Embed Size (px)
Citation preview
29/10/2004
Corso Privacy 1
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
Una guida per capire le norme sulla Privacy
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
Introduzione e un po’ di storia
29/10/2004
Corso Privacy 2
• La legge 675/96
La legge 675/96 sulla tutela dei dati personali (legge sulla privacy), ed i successivi decreti attuativi, hanno imposto alle aziende una serie di incombenze mirate a tutelare la privacy dei propri dipendenti, dei clienti, dei fornitori ed in generale di tutti i soggetti di cui l'azienda detiene dati classificati personali.
• Il nuovo codice
Il 29 luglio 2003, Serie generale n. 174, Supplemento ordinario n. 123/L è stato pubblicato sulla Gazzetta Ufficiale il nuovo Codice in materia di protezione dei dati personali.
29/10/2004
Corso Privacy 3
• E’ un testo unico
Il testo unico in materia di protezione dei dati personali, definitivamente approvato dal Consiglio dei ministri il 27 giugno 2003 e denominato "Codice" della privacy èispirato all' introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione.
• Come è strutturato il codice
Il codice si compone di 3 partiDisposizioni generali per settore privato e pubblicoDisposizioni relative a settori specifici Sanzioni e disposizioni del Garante
Gli articoli di legge sono 186 e 5 gli allegati:3 Codici deontologici allegati1 Disciplinare tecnico allegato (29 regole)1 tavola di corrispondenza con le norme precedenti
29/10/2004
Corso Privacy 4
• Cosa significa oggi la privacy
Oggi la privacy non significa soltanto diritto di essere lasciati in pace o di proteggere la propria sfera privata, ma anche il diritto di controllare l'uso e la circolazione dei propri datipersonali che costituiscono il bene primario dell'attuale società dell'informazione. Il diritto alla privacy e, in particolare, alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, come sancito anche dalla Carta dei diritti fondamentali dell'Unione Europea.
• Il Garante
Il Garante per la protezione dei dati personali è un'autorità amministrativa indipendente istituita dalla legge sulla privacy (legge n. 675 del 31 dicembre 1996).L'istituzione di analoghe autorità èprevista in tutti gli altri Paesi membri dell'Unione Europea (direttiva comunitaria 95/46/CE).
29/10/2004
Corso Privacy 5
• Segnalazioni e ricorsi
Esamina segnalazioni dei cittadini e vigila sul rispetto delle norme che tutelano la vita privata.Il Garante ha il compito di vigilare sull'applicazione della legge sulla protezione dei dati personali.Decide sui ricorsi presentati dai cittadini e può compiere ispezioni. Può comminare sanzioni amministrative pecuniarie. Informa l'autoritàgiudiziaria qualora venga a conoscenza di gravi comportamenti illeciti. Può intervenire per vietare alcuni trattamenti di dati che possono arrecare danno agli interessati
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
Definizioni (sono riportate sul Documento)
Introduzione al codice sulla privacy
29/10/2004
Corso Privacy 6
• DEFINIZIONI (Art. 4)Definizione di Dato anonimo
Si intende per "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;(es. 011.78033xxx, numero 25)
• DEFINIZIONI (Art. 4)Definizione di Dato personale
“Dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”
Si intende per "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato
29/10/2004
Corso Privacy 7
• Dato personale
Sono dati personali: nome e cognome o denominazione; indirizzo o sede; codice fiscale; ma anche una foto, la registrazione della voce di una persona, la sua impronta digitale o vocale.
Qualsiasi informazione che riguardi persone, società, enti, associazioni identificati o che possano essere identificati anche attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo.
• Dato personale
29/10/2004
Corso Privacy 8
• Quali altri esempi di dati sono da considerarsi personali?
Il nome, il cognome, l’indirizzo, il numero di telefono, il codice fiscale, la partita I.V.A., dati bancari...Informazioni circa la composizione del nucleo familiare, la professione esercitata da un determinato soggetto, sia fisico che giuridico, la sua formazione...Fotografie, radiografie, video, suoni, impronte...Informazioni relative al profilo creditizio, alla retribuzione... Informazioni relative alla salute di un soggetto, alla vita sessualePartecipazione ad associazioni di categoria, a partiti…Trattenute sindacaliCartelle clinicheRilevazioni di presenzeCurriculum
• L’identificazione di un Dato personale
La persona può essere identificata anche attraverso altre notizie ad esempio, associando la registrazione della voce di una persona alla sua immagine, oppure alle circostanze in cui la registrazione è stata effettuata: luogo, ora, situazione).
29/10/2004
Corso Privacy 9
• DEFINIZIONI (Art. 4)Definizione di Dato sensibile
“I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchéi dati personali idonei a rivelare lo stato di salute e la vita sessuale”
• DEFINIZIONI (Art. 4)Definizione di Dato sensibile
29/10/2004
Corso Privacy 10
• Dato sensibile
Sono dati sensibili quelli che possono rivelare la razza, l'appartenenza etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l'appartenenza a partiti o sindacati, lo stato di salute e la vita sessualedelle persone.
Esempi: i modelli di dichiarazione dei redditi (quando è
esercitata l’opzione dell’8 per mille)le buste paga (quando vi sono trattenute sindacali..)la cartella clinica di un pazienteil libro delle presenze o infortuni (poiché vi è riportata
la malattia)
• DEFINIZIONI (Art. 4)Definizione di Dato giudiziario
“Si intende per "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n.313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; “
29/10/2004
Corso Privacy 11
• DEFINIZIONI (Art. 4)Definizione di Trattamento di dati personali
“Qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”
• Trattamento di dati personali
Un'operazione o un complesso di operazioni che hanno per oggetto dati personali.La definizione della legge è molto ampia, perchécomprende la raccolta, la registrazione, l'organizzazione, la conservazione, la modificazione, la selezione, l'estrazione, l'utilizzo, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.Ciascuna di queste operazioni è una forma di "trattamento" di dati.
29/10/2004
Corso Privacy 12
• DEFINIZIONI (Art. 4)Definizione di Titolare del trattamento
“La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”
• DEFINIZIONI (Art. 4)Definizione di Interessato
“La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali”
29/10/2004
Corso Privacy 13
• DEFINIZIONI (Art. 4)Definizione di Responsabile del trattamento
“La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”
• DEFINIZIONI (Art. 4)Incaricati
“Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”
T
R
I
Titolari
Responsabili
Incaricati
29/10/2004
Corso Privacy 14
• Incaricato del trattamentoArt. 30 – Soggetti che effettuano il trattamento
Il dipendente o il collaboratore che per conto della struttura del titolare elabora o utilizza materialmente i dati personali sulla base delle istruzioni ricevute dal titolare medesimo (e/o dal responsabile, se designato).
La designazione è effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.
• DEFINIZIONI (Art. 4)Comunicazione
“Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”
29/10/2004
Corso Privacy 15
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
APPLICABILITA’
• La legge si applica a tutti i trattamenti di dati personali?
No, la legge non si applica ai trattamenti "per fini esclusivamente personali" quindi i trattamenti effettuati per gestire la propria agenda elettronica o cartacea, oppure una rubrica, o la propria posta personale non sono soggetti all'applicazione della legge.
29/10/2004
Corso Privacy 16
• La legge sulla privacy si applica soltanto agli archivi o alle banche dati?
No, la legge si applica ad ogni operazione di trattamento di dati personali anche a prescindere dall'esistenza di archivi o banche dati.
• La legge sulla privacy si applica anche se non si utilizza un computer?
Sì, la legge si applica a tutti i trattamenti indipendentemente dal fatto che siano effettuati "con l'ausilio di mezzi elettronici o comunque automatizzati”.
29/10/2004
Corso Privacy 17
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
Il codice: regole generali per il trattamento dati
• Regole per tutti i trattamenti Modalità del trattamento e requisiti dei dati (Art. 11)
1. I dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi,
ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
29/10/2004
Corso Privacy 18
• Obblighi di sicurezza (Art. 31)
“I dati personali oggetto di trattamento sonocustoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.“
• Misure minime (Art. 33)
I titolari del trattamento sono comunque tenuti ad adottare le misure minime volte ad assicurare un livello minimo di protezione dei dati personali.
29/10/2004
Corso Privacy 19
• Trattamenti con strumenti elettronici (Art. 34)
“Il trattamento di dati personali effettuato con strumenti elettronici èconsentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. “
Trattamenti senza l’ausilio di strumenti elettronici e Adeguamento(Artt. 35 e 36)
Art.35 “ Il trattamento di dati personali effettuato senza l’ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B),le seguenti misure minime:
a) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unitàorganizzative;
b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.”
Art. 36 Il disciplinare tecnico sarà aggiornato in relazione all’evoluzione tecnica e all’esperienza maturata nel settore
29/10/2004
Corso Privacy 20
• Diritti dell'interessato
La legge sulla privacy riconosce all'interessato una serie di diritti (Art.7) per quanto riguarda il trattamento dei dati personali che lo riguardano.
• Diritti dell'interessato
il diritto di avere informazioni generali sui trattamenti di dati svolti nel nostro Paese (attraverso la consultazione gratuita del registro dei trattamenti)
il diritto di accesso ai propri dati personali direttamente presso chi li detiene (titolare del trattamento) - ossia il diritto di ottenere la conferma della loro esistenza e la loro comunicazione e di sapere da dove sono stati acquisiti e quali sono i criteri e gli scopi del trattamento.
Se il titolare non detiene i dati dell’interessato può chiedere il pagamento di una somma ("contributo spese")
29/10/2004
Corso Privacy 21
• Diritti dell'interessato
il diritto di ottenere la cancellazione o il blocco di dati che sono trattati violando la legge (ad esempio, perché non è stato chiesto il consenso); tali diritti possono essere esercitati anche quando non ci sono più motivi validi per conservare i datiil diritto di aggiornare, correggere o integrare i dati inesatti e incompletiil diritto, nei casi indicati ai due punti precedenti di ottenere anche un'attestazione da parte del titolare che tali operazioni sono state portate a conoscenza dei soggetti ai quali i dati erano stati precedentemente comunicati - a meno che ciò risulti impossibile o richieda un impegno sproporzionato rispetto al diritto tutelatoil diritto di opporsi, in tutto o in parte e per motivi legittimi, al trattamento dei propri dati
• Diritti dell'interessato
Il diritto di opporsi al trattamento dei dati personali che lo riguardano per scopi di informazione commerciale o per l'invio di materiale pubblicitario o di vendita diretta, oppure per ricerche di mercato.
29/10/2004
Corso Privacy 22
• Cos’è l’ informativa (Art. 13)
Sono le informazioni che il titolare del trattamento deve fornire, verbalmente o per iscritto, ad ogni interessato o alla persona presso la quale sono raccolti i dati personali:
su quali sono gli scopi e le modalità del trattamento se l'interessato è obbligato o no a fornire i dati quali sono le conseguenze se i dati non vengono forniti a chi possono essere comunicati o diffusi i dati quali sono i diritti riconosciuti all'interessato (Art.7) chi sono il titolare e il responsabile del trattamento e
dove sono raggiungibili (indirizzo, telefono, fax ecc.)
• Quando e' necessario dare l'informativa?
SempreSempre, a meno che:1. le informazioni siano già state fornite all'interessato2. le informazioni possano ostacolare attività di ispezione o
controllo3. per la prevenzione o la repressione dei reati4. i dati non siano stati raccolti presso l'interessato, sia
impossibile fornire l'informativa o comunque tale adempimento comporti un impiego di mezzi giudicato dal Garante "manifestamente sproporzionato“
5. il trattamento avvenga in base a un obbligo previsto da norme di legge, da un regolamento o normative comunitarie
6. sia necessario per la difesa dei propri diritti in sede giudiziaria.
29/10/2004
Corso Privacy 23
• Cos’è il Consenso
La libera manifestazione della volontàdell'interessato con cui questi accetta espressamente un determinato trattamento dei suoi dati personali, sul quale è stato preventivamente informato da chi gestisce i dati. (“Consenso Informato”)
• Il consenso per il trattamento dei dati personali
non sensibili e' sempre necessario? (Art. 24)
Il trattamento può essere effettuato senza il consenso degli interessati se:
i dati sono stati raccolti e sono conservati perché così prescrive la legge o un regolamento o una norma comunitariail trattamento di dati è necessario per adempiere agli obblighi previsti da un contrattoi dati sono ricavati da pubblici registri, atti o documenti che chiunque può conoscere (fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei datiil trattamento ha scopi scientifici o statistici e rispetta il relativo codice di deontologiail trattamento è effettuato per scopi giornalistici (si applica anche il codice deontologico per i giornalisti)i dati riguardano lo svolgimento di attività economiche (ad esempio, i dati relativi al fatturato di un'azienda), e non si violano eventuali segreti aziendali o industrialioccorre salvaguardare l'incolumità fisica o la vita dell'interessato (o di un terzo) che non è in grado di dare il consenso (è il caso dei trattamenti sanitari d'urgenza)il trattamento è necessario per far valere o a difendere un diritto in sede giudiziaria (ad esempio, per l'istruzione di un processo, per la preparazione del dibattimento ecc.)
29/10/2004
Corso Privacy 24
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
Trattamento di dati sensibili
• Si possono trattare i dati sensibili?
I soggetti privati possono operare solo in base alle autorizzazioni del Garante e al consenso scritto degli interessati.Attenzione: quasi tutte le imprese trattano dati sensibili !
Vedi più avanti autorizzazioni generali rilasciate dal Garante
29/10/2004
Corso Privacy 25
• Le autorizzazioni generali
In tema di dati sensibili e giudiziari, il Garante ha emanato sette autorizzazioni generali che consentono a varie categorie di titolari di trattare dati per gli scopi specificati senza dover chiedere singolarmente un'apposita autorizzazione al Garante.
• Consenso per il trattamento di “Dati sensibili”
In questo caso occorre il consenso rilasciato per iscritto dall'interessato (ad es., con la sua sottoscrizione)
29/10/2004
Corso Privacy 26
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
Le 7 Autorizzazioni Generali
• Aut. N. 1/2004 al trattamento dei dati sensibili nei rapporti di lavoro
L’autorizzazione generale è rilasciata a persone fisiche e giuridiche per la gestione di un rapporto di lavoro ovvero per adempiere agli obblighi di legge che comporta un rapporto di lavoro o un contratto di lavoro.
29/10/2004
Corso Privacy 27
• Aut. N. 1/2004 al trattamento dei dati sensibili nei rapporti di lavoro
I dati sensibili possono riguardare:I lavoratori dipendenti, collaboratori Consulenti, liberi professionisti, agenti ….Candidati (curricula)Persone fisiche che ricoprono cariche sociali o incarichiTerzi danneggiati dalle figure sopra riportate
• Aut. N. 2/2004 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
L’autorizzazione generale è rilasciata agli esercenti le professioni sanitarie, case di cura, gli organismi sanitariMedici chirurghi, farmacisti, infermieri,tecnici che esercitano la libera professione, organismi sanitari privatiPers. fisiche/giuridiche/enti per fini statistici purché i dati siano anonimi (a meno che non sia strettamente necessario)Associazioni per il volontariato e assistenzialiComunità di recupero e assistenzaEnti, associazioni e organizzazioni religiose riconosciutePersone fisiche e giuridiche per obblighi contrattuali derivantida forniture di beniAssociazioni sportive per le finalità di accertamento idoneitàOrganismi per donazioni sangue e trapianti di tessuti/organi
29/10/2004
Corso Privacy 28
• Aut. N. 3/2004 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni
L’autorizzazione è rilasciata:Alle associazioni anche non riconosciutePartiti e movimenti politiciOrganizzazioni sindacaliAssociazioni di categoria e confederazioniCasse di previdenzaOrganizzazioni assistenzialiIstituti scolastici
• Aut. N. 4/2004 al trattamento dei dati sensibili da parte dei liberi professionisti
L’autorizzazione è rilasciata ai liberi professionisti iscritti in albi o elenchi professionali per l’esercizio della libera professione in forma individuale o associata in tema di consulenza e assistenza. L’autorizzazione è estesa ai sostituti, collaboratori, praticanti tirocinanti che collaboranocon il libero professionista che sono titolari di autonomo trattamento o siano contitolariLe finalità sono ai soli fini di espletare l’incarico che rientra tra quelli che il libero professionista può eseguire in base al proprio ordinamento professionale ed in particolare:
Adempimenti in materia di lavoro, previdenza, assistenza sociale e fiscale nell’interesse di altri soggetti che sono parte di un lavoro dipendente o autonomo (consulente del lavoro)Investigazioni difensive
29/10/2004
Corso Privacy 29
• Aut. N. 5/2004 al trattamento dei dati sensibili da parte di diverse categorie di titolari
L’autorizzazione è rilasciata:A banche, assicurazioni, attività creditizieSocietà che gestiscono fondi pensioneSocietà ed organismi di intermediazione finanziariaSocietà che emettono carte di creditoImprese che svolgono attività connesse:
Recupero creditiRilevazione rischiImbustamento e smistamento corrispondenzaGestione di esattorie e tesorerie
Imprese del settore turistico o alberghiero
• Aut. N. 6/2004 al trattamento dei dati sensibili da parte degli investigatori privati
L’autorizzazione è rilasciata:A persone fisiche, giuridiche, istituti, enti, che esercitano attività di investigazione privata autorizzata con licenza prefettizia
29/10/2004
Corso Privacy 30
• Aut. N. 7/2004 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici
L'autorizzazione è rilasciata a:Persone fisiche, giuridiche in relazione ai rapporti di lavoroOrganismi di tipo associativo e fondazioni per la gestione di dati dei soci e fruitori dei servizi Liberi professionisti per l’espletamento di specifiche prestazioni richieste dai clientiImprese bancarie ed assicurative
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
Disciplinare Tecnico
L’Allegato B
29/10/2004
Corso Privacy 31
• Classificazione degli elaboratori
Non viene più considerata la suddivisione, molto dibattuta, tra "elaboratori accessibili da altri elaboratori solo attraverso reti non disponibili al pubblico" e "elaboratori accessibili mediante una rete di telecomunicazioni disponibili al pubblico".
• Sistema di autenticazione informatica
Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione (PASSWORD) che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
29/10/2004
Corso Privacy 32
• Sistema di autorizzazione
Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
• Sistema di autenticazione informatica
Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato.
29/10/2004
Corso Privacy 33
• Altre misure di sicurezza
I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. (ANTIVIRUS e FIREWALL)
• Altre misure di sicurezza
Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale.(BACKUP)
29/10/2004
Corso Privacy 34
• Documento programmatico sulla sicurezza
Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati aggiorna anche attraverso il responsabile, se designato, il documento programmatico sulla sicurezza.
Codice in materia di protezione dei dati personaliDecreto legislativo 30 giugno 2003, n. 196
1 fe
bbra
io 2
016
GRAZIE DELL’ATTENZIONE
