
    agenzie che, operando in outsourcing, si
    occupano, appunto, della promozione e
    della commercializzazione di prodotti e
    servizi per conto della società avviando, a
    tal fine, mirati contatti commerciali nei
    confronti di potenziali clienti”.


                                              71
Prassi errata
   gli agenti in questione agiscono in qualità di
    titolari autonomi rivendicando la propria
    estraneità rispetto ad eventuali illeciti (quali, ad
    esempio, contatti promozionali indesiderati
    avviati nei confronti di titolari di utenze
    telefoniche che abbiano curato la propria
    iscrizione nel Registro delle opposizioni;
    trasmissione, in assenza del consenso informato
    dell'interessato, di messaggi a carattere
    pubblicitario via telefax etc.)”

                                                      72
Garante
 database localizzati al di fuori del territorio
  italiano, utilizzo di un apparato di rete (fax
  gateway) collocato nei confini nazionali
 applicazione dell’art. 5 del Codice
 strumenti per il trattamento nel territorio
  italiano


                                                73
Garante, 2 marzo 2011
 Il Garante ha vietato il trattamento dei dati
  personali effettuato da Travel Factory s.r.l
  tramite l'invio di fax promozionali
 Nel caso di specie era carente un'inidonea
  informativa ed un consenso specifico,
  espresso e documentato degli interessati
  ex art. 130 del Codice.

                                              74
Garante, 5 maggio 2011
   L’Autorità ha vietato il trattamento di dati
    personali posto in essere da Digitaldox.it s.r.l.,
    con riferimento all'invio da parte della medesima
    di comunicazioni promozionali con modalità
    automatizzate quali sms ed e-mail o effettuate
    tramite telefax
   I dati tratti dal suo data base, senza aver fornito
    l'informativa di cui all'art. 13 del Codice ed aver
    acquisito il necessario consenso di cui all'art.
    130 del Codice.
                                                      75
Direttiva 2009/136/CE
   Solo con il consenso preventivo del destinatario.
   Posta elettronica: è necessario “che ai clienti sia
    offerta in modo chiaro e distinto la possibilità di
    opporsi, gratuitamente e in maniera agevole, all’uso
    di tali coordinate elettroniche al momento della
    raccolta delle coordinate e in occasione di ogni
    messaggio, qualora il cliente non abbia rifiutato
    inizialmente tale uso”.
   Non è ammesso l’invio di comunicazione “occulte”


                                                       76
Rapporti di lavoro




               77
Statuto dei lavoratori
   art. 4 della l. 20.05.70 n. 300:
   Vieta impianti audiovisivi e altre apparecchiature
    con finalità di controllo a distanza dell'attività
    lavorativa (comma 1)
   Disciplina le modalità di adozione di impianti ed
    apparecchiature di controllo che siano richiesti
    da esigenze organizzative e produttive o dalla
    sicurezza del lavoro, dai quali può derivare la
    possibilità di controllo (comma 2)

                                                     78
Cass. Civ., sez. lavoro, 23
febbraio 2012, n. 2722.
 il licenziamento è stato fondato su una
  prova raccolta controllando la posta
  elettronica di Tizia in assenza di previo
  accordo con le r.s.a. e/o autorizzazione
  del servizio ispettivo della Direzione
  provinciale del lavoro
 violazione di art. 4 Statuto dei lavoratori,
  art. 8 CEDU e art. 114 Codice privacy
                                                 79
Controllo ex post del datore
 Licenziamento dovuto alla disclosure di
  informazioni riservate
 Il controllo “prescindeva dalla pura e
  semplice sorveglianza sull’esecuzione
  della prestazione”, essendo, invece,
  “diretto ad accertare la perpetrazione di
  eventuali comportamenti illeciti (poi
  effettivamente riscontrati)”.
                                              80
Utilizzo dei dati
 Art. 160, comma 6 Codice
 Licenziamenti avvenuti sulla base di dati
  acquisiti illecitamente
 Garante rimette al Giudice del lavoro la
  cognizione della controversia



                                              81
Natura del controllo
 “esatto adempimento delle obbligazioni”
  discendenti dal rapporto di lavoro
 è “destinato ad accertare un
  comportamento che poneva in pericolo la
  stessa immagine dell’istituto presso terzi”.




                                             82
Videosorveglianza
   le telecamere non posizionate
   “dove sono collocati i cartellini di presenza dei
    dipendenti e gli orologi marcatempo”
   aree interne nelle quali sono effettuate le
    prestazioni lavorative
   accessi ai luoghi di lavoro o degli ascensori
   anche riprese non continuative
   non sufficienti i cartelli se c’è violazione

                                                        83
Garante, 14 aprile 2011
   È sempre necessario “uno specifico
    accordo con le rappresentanze sindacali
    aziendali riguardo all'installazione ed al
    funzionamento del sistema di
    videosorveglianza” o un’autorizzazione
    della Direzione Provinciale del Lavoro.



                                                 84
Cautele
   Apparati di ripresa digitali connessi a reti
    informatiche, protetti contro accesso abusivo di cui
    all'art.615-ter c.p.)
   Applicazione tecniche crittografiche che
    garantiscano la riservatezza della trasmissione delle
    immagini daapparati di videosorveglinza o punti di
    ripresa dotati di connessioni wireless(tecnologie wi-
    fi, wi-max, Gprs)



                                                       85
Sistemi di geolocalizzazione
 In astratto leciti
 Possibile raccogliere i dati sulla posizione
  del veicolo
 Non giri del motore e frenata
 Indicano la tipologia di guidata




                                                 86
Accessi con biometria (10.6.11)
   Predisporre un sistema di verifica con confronto
    tra il template delle impronte rilevate ad ogni
    accesso alle aree riservate destinate alla
    custodia dei valori e alla contazione, e quello
    memorizzato sui dispositivi di lettura
   Non memorizzare dati personali riferiti ai
    lavoratori in relazione agli accessi effettuati a
    dette aree;
   Rendere l'informativa completa
                                                    87
Internet e e-mail
   Informativa su eventuali siti vietati (es. social
    network) o possibilità di effettuare pagamenti
    con fatturazione privata
   Log delle connessioni e tempo di
    conservazione
   Utilizzo per finalità private della posta
    elettronica
   Indirizzi e-mail condivisi (es. info@societa.it)

                                                    88
Assenze o malattie
 Individuare soggetti (es. responsabile)
 Deposito delle password
 Consentire accessi per finalità di legge o
  obblighi contrattuali
 Cancellazione delle e-mail personali in
  caso di cessazione del rapporto di lavoro


                                               89
Banche e accesso ai dati
(Provv. 12.5.11)
 il codice identificativo del dipendente
 la data e l'ora di esecuzione
 il codice della postazione di lavoro
  utilizzata
 il codice del cliente ed il tipo di rapporto
  contrattuale "consultato" (numero del
  conto corrente, fido, mutuo, deposito titoli)
                                              90
Ulteriori obblighi per le banche
 I file di log di tracciamento delle
  operazioni, comprese quelle di semplice
  consultazione, conservati per 24 mesi
 Le banche, inoltre, dovranno prevedere
  l'attivazione di alert che individuino
  comportamenti anomali o a rischio
 Comunicazione al cliente
 Comunicazione al Garante

                                            91
Misure di sicurezza


     Art. 31 del Codice



                   92
Le tipologie di misure di
             sicurezza
   Misure adeguate di sicurezza: sono le misure di
    sicurezza determinabili in base al progresso
    tecnico, alla natura dei dati e alle specifiche
    caratteristiche del trattamento che devono tendere
    a ridurre al minimo i rischi di:
       a) distruzione dei dati

       b) perdita dei dati;

       c) accesso non autorizzato ai dati;

       d) trattamento non consentito dei dati;

       e) trattamento non conforme alle finalità della
          raccolta.

                                                     93
Misure minime di sicurezza:
           trattamenti automatizzati
   Sono espressamente individuate e devono essere
    attuate nei modi previsti dall’Allegato B del Codice:
      a) autenticazione informatica;

      b) adozione di procedura di gestione credenziali
         di autenticazione;
      c) utilizzazione di un sistema di autorizzazione;

      d) aggiornamento periodico dell’individuazione
         dell’ambito del trattamento consentito;


                                                       94
Misure minime di sicurezza:
        trattamenti automatizzati
 e)   protezione degli strumenti elettronici e dei dati
      rispetto a trattamenti illeciti, accessi non
      consentiti e a determinati software;
 f)   adozione di procedure di custodia di copie di
      sicurezza, il ripristino della disponibilità dei dati e
      dei sistemi;
 g)   tenuta di un Documento Programmatico sulla
      Sicurezza dei Dati (DPS), da aggiornarsi
      annualmente entro il 31 marzo.


                                                           95
Misure minime di sicurezza:
         trattamenti non automatizzati
   Sono espressamente individuate e devono essere
    attuate nei modi previsti dall’Allegato B del Codice:
       a) aggiornamento        periodico     dell’individuazione
          dell’ambito del trattamento consentito;
       b) previsione di procedura per un’idonea custodia di
          atti e documenti affidati agli incaricati per lo
          svolgimento dei relativi compiti;
       c) previsione di procedure per la conservazione di
          determinati atti in archivi ad accesso selezionato
          e disciplina delle modalità di accesso finalizzata
          all’identificazione degli incaricati.
                                                              96
DPS




      97
Abrogazione del DPS
 il d.l. 9 febbraio 2012, n. 5 ha soppresso
  in particolare dagli adempimenti in materia
  di misure minime di sicurezza proprio il
  Documento Programmatico per la
  Sicurezza (DPS)
 Occorre attendere la conversione in legge
 Cosa fare se la conversione non
  interviene prima del 31 marzo?
                                            98
Analisi dei rischi
   Furto di risorse
   Intercettazione dati in rete
   Furto di credenziali di autenticazione
   Accessi fisici non autorizzati
   Cancellazione di dati
   Virus / Spyware
   Incendi o cadute di tensione elettrica
   Eventi naturali o socio-politici

                                             99
Salvataggio dati
   Criticità Alta: i salvataggi dei dati ad alta criticità
    vengono eseguiti con frequenza quotidiana,
    settimanale e mensile.
   Criticità Media: i salvataggi dei dati relativi a questa
    criticità vengono eseguiti con frequenza settimanale
    e mensile.
   Criticità Bassa: i salvataggi dei dati relativi a
    questa criticità vengono eseguiti con frequenza
    mensile salvo diversa indicazione dell’owner dei dati
    .
                                                         100
Custodia e accessibilità dei dati
 Accesso
 alla rete LAN
 alla posta elettronica
 a particolari server aziendali
 Disattivazione delle credenziali




                                     101
Sicurezza
 Antivirus utilizzati
 Patch critiche e aggiornamento periodico
  dei sistemi
 Firewall e IDP (sistema rilevamento
  intrusioni)
 Controllo degli accessi fisici



                                             102
Ripristino dati
 Disaster Recovery
 Test periodici di sicurezza
 Memorizzazione dei dati su supporti
  esterni
 Custodia dei supporti magnetici




                                        103
Piani di formazione
   Interventi formativi degli incaricati, per renderli edotti
    dei rischi che incombono sui dati, delle misure
    disponibili per prevenire eventi dannosi, dei profili
    della disciplina sulla protezione dei dati personali più
    rilevanti in rapporto alle relative attività, delle
    responsabilità
   La formazione è programmata già al momento
    dell’ingresso in servizio, nonché in occasione di
    cambiamenti di mansioni, o di introduzione di nuovi
    significativi strumenti, rilevanti rispetto al
    Trattamento di dati personali
                                                           104
Trattamenti effettuati all’esterno
 Descrizione dei criteri da adottare per
  garantire l'adozione delle misure minime
  di sicurezza in caso di trattamenti di dati
  personali affidati, in conformità al codice,
  all’esterno della struttura del titolare
 Indicazione dei soggetti che effettuano
  trattamenti dati: es. commercialisti,
  avvocati, società di marketing, ecc.
                                                 105
Sanzioni
 Da 10.000 a 120.000 euro
 Più violazioni da 50.000 a 300.000 euro
 Omissione: arresto con pena detentiva
  sino a due anni




                                            106
Amministratore di sistema
   Figure professionali addette alla gestione e
    manutenzione di un impianto di elaborazione
   Attività: backup/recovery, organizzazione flussi di rete,
    gestione dei supporti di memorizzazione e la
    manutenzione hardware
   Designato previa valutazione dell'esperienza, della
    capacità e dell'affidabilità
   Designazione individuale con elencazione analitica degli
    ambiti di operatività consentiti in base al profilo di
    autorizzazione assegnato


                                                           107
Obblighi connessi all’AdS
   Estremi identificativi ed elenco delle funzioni conservate
    in un documento interno da mantenere aggiornato
   Attività soggetta a verifica almeno annuale da parte del
    titolare o del responsabile
   Registrazione degli accessi logici (autenticazione
    informatica) ai sistemi di elaborazione e agli archivi
    elettronici
   Nel caso di servizi di AdS affidati in outsourcing, il titolare
    o il responsabile esterno devono conservare gli estremi
    identificativi degli amministratori di sistema

                                                                108
Smaltimento rifiuti
   elettronici



                  109
Cosa sono i rifiuti elettronici?
   Decreto RAEE il 1º settembre 2007 (DM
    185/2007)
   apparecchiature che dipendono per un corretto
    funzionamento da correnti elettriche o da campi
    elettromagnetici [...] progettate per essere usate
    con una tensione non superiore a 1.000 volt per la
    corrente alternata e a 1.500 volt per la corrente
    continua
   Es. computer, stampanti, fotocopiatrici, ma anche
    lampade, fari e telecamere di controllo
                                                    110
Contenzioso innanzi
    al Garante



                 111
Diritti dell’interessato
   accedere ai dati che lo riguardano,
   ottenerne l’aggiornamento, la rettificazione o
    l’integrazione, la cancellazione, la trasformazione in
    forma anonima o il blocco, se trattati in violazione di
    legge,
   opporsi al trattamento effettuato a fini promozionali,
    pubblicitari o commerciali oppure in presenza di
    motivi legittimi
   Non è prevista una forma particolare per la
    presentazione dell’istanza (fax, email, racc., ecc.)

                                                         112
Riscontro all’istanza
 15 giorni dal suo ricevimento;
 30 giorni, se le operazioni necessarie per
  un integrale riscontro sono di particolare
  complessità, ovvero ricorre altro
  giustificato motivo. In tal caso, il titolare o il
  responsabile devono comunque darne
  comunicazione all’interessato entro i
  predetti 15 giorni
                                                  113
Ricorso all’AG o al Garante
   L’interessato può presentare subito l’istanza,
    direttamente all’autorità giudiziaria o, con
    ricorso, al Garante (senza cioè rivolgersi
    previamente al titolare, o al responsabile, se
    designato), solo nei casi in cui il decorso dei
    termini sopraindicati lo esporrebbe ad un
    pregiudizio imminente ed irreparabile che deve
    risultare comprovato.


                                                 114
Tutela innanzi al Garante
 segnalazione
 reclamo circostanziato
 ricorso




                            115
Segnalazione
 Se non è possibile presentare un reclamo
 Il Garante può intervenire per controllare
  l’applicazione della disciplina rilevante in
  materia di protezione dei dati personali
 Anche in carta libera e non sono previste
  spese (bolli, ecc.)


                                             116
Reclamo
Elementi necessari
 fatti e delle circostanze su cui si fonda
 disposizioni che si presumono violate
 misure richieste
 estremi identificativi del titolare, del
  responsabile, ove conosciuto, e
  dell'istante
                                              117
Reclamo
   sottoscritto dagli interessati, o da associazioni
    che li rappresentano
   privo di particolari formalità
   allegare la documentazione utile al fini della sua
    valutazione
   la procura
   recapito per l'invio di comunicazioni anche
    tramite posta elettronica, telefax o telefono
   prova del pagamento dei diritti di segreteria

                                                    118
Sanzioni

Artt. 161 ss. del Codice



                           119
Le sanzioni amministrative
   Omessa o inidonea informativa: nei casi più gravi da 5
    mila a 30 mila euro, aumentabili sino al triplo.
   Cessione illecita di dati: da 5 mila a 30 mila euro.
   Omessa o incompleta notificazione: da 10 mila a 60 mila
    euro.
   Omessa informazione o esibizione al Garante: da 4 mila
    a 24 mila euro.
   Dette violazioni comportano altresì la pubblicazione del
    provvedimento di accertamento su uno o più giornali.


                                                         120
Le sanzioni penali
   Trattamento illecito di dati: reclusione da 6 a 18 mesi o,
    se riguarda la divulgazione dei dati, da 6 a 24 mesi e, nei
    casi più gravi, da 1 a 3 anni.
   Falsità in notificazione o dichiarazioni al Garante: da 6
    mesi a 3 anni.
   Omessa adozione di misure di sicurezza: arresto fino a 2
    anni o ammenda da 10 mila a 60 mila euro.
   Inosservanza provvedimenti Garante: reclusione da 3
    mesi a 2 anni.
   Detti reati comportano altresì la pubblicazione della
    sentenza su uno o più giornali.

                                                            121
   GRAZIE ED ARRIVEDERCI




                            122
Scorza Riccio & Partners
 Via dei Barbieri, 6 – 00186 Roma
      Tel. +39-06.87750524
       Fax +39 0692931778
www.e-lex.it – www.sr-partners.it
       info@sr-partners.it
                                    123

Mais conteúdo relacionado

Mais procurados

Corso privacy
Corso privacyCorso privacy
Corso privacybruma
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018Simone Chiarelli
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1Confimpresa
 
Privacy e lavoro vademecum 2015 del Garante
Privacy e lavoro   vademecum 2015 del GarantePrivacy e lavoro   vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del GaranteUneba
 
LexBook, Tutela dei dati personali.
LexBook, Tutela dei dati personali.LexBook, Tutela dei dati personali.
LexBook, Tutela dei dati personali.girolamoderada
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018Simone Chiarelli
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018Simone Chiarelli
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliVittorio Pasteris
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018Simone Chiarelli
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018Simone Chiarelli
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018Simone Chiarelli
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018Simone Chiarelli
 

Mais procurados (14)

Corso privacy
Corso privacyCorso privacy
Corso privacy
 
GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018GDPR: informativa e consenso - 19 luglio 2018
GDPR: informativa e consenso - 19 luglio 2018
 
Corso privacy unità 1
Corso privacy unità 1Corso privacy unità 1
Corso privacy unità 1
 
Privacy e lavoro vademecum 2015 del Garante
Privacy e lavoro   vademecum 2015 del GarantePrivacy e lavoro   vademecum 2015 del Garante
Privacy e lavoro vademecum 2015 del Garante
 
LexBook, Tutela dei dati personali.
LexBook, Tutela dei dati personali.LexBook, Tutela dei dati personali.
LexBook, Tutela dei dati personali.
 
GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018GDPR e trattamento dei dati personali - 24 maggio 2018
GDPR e trattamento dei dati personali - 24 maggio 2018
 
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...
 
GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018GDPR e trattamento dei dati personali - 16 ottobre 2018
GDPR e trattamento dei dati personali - 16 ottobre 2018
 
Codice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personaliCodice della Privacy. Testo Unico in materia di dati personali
Codice della Privacy. Testo Unico in materia di dati personali
 
GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018GDPR: ruoli e responsabilità - 25 luglio 2018
GDPR: ruoli e responsabilità - 25 luglio 2018
 
GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018GDPR e trattamento dei dati personali - 25 settembre 2018
GDPR e trattamento dei dati personali - 25 settembre 2018
 
GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018GDPR: regolamento - 22 aprile 2018
GDPR: regolamento - 22 aprile 2018
 
Gdpr marco longoni
Gdpr   marco longoniGdpr   marco longoni
Gdpr marco longoni
 
GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018GDPR e privacy - 6 dicembre 2018
GDPR e privacy - 6 dicembre 2018
 

Destaque

FHIR for Hackers
FHIR for HackersFHIR for Hackers
FHIR for HackersJames Agnew
 
Treball medi
Treball mediTreball medi
Treball medijpdecimo
 
Trabajo medi
Trabajo mediTrabajo medi
Trabajo medijpdecimo
 
Buoni fruttiferi
Buoni fruttiferi Buoni fruttiferi
Buoni fruttiferi Fabio Bolo
 
Logi project vish (final 1)
Logi project vish (final 1)Logi project vish (final 1)
Logi project vish (final 1)Mustafa Changi
 
Italy_Maritime Offshore market
Italy_Maritime Offshore marketItaly_Maritime Offshore market
Italy_Maritime Offshore marketBusiness Finland
 
Aims and Purposes in Education
Aims and Purposes in EducationAims and Purposes in Education
Aims and Purposes in EducationJoey Miñano
 
Se connecter sur sa boite gmail
Se connecter sur sa boite gmailSe connecter sur sa boite gmail
Se connecter sur sa boite gmailEPN Gouvy
 

Destaque (11)

FHIR for Hackers
FHIR for HackersFHIR for Hackers
FHIR for Hackers
 
Treball medi
Treball mediTreball medi
Treball medi
 
Trabajo medi
Trabajo mediTrabajo medi
Trabajo medi
 
Buoni fruttiferi
Buoni fruttiferi Buoni fruttiferi
Buoni fruttiferi
 
Section25 Companies
Section25 CompaniesSection25 Companies
Section25 Companies
 
Logi project vish (final 1)
Logi project vish (final 1)Logi project vish (final 1)
Logi project vish (final 1)
 
Bletet
BletetBletet
Bletet
 
Italy_Maritime Offshore market
Italy_Maritime Offshore marketItaly_Maritime Offshore market
Italy_Maritime Offshore market
 
Mata Atlântica - Biomas
Mata Atlântica - BiomasMata Atlântica - Biomas
Mata Atlântica - Biomas
 
Aims and Purposes in Education
Aims and Purposes in EducationAims and Purposes in Education
Aims and Purposes in Education
 
Se connecter sur sa boite gmail
Se connecter sur sa boite gmailSe connecter sur sa boite gmail
Se connecter sur sa boite gmail
 

Semelhante a Axioma privacy 29.2.12

MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...Social Hub Genova
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSMAU
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2Confimpresa
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti SMAU
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica LegaleLodovico Mabini
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleStiip Srl
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyFederico Di Giorgi
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellagmrinaldi
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprIngreen;
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018Lodovico Mabini
 

Semelhante a Axioma privacy 29.2.12 (20)

MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
MeetHub! di Social Hub Genova - GDPR. Privacy for dummies. Come rispondere al...
 
Smau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo TroianoSmau Bologna 2016 - Guglielmo Troiano
Smau Bologna 2016 - Guglielmo Troiano
 
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiGli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
Gli Adempimenti Privacy e le Regole Deontologiche degli Avvocati
 
Corso privacy unità 2
Corso privacy unità 2Corso privacy unità 2
Corso privacy unità 2
 
Breve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPRBreve Guida Esplicativa del GDPR
Breve Guida Esplicativa del GDPR
 
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoVademecum GDPR e Privacy negli studi legali - MF Triveneto
Vademecum GDPR e Privacy negli studi legali - MF Triveneto
 
Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018Gdpr e d.lgs 101/2018
Gdpr e d.lgs 101/2018
 
Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti Smau Bologna 2016 - Aipsi, Marco Parretti
Smau Bologna 2016 - Aipsi, Marco Parretti
 
GDPR - Panoramica Legale
GDPR - Panoramica LegaleGDPR - Panoramica Legale
GDPR - Panoramica Legale
 
GDPR & eIDAS.pdf
GDPR & eIDAS.pdfGDPR & eIDAS.pdf
GDPR & eIDAS.pdf
 
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legaleGDPR: il nuovo Regolamento Europeo dal punto di vista del legale
GDPR: il nuovo Regolamento Europeo dal punto di vista del legale
 
Gdpr privacy-v.3
Gdpr privacy-v.3Gdpr privacy-v.3
Gdpr privacy-v.3
 
C. Filippi - "Cerniera" tra le PA e la Società Civile
C. Filippi - "Cerniera" tra le PA e la Società CivileC. Filippi - "Cerniera" tra le PA e la Società Civile
C. Filippi - "Cerniera" tra le PA e la Società Civile
 
Il gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacyIl gdpr e le nuove norme sulla privacy
Il gdpr e le nuove norme sulla privacy
 
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR complianceIl ruolo del Data Protection Officer: un decalogo per la GDPR compliance
Il ruolo del Data Protection Officer: un decalogo per la GDPR compliance
 
Nuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stellaNuove sfide per la privacy avv. stella
Nuove sfide per la privacy avv. stella
 
Lezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdprLezione2 Tucci diritti in rete gdpr
Lezione2 Tucci diritti in rete gdpr
 
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleVademecum GDPR e Privacy negli studi legali - Edizione Nazionale
Vademecum GDPR e Privacy negli studi legali - Edizione Nazionale
 
Di Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdfDi Stefano _Lexellent_Formazione_UNI2.pdf
Di Stefano _Lexellent_Formazione_UNI2.pdf
 
il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018il GDPR - 14 Dicembre 2018
il GDPR - 14 Dicembre 2018
 

Mais de Giovanni Maria Riccio

Artificial Intelligence and Copyright: How to Find Balances between Human Cr...
Artificial Intelligence and Copyright: How to Find Balances  between Human Cr...Artificial Intelligence and Copyright: How to Find Balances  between Human Cr...
Artificial Intelligence and Copyright: How to Find Balances between Human Cr...Giovanni Maria Riccio
 
Intelligenza artificiale, data protection e copyright
Intelligenza artificiale, data protection e copyrightIntelligenza artificiale, data protection e copyright
Intelligenza artificiale, data protection e copyrightGiovanni Maria Riccio
 
Authorship NFT Artificial Intelligence.pptx
Authorship NFT Artificial Intelligence.pptxAuthorship NFT Artificial Intelligence.pptx
Authorship NFT Artificial Intelligence.pptxGiovanni Maria Riccio
 
Metaverso e proprietà intellettuale (copyright, trademark)
Metaverso e proprietà intellettuale (copyright, trademark)Metaverso e proprietà intellettuale (copyright, trademark)
Metaverso e proprietà intellettuale (copyright, trademark)Giovanni Maria Riccio
 
Is Pandemia a Good Reason to Give Up on Privacy
Is Pandemia a Good Reason to Give Up on PrivacyIs Pandemia a Good Reason to Give Up on Privacy
Is Pandemia a Good Reason to Give Up on PrivacyGiovanni Maria Riccio
 
Art in Public Spaces and Cultural Heritage
Art in Public Spaces and Cultural HeritageArt in Public Spaces and Cultural Heritage
Art in Public Spaces and Cultural HeritageGiovanni Maria Riccio
 
Patrimonio culturale e mondo digitale
Patrimonio culturale e mondo digitalePatrimonio culturale e mondo digitale
Patrimonio culturale e mondo digitaleGiovanni Maria Riccio
 
Out-of-Commerce Works and the Copyright Proposal Directive
Out-of-Commerce Works and the Copyright Proposal DirectiveOut-of-Commerce Works and the Copyright Proposal Directive
Out-of-Commerce Works and the Copyright Proposal DirectiveGiovanni Maria Riccio
 
Startup - Marchi, Copyright, Confidentiality Agreement
Startup - Marchi, Copyright, Confidentiality AgreementStartup - Marchi, Copyright, Confidentiality Agreement
Startup - Marchi, Copyright, Confidentiality AgreementGiovanni Maria Riccio
 
G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...
G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...
G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...Giovanni Maria Riccio
 
International Summer School on Cyber Law - Moscow - July 2014
International Summer School on Cyber Law - Moscow - July 2014International Summer School on Cyber Law - Moscow - July 2014
International Summer School on Cyber Law - Moscow - July 2014Giovanni Maria Riccio
 
Social Network: come rispettare la legge
Social Network: come rispettare la leggeSocial Network: come rispettare la legge
Social Network: come rispettare la leggeGiovanni Maria Riccio
 
La dematerializzazione dei contratti
La dematerializzazione dei contrattiLa dematerializzazione dei contratti
La dematerializzazione dei contrattiGiovanni Maria Riccio
 
Copyright collecting societies luiss 19.4.13
Copyright collecting societies   luiss 19.4.13Copyright collecting societies   luiss 19.4.13
Copyright collecting societies luiss 19.4.13Giovanni Maria Riccio
 

Mais de Giovanni Maria Riccio (20)

Artificial Intelligence and Copyright: How to Find Balances between Human Cr...
Artificial Intelligence and Copyright: How to Find Balances  between Human Cr...Artificial Intelligence and Copyright: How to Find Balances  between Human Cr...
Artificial Intelligence and Copyright: How to Find Balances between Human Cr...
 
Intelligenza artificiale, data protection e copyright
Intelligenza artificiale, data protection e copyrightIntelligenza artificiale, data protection e copyright
Intelligenza artificiale, data protection e copyright
 
Authorship NFT Artificial Intelligence.pptx
Authorship NFT Artificial Intelligence.pptxAuthorship NFT Artificial Intelligence.pptx
Authorship NFT Artificial Intelligence.pptx
 
Metaverso e proprietà intellettuale (copyright, trademark)
Metaverso e proprietà intellettuale (copyright, trademark)Metaverso e proprietà intellettuale (copyright, trademark)
Metaverso e proprietà intellettuale (copyright, trademark)
 
Diritto d'autore, design e moda
Diritto d'autore, design e modaDiritto d'autore, design e moda
Diritto d'autore, design e moda
 
GDPR and Copyright Law
GDPR and Copyright LawGDPR and Copyright Law
GDPR and Copyright Law
 
Is Pandemia a Good Reason to Give Up on Privacy
Is Pandemia a Good Reason to Give Up on PrivacyIs Pandemia a Good Reason to Give Up on Privacy
Is Pandemia a Good Reason to Give Up on Privacy
 
Art in Public Spaces and Cultural Heritage
Art in Public Spaces and Cultural HeritageArt in Public Spaces and Cultural Heritage
Art in Public Spaces and Cultural Heritage
 
Privacy e telemarketing
Privacy e telemarketing Privacy e telemarketing
Privacy e telemarketing
 
Patrimonio culturale e mondo digitale
Patrimonio culturale e mondo digitalePatrimonio culturale e mondo digitale
Patrimonio culturale e mondo digitale
 
Cinema e contratti
Cinema e contratti   Cinema e contratti
Cinema e contratti
 
Out-of-Commerce Works and the Copyright Proposal Directive
Out-of-Commerce Works and the Copyright Proposal DirectiveOut-of-Commerce Works and the Copyright Proposal Directive
Out-of-Commerce Works and the Copyright Proposal Directive
 
Le regole dei giochi
Le regole dei giochiLe regole dei giochi
Le regole dei giochi
 
Startup - Marchi, Copyright, Confidentiality Agreement
Startup - Marchi, Copyright, Confidentiality AgreementStartup - Marchi, Copyright, Confidentiality Agreement
Startup - Marchi, Copyright, Confidentiality Agreement
 
G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...
G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...
G.M. Riccio - National Efforts to Control the Internet: to Regulate or Not? ...
 
Startup innovative
Startup innovativeStartup innovative
Startup innovative
 
International Summer School on Cyber Law - Moscow - July 2014
International Summer School on Cyber Law - Moscow - July 2014International Summer School on Cyber Law - Moscow - July 2014
International Summer School on Cyber Law - Moscow - July 2014
 
Social Network: come rispettare la legge
Social Network: come rispettare la leggeSocial Network: come rispettare la legge
Social Network: come rispettare la legge
 
La dematerializzazione dei contratti
La dematerializzazione dei contrattiLa dematerializzazione dei contratti
La dematerializzazione dei contratti
 
Copyright collecting societies luiss 19.4.13
Copyright collecting societies   luiss 19.4.13Copyright collecting societies   luiss 19.4.13
Copyright collecting societies luiss 19.4.13
 

Axioma privacy 29.2.12

  • 1. IMPRESE E PRIVACY: MODIFICHE LEGISLATIVE E ANALISI DEI PIÙ RECENTI PROVVEDIMENTI DEL GARANTE Roma, 29 febbraio 2012 1
  • 2. Il codice della privacy  Il Codice della Privacy è stato adottato con il Decreto Legislativo 30 giugno 2003 n.196 e regola il trattamento dei dati personali  Il Codice ha sostituito la legge 675/96 2
  • 3. Direttiva 2009/136/CE  modifica della direttiva 2002/22/CE relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica, della direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori 3
  • 4. Recepimento  La legge 15 dicembre 2011, n. 217, pubblicata in Gazz. Uff. del 2 gennaio 2012, contiene, all’art. 9, una delega al Governo affinché adotti, entro tre mesi dalla data di entrata in vigore della legge stessa, un decreto legislativo di recepimento della direttiva 4
  • 5. Regolamento  Proposta di Regolamento europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati 5
  • 6. Garante  Diminuito il numero dei ricorsi, reclami, segnalazioni e quesiti  Diminuite le istanze di accesso  Diminuito il numero delle ispezioni  Diminuite le sanzioni (3 ml di euro) 6
  • 7. Applicabilità del Codice  Art. 5: a chiunque è stabilito nel territorio dello Stato  Il Codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all'Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato 7
  • 8. Nozione di stabilimento  Anche “tramite un semplice ufficio, gestito da persone dipendenti dall’impresa” (Corte di Giustizia: Reinhard Gebhard)  Ovvero per mezzo dell’azione di un semplice agente (Corte di Giustizia: Daily Mail)  Caso Vividown c. Google  Problema del cloud computing 8
  • 9. Proposta di Regolamento  Il luogo di stabilimento coincide con quello “in cui sono prese le principali decisioni sulle finalità, le condizioni e i mezzi del trattamento dei dati personali”  Non si tratta di un criterio di individuazione giuridico (es. la sede sociale) né fisico (es. luogo dove si trovano materialmente i dati personali) 9
  • 10. Prop. Regolamento – Extra UE  Se le decisioni non sono adottate nell’UE, lo stabilimento coincide col “luogo in cui sono condotte le principali attività di trattamento nell’ambito delle attività di uno stabilimento di un responsabile del trattamento nell’Unione”  Nessuna novità significativa per quanto riguarda i gruppi di imprese 10
  • 11. Principi fondamentali nel Codice della Privacy  Il trattamento dei dati personali si fonda su cinque principi fondamentali: a) correttezza e pertinenza (art. 11) b) notificazione (art. 37) c) informativa (art. 13) d) consenso dell’interessato (art. 23); e) diritti dell’interessato (art. 7) 11
  • 12. Definizioni. Trattamento  Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. 12
  • 13. Modalità di trattamento I dati devono essere:  trattati in modo lecito e secondo correttezza;  raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;  esatti e, se necessario, aggiornati;  pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;  conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 13
  • 14. Definizioni. Dato personale/ dato sensibile  Dato personale è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.  Dato sensibile è quel dato idoneo a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale 14
  • 15. Garante 19.6.2008  Semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per finalità amministrative e contabili  “Diverse realtà, specie imprenditoriali di piccole e medie dimensioni, trattano dati, anche in relazione a obblighi contrattuali, precontrattuali o di legge, esclusivamente per finalità di ordine amministrativo e contabile (gestione di ordinativi, buste paga e di ordinaria corrispondenza con clienti, fornitori, realtà esterne di supporto anche in outsourcing, dipendenti)”. 15
  • 16. Art. 34 comma 1-ter  Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo - contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati.  In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro. 16
  • 17. D.L. 13 maggio 2011, n. 70  Conv. dalla legge 12 luglio 2011, n. 106  “Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all'articolo 34, comma 1-ter, non e' soggetto all'applicazione del presente codice”  Nozione di abbonato? 17
  • 19. Correttezza e pertinenza del trattamento  L’art. 11 del Codice, prima di ogni altra prescrizione, impone al titolare di trattare i dati: a) in modo lecito e secondo correttezza; b) per scopi determinati, espliciti e legittimi c) in altre operazioni solo per ragioni compatibili con gli scopi originari; d) esatti e, se necessario, aggiornati; e) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e successivamente trattati; f) in forma identificativa solo per il tempo necessario per il perseguimento dei predetti scopi (es. videosorveglianza).  I dati trattati in violazione di tali prescrizioni non possono essere utilizzati e il titolare è obbligato al risarcimento dei danni eventuali subiti dall’interessato. 19
  • 20. Il titolare del trattamento  È il soggetto cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati  Se il trattamento è effettuato da una persona giuridica, titolare del trattamento è titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento (es. società italiana di un gruppo di società) 20
  • 21. Il responsabile del trattamento  Il responsabile del trattamento è la persona fisica o giuridica preposta dal titolare al trattamento: a) scelto tra soggetti competenti; b) designato in forma scritta; c) con predeterminazione analitica dei compiti  Il titolare può nominare anche più responsabili, anche con suddivisioni dei compiti (e/o dei trattamenti: ad es., responsabile dei trattamenti dei dati relativi al rapporto di lavoro, responsabile delle misure di sicurezza, etc.).  Può essere anche un soggetto esterno rispetto alla struttura imprenditoriale 21
  • 22. Responsabile della protezione dei dati  Bozza Regolamento comunitario  obbligatorio per tutte le imprese che abbiano almeno 250 dipendenti  soggetto dotato di specifiche qualifiche professionali, inclusa la conoscenza specialistica della normativa  designato per un periodo minimo di due anni, rinnovabile  il suo nome e le sue coordinate di contatto devono essere comunicati al pubblico 22
  • 23. L’incaricato del trattamento  Affinché dipendenti e/o collaboratori possano procedere al trattamento, è necessario nominarli incaricati del trattamento (art. 30): a) La nomina deve provenire dal titolare o dal responsabile b) La nomina deve essere formalizzata per iscritto e deve predeterminare l’ambito del trattamento consentito 23
  • 24. L’incaricato del trattamento  La nomina dell’incaricato non amplia la sfera delle mansioni assegnate al dipendente ma si limita a conferirgli il potere di svolgere le operazione di trattamento dei dati. Non deve quindi essere oggetto di alcuna contrattazione.  L’incaricato deve agire sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 24
  • 26. Tre figure  Private cloud: data center, la proprietà dei server è dell’impresa  Public cloud: la proprietà dei server è di un soggetto esterno  Hybrid cloud 26
  • 27. Indicazioni del Garante  Scegliere servizi affidabili  Preferibili soluzioni che consentano un salvataggio dei dati in remoto (procedure di back up)  Analizzare responsabilità nelle condizioni generali di contratto  Tempo di conservazione dei dati  Obblighi formativi per i dipendenti 27
  • 28. Problemi  Legge applicabile  Nomina di responsabili o titolari autonomi?  Informativa/consenso 28
  • 30. L’obbligo di notificazione  Legge 675/96 (art. 7): il titolare era obbligato alla notificazione di tutti i trattamenti di dati effettuati, salvo quelli espressamente esclusi.  Codice (art. 37): il titolare è obbligato alla notificazione dei soli trattamenti espressamente individuati dalla Legge. 30
  • 31. I trattamenti da notificare  L’art. 37 del Codice obbliga il titolare alla notificazione solo se il trattamento riguarda: a) dati genetici o biometrici; b) dati relativi all’ubicazione geografica; c) dati sanitari o sessuali trattati per talune ragioni sanitarie; d) dati sanitari o psichici trattati da associazioni o enti senza scopo di lucro; 31
  • 32. L’obbligo di notificazione e) dati trattati con strumenti automatizzati per definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire servizi agli utenti; f) dati sensibili registrati in banche di dati per finalità di selezione del personale (es. curriculum vitae ed appartenenza dei candidati a categorie protette); g) dati sensibili utilizzati per sondaggi di opinione e simili; h) dati registrati in banche di dati relative al rischio sulla solvibilità economica, alla situazione patrimoniale (es. dealers) ecc. 32
  • 33. Regolamento - Profilazione  L’art. 20 del Regolamento, se confrontato con la legislazione italiana vigente, amplia le ipotesi di profilazione  Sono inclusi, per esempio, il rendimento professionale, l’affidabilità ed il comportamento del soggetto interessato. 33
  • 34. Informativa e il consenso Artt. 13 e 23 del Codice 34
  • 35. L’obbligo di fornire l’informativa  Il titolare (o chi agisce per esso), prima di raccogliere i dati, deve fornire alla persona che li fornisce le seguenti informazioni: a) Finalità e modalità del trattamento; b) Natura del conferimento dei dati (obbligatoria o facoltativa); c) I soggetti o le categorie di soggetti (ad es., Concessionari della Rete) ai quali i dati possono essere comunicati (compresi eventuali responsabili o incaricati); 35
  • 36. L’obbligo di fornire l’informativa d) L’ambito di diffusione dei dati (ad es., pubblicazione su sito internet); e) I diritti di cui all’art. 7; f) Gli estremi identificativi del titolare; g) Gli estremi identificativi del responsabile e, se sono nominati più responsabili, almeno di uno (preferibilmente quello al quale è affidato il compito di gestire i diritti di cui all’art. 7), con espressa indicazione delle modalità attraverso le quali è agevolmente ed effettivamente conoscibile la lista di tutti i responsabili. 36
  • 37. Le modalità  L’informativa deve essere fornita alla persona dalla quale si raccolgono i dati, che non necessariamente è l’interessato (es. ordini di lavoro).  Qualora tale soggetto sia una persona diversa, l’informativa deve essere resa anche all’interessato al momento della registrazione dei dati o al momento della prima comunicazione (ad es., mediante invio postale). In tal caso l’informativa all’interessato potrebbe essere omessa solo se i dati sono trattati per obblighi normativi, qualora siano trattati per finalità di difesa in giudizio oppure nel caso in cui il Garante, per particolari ragioni, lo autorizzi espressamente. 37
  • 38. Curriculum  L’informativa non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro  Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f) 38
  • 39. Questionario per selezione  Garante, 21 luglio 2011  Dichiarato illecito il trattamento effettuato dall'Aler con il questionario somministrato ai candidati che partecipavano alla selezione per il reclutamento di un dirigente tecnico  Le domande ivi contenute riguardavano aspetti anche intimi della sfera personale/affettiva/sessuale dei candidati 39
  • 40. Le sanzioni  L’omessa informativa comporta, nei casi più gravi, l’irrogazione di una sanzione amministrativa da 5.000,00 a 30.000,00 euro, aumentabili sino al triplo a seconda delle condizioni economiche del titolare. 40
  • 41. Proposta di regolamento  indicare anche:  il periodo per il quale i dati personali saranno conservati  il diritto di proporre reclamo all’autorità di controllo  il modo per contattare detta autorità 41
  • 42. Il consenso  Il trattamento dei dati può essere effettuato solo se l’interessato ha manifestato il suo consenso, che deve essere: a) espresso b) scritto c) specifico d) libero e) informato f) relativo ad un intero trattamento o ad una o più operazioni dello stesso 42
  • 43. I casi di esclusione del consenso  Il consenso non è comunque necessario, per quanto qui interessa, quanto il trattamento: a) È necessario per adempiere ad un obbligo normativo (es. comunicazione alla PA dei dati del dipendente in caso di multa con company car); b) È necessario per adempiere ad un obbligo contrattuale del quale è parte l’interessato o per adempiere a richieste dell’interessato in fase precontrattuale; c) Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; 43
  • 44. I casi di esclusione del consenso d) Riguarda dati relativi allo svolgimento di attività economiche; e) È necessario per finalità difensiva (con esclusione della diffusione); f) È effettuato da associazioni o enti senza scopo di lucro relativamente ai dati degli associati; g) È necessario per finalità di ricerca scientifica o statistica. 44
  • 45. Art. 24, comma 1, lettera i-ter  Esclusione dell’obbligo di richiedere il consenso all’interessato nello specifico caso di “comunicazione” (non di “diffusione”) di dati (di qualsiasi interessato) tra società, enti o associazioni con società controllanti, controllate o collegate ai sensi dell'articolo 2359 c.c. ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti e A.T.I. con i soggetti ad essi aderenti debitamente informati di tali finalità con l'informativa di cui all'articolo 13 45
  • 46. Il trattamento dei dati sensibili  Il trattamento dei dati sensibili può essere effettuato solo 1. Con il consenso dell’interessato salvo che:  Il trattamento riguardi dati trattati da enti senza scopo di lucro relativamente ai dati dei propri associati;  Il trattamento sia effettuato per ragioni di salute;  Il trattamento sia effettuato per finalità di difesa in giudizio;  Il trattamento sia necessario per adempiere ad obbligo normativi per la gestione del contratto di lavoro. 1. Con l’autorizzazione del Garante per la protezione dei dati personali (spesso per mezzo delle autorizzazioni generali, per intere categorie di soggetti). 46
  • 47. Il trattamento dei dati personali per finalità promozionali e commerciali  I dati personali possono essere trattati per finalità commerciali solo con il consenso dell’interessato. Pertanto, i dati dei clienti non possono essere utilizzati per finalità promozionali senza che gli stessi abbiano espresso il loro consenso (regole su telemarketing)  L’informativa, in tal caso, può essere allegata o unita alla comunicazione promozionale.  L’unico caso in cui è possibile procedere senza il consenso è quello in cui i dati sono stati raccolti da elenchi, atti o documenti conoscibili da chiunque (social network?). In tal caso, tuttavia, resta comunque obbligatorio inviare all’interessato l’informativa di cui all’art. 13 all’atto della registrazione dei dati o della prima comunicazione. 47
  • 48. Acquisizione del consenso via internet  Forma scritta?  Sufficiente il click?  Garante Privacy, Provv. 15 luglio 2010 (Casa.it)  Il consenso per finalità promozionali non può essere condizione per l’erogazione del servizio 48
  • 49. Cookies – Art. 5(3) Dir. 136  “Gli Stati membri assicurano che l’archiviazione di informazioni oppure l’accesso a informazioni già archiviate nell’apparecchiatura terminale di un abbonato o di un utente sia consentito unicamente a condizione che l’abbonato o l’utente in questione abbia espresso preliminarmente il proprio consenso, dopo essere stato informato in modo chiaro e completo […] tra l’altro sugli scopi del trattamento”.  Da opt-out ad opt-in 49
  • 50. Modalità per il consenso  Il consenso – come precisato dal Gruppo Articolo 29, che raccoglie i Garanti europei – non può essere presunto, né successivo.  Il consenso prestato copre, però, anche i successivi utilizzi, per cui non è richiesta una nuova manifestazione di volontà da parte dell’utente per ogni singolo collegamento.  Riconfermato periodicamente? 50
  • 51. Diritti dell’interessato Art. 7 del Codice 51
  • 52. I diritti di accesso  Rispetto al trattamento dei suoi dati, l’interessato ha il diritto: a) di ottenere la conferma o meno di dati personali che lo riguardano; b) di conoscere l’origine dei dati personali; c) di conoscere le finalità e le modalità del trattamento; d) relativamente ai trattamenti automatizzati, di conoscere la logica applicato agli stessi; e) di conoscere gli estremi identificativi del titolare e dei responsabili; f) di conoscere gli estremi dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati; 52
  • 53. I diritti di intervento  L’interessato ha inoltre il diritto di ottenere: a) L’aggiornamento, la rettificazione ovvero, qualora vi abbia interessa, l’integrazione dei dati; b) La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge; c) L’attestazione che le predette operazioni sono state portate a conoscenza dei soggetti ai quali i dati erano stati comunicati (salvo che tale adempimento si riveli impossibile o eccessivamente gravoso). 53
  • 54. I diritti di opposizione  L’interessato ha inoltre il diritto: a) di opporsi alla prosecuzione del trattamento (o di una parte di esso) effettuato per fini promozionali; b) di opporsi, per motivi legittimi, alla prosecuzione del trattamento (o di una parte di esso), anche qualora i dati trattati siano conformi alle finalità della raccolta. 54
  • 55. Modalità per l’esercizio dei diritti  I diritti di cui all’art. 7 possono essere fatti valere dall’interessato, il quale può delegare terzi (persone fisiche o associazioni) o, nel caso in cui sia deceduto, da chiunque vi abbia interesse, senza particolari formalità (anche oralmente).  Devono essere esercitati mediante richiesta, anche verbale, rivolta al titolare, al responsabile o a un incaricato.  Non possono essere esercitati solo nel caso in cui ciò potrebbe pregiudicare l’esercizio dei propri diritti dinanzi l’autorità giudiziaria.  Con esclusione della rettificazione o l’integrazione, possono essere esercitati anche su dati di tipo valutativo (ad es., valutazione dei concessionari). 55
  • 56. Modalità per il riscontro all’interessato  Ricevuta la richiesta, il titolare (o chi per esso) deve darvi riscontro: a) anche oralmente, salvo che l’istante abbia richiesto espressamente la forma scritta. In tal caso il riscontro può essere dato anche mediante estrazione copia dei documenti nei quali sono contenuti i dati (salvo l’oscuramento di quelli relativi a terzi); b) con riferimento a tutti i dati trattati, salvo che la richiesta fosse limitata a particolari trattamenti; 56
  • 57. Modalità per il riscontro all’interessato c) gratuitamente, salvo che non sia confermata l’esistenza di dati. In tal caso il titolare può chiedere il rimborso spese, nei limiti stabiliti dal Garante;  Il riscontro deve comunque avvenire entro 15 giorni. Entro tale termine, per giustificato motivo, il titolare o il responsabile possono darne comunicazione all’interessato e il termine è prorogato di ulteriori 15 giorni.  In caso di mancato riscontro, è molto probabile che l’interessato ricorra al Garante. 57
  • 58. Le misure a garanzia dei diritti dell’interessato e l’organizzazione aziendale  Il Codice obbliga il titolare del trattamento a: a) agevolare l’accesso ai dati anche tramite appositi software; b) semplificare le modalità di accesso; c) ridurre i tempi di accesso. 58
  • 59. Le misure a garanzia dei diritti dell’interessato e l’organizzazione aziendale  Il titolare non può: a) subordinare l’accesso all’indicazione di codici identificativi; b) chiedere all’interessato di specificare in quale trattamento sono contenuti i dati ai quali chiede di accedere; c) chiedere le motivazioni sottese all’interpello, salvo che nei casi espressamente previsti dalla legge. 59
  • 60. Diritto all’oblio  Il Regolamento introduce il diritto all’oblio: si tratta della formalizzazione del diritto di cancellazione nel caso in cui venga meno la necessità di conservare i dati personali.  Cessione a terzi dei dati personali: l’obbligo per il responsabile di adottare “tutte le misure ragionevoli, anche tecniche, in relazione ai dati della cui pubblicazione è responsabile, per informare i terzi che stanno trattando tali dati della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali”. 60
  • 61. Marketing 61
  • 62. DPR 7 settembre 2010, n. 178  Istituisce il Registro delle opposizioni, presso Fondazione Bordoni  L’operatore che intenda utilizzare gli elenchi pubblici deve iscriversi al Registro delle opposizioni  Comunicare la lista degli abbonati i cui dati intendono utilizzare 62
  • 63. Registro  Il Registro cancella i nominativi dei soggetti che hanno chiesto di non essere contattati  La lista – depurata dai nominativi iscritti – è messa a disposizione dell’operatore entro 24 ore  15 gg. di validità 63
  • 64. Abbonato  qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi telefonici accessibili al pubblico per la fornitura di tali servizi, o destinatario di tali servizi anche tramite schede prepagate, la cui numerazione sia comunque inserita negli elenchi 64
  • 65. Operatore  qualunque soggetto, persona fisica o giuridica, che, in qualità di titolare, intenda effettuare il trattamento dei dati per fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, mediante l'impiego del telefono 65
  • 66. Ambito di applicazione  Trattamenti per mezzo del telefono  È escluso il marketing via fax/e-mail/sms/senza operatore (dischi preregistrati)  Invio di materiale pubblicitario  Vendita diretta  Compimento di ricerche di mercato  Comunicazione commerciale 66
  • 67. Prerequisito  Numero presente in elenchi pubblici  È possibile utilizzare per finalità di marketing i dati personali, pur presenti negli elenchi e iscritti al Registro delle opposizioni, se raccolti in altra maniera (es. campagne pubblicitarie)  Sanzioni da 10 a 120 mila euro 67
  • 68. Garante, 29 settembre 2011  Vietato utilizzare per scopi promozionali i dati personali di iscritti negli albi professionali se il promotore non acquisisce il consenso dell'interessato o se non presenta offerte attinenti l'attività svolta dal professionista contattato. 68
  • 69. Decreto sviluppo  Il comma 6 dell’art. 6 estende anche agli indirizzi postali il regime dell’opt-out  gli operatori di marketing diretto possono utilizzare anche gli indirizzi degli abbonati contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il consenso, alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni 69
  • 70. Garante - 15 giugno 2011  “Titolarità del trattamento di dati personali in capo ai soggetti che si avvalgono di agenti per attività promozionali”  Società che effettuano in outsourcing l’attività di marketing per conto di altre società 70
  • 71. Prassi corretta  Nominare “responsabili del trattamento le agenzie che, operando in outsourcing, si occupano, appunto, della promozione e della commercializzazione di prodotti e servizi per conto della società avviando, a tal fine, mirati contatti commerciali nei confronti di potenziali clienti”. 71
  • 72. Prassi errata  gli agenti in questione agiscono in qualità di titolari autonomi rivendicando la propria estraneità rispetto ad eventuali illeciti (quali, ad esempio, contatti promozionali indesiderati avviati nei confronti di titolari di utenze telefoniche che abbiano curato la propria iscrizione nel Registro delle opposizioni; trasmissione, in assenza del consenso informato dell'interessato, di messaggi a carattere pubblicitario via telefax etc.)” 72
  • 73. Garante  database localizzati al di fuori del territorio italiano, utilizzo di un apparato di rete (fax gateway) collocato nei confini nazionali  applicazione dell’art. 5 del Codice  strumenti per il trattamento nel territorio italiano 73
  • 74. Garante, 2 marzo 2011  Il Garante ha vietato il trattamento dei dati personali effettuato da Travel Factory s.r.l tramite l'invio di fax promozionali  Nel caso di specie era carente un'inidonea informativa ed un consenso specifico, espresso e documentato degli interessati ex art. 130 del Codice. 74
  • 75. Garante, 5 maggio 2011  L’Autorità ha vietato il trattamento di dati personali posto in essere da Digitaldox.it s.r.l., con riferimento all'invio da parte della medesima di comunicazioni promozionali con modalità automatizzate quali sms ed e-mail o effettuate tramite telefax  I dati tratti dal suo data base, senza aver fornito l'informativa di cui all'art. 13 del Codice ed aver acquisito il necessario consenso di cui all'art. 130 del Codice. 75
  • 76. Direttiva 2009/136/CE  Solo con il consenso preventivo del destinatario.  Posta elettronica: è necessario “che ai clienti sia offerta in modo chiaro e distinto la possibilità di opporsi, gratuitamente e in maniera agevole, all’uso di tali coordinate elettroniche al momento della raccolta delle coordinate e in occasione di ogni messaggio, qualora il cliente non abbia rifiutato inizialmente tale uso”.  Non è ammesso l’invio di comunicazione “occulte” 76
  • 78. Statuto dei lavoratori  art. 4 della l. 20.05.70 n. 300:  Vieta impianti audiovisivi e altre apparecchiature con finalità di controllo a distanza dell'attività lavorativa (comma 1)  Disciplina le modalità di adozione di impianti ed apparecchiature di controllo che siano richiesti da esigenze organizzative e produttive o dalla sicurezza del lavoro, dai quali può derivare la possibilità di controllo (comma 2) 78
  • 79. Cass. Civ., sez. lavoro, 23 febbraio 2012, n. 2722.  il licenziamento è stato fondato su una prova raccolta controllando la posta elettronica di Tizia in assenza di previo accordo con le r.s.a. e/o autorizzazione del servizio ispettivo della Direzione provinciale del lavoro  violazione di art. 4 Statuto dei lavoratori, art. 8 CEDU e art. 114 Codice privacy 79
  • 80. Controllo ex post del datore  Licenziamento dovuto alla disclosure di informazioni riservate  Il controllo “prescindeva dalla pura e semplice sorveglianza sull’esecuzione della prestazione”, essendo, invece, “diretto ad accertare la perpetrazione di eventuali comportamenti illeciti (poi effettivamente riscontrati)”. 80
  • 81. Utilizzo dei dati  Art. 160, comma 6 Codice  Licenziamenti avvenuti sulla base di dati acquisiti illecitamente  Garante rimette al Giudice del lavoro la cognizione della controversia 81
  • 82. Natura del controllo  “esatto adempimento delle obbligazioni” discendenti dal rapporto di lavoro  è “destinato ad accertare un comportamento che poneva in pericolo la stessa immagine dell’istituto presso terzi”. 82
  • 83. Videosorveglianza  le telecamere non posizionate  “dove sono collocati i cartellini di presenza dei dipendenti e gli orologi marcatempo”  aree interne nelle quali sono effettuate le prestazioni lavorative  accessi ai luoghi di lavoro o degli ascensori  anche riprese non continuative  non sufficienti i cartelli se c’è violazione 83
  • 84. Garante, 14 aprile 2011  È sempre necessario “uno specifico accordo con le rappresentanze sindacali aziendali riguardo all'installazione ed al funzionamento del sistema di videosorveglianza” o un’autorizzazione della Direzione Provinciale del Lavoro. 84
  • 85. Cautele  Apparati di ripresa digitali connessi a reti informatiche, protetti contro accesso abusivo di cui all'art.615-ter c.p.)  Applicazione tecniche crittografiche che garantiscano la riservatezza della trasmissione delle immagini daapparati di videosorveglinza o punti di ripresa dotati di connessioni wireless(tecnologie wi- fi, wi-max, Gprs) 85
  • 86. Sistemi di geolocalizzazione  In astratto leciti  Possibile raccogliere i dati sulla posizione del veicolo  Non giri del motore e frenata  Indicano la tipologia di guidata 86
  • 87. Accessi con biometria (10.6.11)  Predisporre un sistema di verifica con confronto tra il template delle impronte rilevate ad ogni accesso alle aree riservate destinate alla custodia dei valori e alla contazione, e quello memorizzato sui dispositivi di lettura  Non memorizzare dati personali riferiti ai lavoratori in relazione agli accessi effettuati a dette aree;  Rendere l'informativa completa 87
  • 88. Internet e e-mail  Informativa su eventuali siti vietati (es. social network) o possibilità di effettuare pagamenti con fatturazione privata  Log delle connessioni e tempo di conservazione  Utilizzo per finalità private della posta elettronica  Indirizzi e-mail condivisi (es. info@societa.it) 88
  • 89. Assenze o malattie  Individuare soggetti (es. responsabile)  Deposito delle password  Consentire accessi per finalità di legge o obblighi contrattuali  Cancellazione delle e-mail personali in caso di cessazione del rapporto di lavoro 89
  • 90. Banche e accesso ai dati (Provv. 12.5.11)  il codice identificativo del dipendente  la data e l'ora di esecuzione  il codice della postazione di lavoro utilizzata  il codice del cliente ed il tipo di rapporto contrattuale "consultato" (numero del conto corrente, fido, mutuo, deposito titoli) 90
  • 91. Ulteriori obblighi per le banche  I file di log di tracciamento delle operazioni, comprese quelle di semplice consultazione, conservati per 24 mesi  Le banche, inoltre, dovranno prevedere l'attivazione di alert che individuino comportamenti anomali o a rischio  Comunicazione al cliente  Comunicazione al Garante 91
  • 92. Misure di sicurezza Art. 31 del Codice 92
  • 93. Le tipologie di misure di sicurezza  Misure adeguate di sicurezza: sono le misure di sicurezza determinabili in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento che devono tendere a ridurre al minimo i rischi di: a) distruzione dei dati b) perdita dei dati; c) accesso non autorizzato ai dati; d) trattamento non consentito dei dati; e) trattamento non conforme alle finalità della raccolta. 93
  • 94. Misure minime di sicurezza: trattamenti automatizzati  Sono espressamente individuate e devono essere attuate nei modi previsti dall’Allegato B del Codice: a) autenticazione informatica; b) adozione di procedura di gestione credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito; 94
  • 95. Misure minime di sicurezza: trattamenti automatizzati e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati software; f) adozione di procedure di custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un Documento Programmatico sulla Sicurezza dei Dati (DPS), da aggiornarsi annualmente entro il 31 marzo. 95
  • 96. Misure minime di sicurezza: trattamenti non automatizzati  Sono espressamente individuate e devono essere attuate nei modi previsti dall’Allegato B del Codice: a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito; b) previsione di procedura per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati. 96
  • 97. DPS 97
  • 98. Abrogazione del DPS  il d.l. 9 febbraio 2012, n. 5 ha soppresso in particolare dagli adempimenti in materia di misure minime di sicurezza proprio il Documento Programmatico per la Sicurezza (DPS)  Occorre attendere la conversione in legge  Cosa fare se la conversione non interviene prima del 31 marzo? 98
  • 99. Analisi dei rischi  Furto di risorse  Intercettazione dati in rete  Furto di credenziali di autenticazione  Accessi fisici non autorizzati  Cancellazione di dati  Virus / Spyware  Incendi o cadute di tensione elettrica  Eventi naturali o socio-politici 99
  • 100. Salvataggio dati  Criticità Alta: i salvataggi dei dati ad alta criticità vengono eseguiti con frequenza quotidiana, settimanale e mensile.  Criticità Media: i salvataggi dei dati relativi a questa criticità vengono eseguiti con frequenza settimanale e mensile.  Criticità Bassa: i salvataggi dei dati relativi a questa criticità vengono eseguiti con frequenza mensile salvo diversa indicazione dell’owner dei dati . 100
  • 101. Custodia e accessibilità dei dati  Accesso  alla rete LAN  alla posta elettronica  a particolari server aziendali  Disattivazione delle credenziali 101
  • 102. Sicurezza  Antivirus utilizzati  Patch critiche e aggiornamento periodico dei sistemi  Firewall e IDP (sistema rilevamento intrusioni)  Controllo degli accessi fisici 102
  • 103. Ripristino dati  Disaster Recovery  Test periodici di sicurezza  Memorizzazione dei dati su supporti esterni  Custodia dei supporti magnetici 103
  • 104. Piani di formazione  Interventi formativi degli incaricati, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità  La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al Trattamento di dati personali 104
  • 105. Trattamenti effettuati all’esterno  Descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare  Indicazione dei soggetti che effettuano trattamenti dati: es. commercialisti, avvocati, società di marketing, ecc. 105
  • 106. Sanzioni  Da 10.000 a 120.000 euro  Più violazioni da 50.000 a 300.000 euro  Omissione: arresto con pena detentiva sino a due anni 106
  • 107. Amministratore di sistema  Figure professionali addette alla gestione e manutenzione di un impianto di elaborazione  Attività: backup/recovery, organizzazione flussi di rete, gestione dei supporti di memorizzazione e la manutenzione hardware  Designato previa valutazione dell'esperienza, della capacità e dell'affidabilità  Designazione individuale con elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato 107
  • 108. Obblighi connessi all’AdS  Estremi identificativi ed elenco delle funzioni conservate in un documento interno da mantenere aggiornato  Attività soggetta a verifica almeno annuale da parte del titolare o del responsabile  Registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici  Nel caso di servizi di AdS affidati in outsourcing, il titolare o il responsabile esterno devono conservare gli estremi identificativi degli amministratori di sistema 108
  • 109. Smaltimento rifiuti elettronici 109
  • 110. Cosa sono i rifiuti elettronici?  Decreto RAEE il 1º settembre 2007 (DM 185/2007)  apparecchiature che dipendono per un corretto funzionamento da correnti elettriche o da campi elettromagnetici [...] progettate per essere usate con una tensione non superiore a 1.000 volt per la corrente alternata e a 1.500 volt per la corrente continua  Es. computer, stampanti, fotocopiatrici, ma anche lampade, fari e telecamere di controllo 110
  • 111. Contenzioso innanzi al Garante 111
  • 112. Diritti dell’interessato  accedere ai dati che lo riguardano,  ottenerne l’aggiornamento, la rettificazione o l’integrazione, la cancellazione, la trasformazione in forma anonima o il blocco, se trattati in violazione di legge,  opporsi al trattamento effettuato a fini promozionali, pubblicitari o commerciali oppure in presenza di motivi legittimi  Non è prevista una forma particolare per la presentazione dell’istanza (fax, email, racc., ecc.) 112
  • 113. Riscontro all’istanza  15 giorni dal suo ricevimento;  30 giorni, se le operazioni necessarie per un integrale riscontro sono di particolare complessità, ovvero ricorre altro giustificato motivo. In tal caso, il titolare o il responsabile devono comunque darne comunicazione all’interessato entro i predetti 15 giorni 113
  • 114. Ricorso all’AG o al Garante  L’interessato può presentare subito l’istanza, direttamente all’autorità giudiziaria o, con ricorso, al Garante (senza cioè rivolgersi previamente al titolare, o al responsabile, se designato), solo nei casi in cui il decorso dei termini sopraindicati lo esporrebbe ad un pregiudizio imminente ed irreparabile che deve risultare comprovato. 114
  • 115. Tutela innanzi al Garante  segnalazione  reclamo circostanziato  ricorso 115
  • 116. Segnalazione  Se non è possibile presentare un reclamo  Il Garante può intervenire per controllare l’applicazione della disciplina rilevante in materia di protezione dei dati personali  Anche in carta libera e non sono previste spese (bolli, ecc.) 116
  • 117. Reclamo Elementi necessari  fatti e delle circostanze su cui si fonda  disposizioni che si presumono violate  misure richieste  estremi identificativi del titolare, del responsabile, ove conosciuto, e dell'istante 117
  • 118. Reclamo  sottoscritto dagli interessati, o da associazioni che li rappresentano  privo di particolari formalità  allegare la documentazione utile al fini della sua valutazione  la procura  recapito per l'invio di comunicazioni anche tramite posta elettronica, telefax o telefono  prova del pagamento dei diritti di segreteria 118
  • 119. Sanzioni Artt. 161 ss. del Codice 119
  • 120. Le sanzioni amministrative  Omessa o inidonea informativa: nei casi più gravi da 5 mila a 30 mila euro, aumentabili sino al triplo.  Cessione illecita di dati: da 5 mila a 30 mila euro.  Omessa o incompleta notificazione: da 10 mila a 60 mila euro.  Omessa informazione o esibizione al Garante: da 4 mila a 24 mila euro.  Dette violazioni comportano altresì la pubblicazione del provvedimento di accertamento su uno o più giornali. 120
  • 121. Le sanzioni penali  Trattamento illecito di dati: reclusione da 6 a 18 mesi o, se riguarda la divulgazione dei dati, da 6 a 24 mesi e, nei casi più gravi, da 1 a 3 anni.  Falsità in notificazione o dichiarazioni al Garante: da 6 mesi a 3 anni.  Omessa adozione di misure di sicurezza: arresto fino a 2 anni o ammenda da 10 mila a 60 mila euro.  Inosservanza provvedimenti Garante: reclusione da 3 mesi a 2 anni.  Detti reati comportano altresì la pubblicazione della sentenza su uno o più giornali. 121
  • 122. GRAZIE ED ARRIVEDERCI 122
  • 123. Scorza Riccio & Partners Via dei Barbieri, 6 – 00186 Roma Tel. +39-06.87750524 Fax +39 0692931778 www.e-lex.it – www.sr-partners.it info@sr-partners.it 123