Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1

UNIVERSITA’ STUDI DI ROMAUNIVERSITA’ STUDI DI ROMA“FORO ITALICO”“FORO ITALICO”

Corso di Laurea TriennaleCorso di Laurea Triennale

INFORMATICAINFORMATICA

Lez.9Lez.9

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 2

privacy : storia

Esigenza di tutela

t.

Anni ‘70

.1981

.1985

.1995

.1996

.1997

.2000

.2002

Anni ’70 - prime considerazioni

Anni ’70: dal nord Europa arrivano le prime considerazioni sulla relazione tra la crescita dell’utilizzo degli strumenti informatici e la garanzia delle libertà dell’individuo.

1981: Convenzione di Strasburgo sulla protezione delle persone in relazione alla elaborazione automatica dei dati a carattere personale. Nasce il concetto di dato sensibile e si riflette sulla necessità di tutelarsi dalla distruzione accidentale dei dati.

1981 - Convenzione di Strasburgo

1985 - Convenzione di Shengen per la soppressione delle frontiere comuni introduce un sistema comune di informazione automatizzata allo scopo di reprimere e prevenire i reati.Il trattato esclude il trattamento dei dati di carattere personale che indicano origine razziale, opinioni politiche, convinzioni religiose, …

1985 - Convenzione di Shengen 1995 - Direttiva 95/46/CE sulla protezione dei dati personali dell’UE pone gli stati membri ancora non in regola, come l’Italia, davanti alle proprie responsabilità.

1995 - Direttiva 95/46/CE dell’UE1996 - L’Italia promulga la Legge 675/96, una delle più rigorose in ambito UE.

1996 - Legge 675/961997 - Nasce la figura di Garante

1997 - Si insedia in Italia, l’autorità Garante per la Protezione dei dati personali.

2000 - Viene emanato il DL 318/99.

2000 - DL 318/99

2002 - Entra in vigore il DL 467/2001, che apre la strada verso la definizione di un Testo Unico sulla privacy.

2002 - DL 467/2001, verso il Testo Unico

2003 - DL 196/2003, Testo Unico

.2003

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 3

privacy : obiettivi Tutelare le persone rispetto al trattamento dei propri dati Tutelare le persone rispetto al trattamento dei propri dati

personali effettuato da terzipersonali effettuato da terzi. .

Porre le informazioni riguardanti le persone fisiche e giuridiche Porre le informazioni riguardanti le persone fisiche e giuridiche sotto il “controllo” del proprietario dei dati.sotto il “controllo” del proprietario dei dati.

Prevedere il consenso esplicito del proprietario dei dati per la Prevedere il consenso esplicito del proprietario dei dati per la finalità dell’utilizzo delle informazioni.finalità dell’utilizzo delle informazioni.

Prevedere che chi dispone dei dati ne garantisca riservatezza e Prevedere che chi dispone dei dati ne garantisca riservatezza e correttezza.correttezza.

Prevedere la determinazione e la comunicazione al proprietario Prevedere la determinazione e la comunicazione al proprietario dei dati dello scopo per cui i dati sono raccolti e registrati.dei dati dello scopo per cui i dati sono raccolti e registrati.

Prevedere la conservazione e l’aggiornamento dei dati solo Prevedere la conservazione e l’aggiornamento dei dati solo per il periodo necessario ad effettuare il trattamento.per il periodo necessario ad effettuare il trattamento.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 4

privacy: campo di applicazione

• trattamenti di dati personali nel territorio dello stato italiano, svolti con o trattamenti di dati personali nel territorio dello stato italiano, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzatisenza l’ausilio di mezzi elettronici o comunque automatizzati

• trattamenti di dati personali nel territorio dello stato italiano, anche se i dati trattamenti di dati personali nel territorio dello stato italiano, anche se i dati sono normalmente detenuti all’estero sono normalmente detenuti all’estero

• soggetti stabiliti in un paese non UE e che usano mezzi situati nel territorio soggetti stabiliti in un paese non UE e che usano mezzi situati nel territorio dello stato italiano solo ed esclusivamente per il transito dei dati attraverso la dello stato italiano solo ed esclusivamente per il transito dei dati attraverso la UE UE

Alle persone fisiche che effettuano trattamento, esclusa la comunicazione e la Alle persone fisiche che effettuano trattamento, esclusa la comunicazione e la diffusione dei dati, per fini esclusivamente personali, si applicano solo le norme diffusione dei dati, per fini esclusivamente personali, si applicano solo le norme inerenti la sicurezza dei dati ed i danni cagionati per effetto del trattamento.inerenti la sicurezza dei dati ed i danni cagionati per effetto del trattamento.

La Legge La Legge si applicasi applica a: a:

La Legge La Legge non si applicanon si applica a: a:

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 5

privacy: definizioni

Dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

Dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile.

Banca dati: qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 6

Dato particolare: il dato sensibile o il dato giudiziario.

Dato giudiziario: il dato personale idoneo a rivelare i provvedimenti di cui all’articolo 686, comma 1, lettera a) e d), 2 e 3 del codice di procedura penale.

Dato sensibile: il dato personale idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Altri dati particolari (dati quasi sensibili): sono i dati personali il cui trattamento presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato.

privacy: definizioni

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 7

Blocco dei dati: la conservazione dei dati, con sospensione temporanea di ogni altra operazione del trattamento.

Trattamento dei dati: qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti: la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati.

privacy: trattamenti

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 8

privacy: trattamenti

Comunicazione dei dati: il dare conoscenza dei dati a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Diffusione dei dati: il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 9

privacy: ruoli

Titolare: è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza.

Responsabile: è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal Titolare al trattamento di dati personali, ivi compreso il profilo della sicurezza.

Incaricati: sono le persone che effettuano le operazioni elementari di trattamento sotto la diretta autorità del Titolare o del Responsabile.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 10

privacy: ruoli

Amministratore di sistema: è il soggetto cui è conferito il compito di sovrintendere alle risorse del sistema operativo di un elaboratore o di un sistema di base dati e di consentirne l’utilizzazione.

Custode delle parole chiave: è il soggetto preposto alla custodia delle password di accesso ai sistemi informatici o che ha accesso ad informazioni che concernono le medesime.

Rappresentante nel territorio dello Stato: è il soggetto designato da quel Titolare che effettua trattamento mediante mezzi situati sul territorio dello Stato, ma è stabilito nel territorio di un paese non appartenente alla UE.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 11

privacy: ruoliInteressato: è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. È il proprietario dei dati.

Garante per la protezione dei dati personali: autorità che rappresenta un organo collegiale, formato da quattro membri eletti in pari numero dalla Camera dei deputati e dal Senato della Repubblica. Il collegio dei membri elegge, nel suo ambito, un presidente.

• Gestire il registro dei trattamentiGestire il registro dei trattamenti

• Controllare la legittimità dei trattamentiControllare la legittimità dei trattamenti

• Gestire i reclami degli interessatiGestire i reclami degli interessati

• Denunciare e perseguire le violazioni alla LeggeDenunciare e perseguire le violazioni alla Legge

• Promuovere la conoscenza della LeggePromuovere la conoscenza della Legge

• Bloccare i trattamenti illegaliBloccare i trattamenti illegali

• Effettuare accertamenti e controlliEffettuare accertamenti e controlli

• Irrogare sanzioni amministrativeIrrogare sanzioni amministrative

Il Il GaranteGarante ha, ha,

tra gli altri,tra gli altri,

i seguenti compiti:i seguenti compiti:

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 12

privacy: informativa

L’informativa all’Interessato deve contenere almeno le seguenti informazioni:

• finalità e modalità del trattamento cui sono destinati i dati

• natura obbligatoria o facoltativa del conferimento dei dati

• conseguenze di un eventuale rifiuto di fornire i dati

• soggetti o le categorie di soggetti ai quali i dati possono essere comunicati nonche’

l'ambito di diffusione dei dati medesimi

• diritti di cui all'articolo 13 della Legge

• il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del

titolare, del suo rappresentante nel territorio dello Stato e di almeno un responsabile, se

nominato

La Legge prevede che l’Interessato, o proprietario dei dati, sia preventivamente informato dell’uso che sarà fatto dei suoi dati da parte del Titolare che si accinge ad effettuare un trattamento.

L’informativa è sempre obbligatoria e non sono previsti casi di esclusione. È prevista la possibilità di fornire oralmente l’informativa o di escludere da questa gli elementi già a conoscenza dell’Interessato.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 13

privacy: consenso

Il consenso può essere necessario per i seguenti trattamenti:

• comunicazione e diffusione dei dati (art.20)

• trasferimento dei dati all’estero (art.28)

In generale, la Legge prevede che il Titolare che si accinge ad effettuare un trattamento, chieda, preventivamente, il consenso all’Interessato dell’uso che sarà fatto dei suoi dati.

Il consenso è necessario per i seguenti trattamenti:

• trattamento a fini commerciali (art.13)

• trattamento dei dati sensibili (art.22)

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 14

privacy: consensoLa Legge individua particolari casi di trattamento, nei quali non è obbligatorio ottenere il consenso dell’Interessato. Ognuno di questi casi deve essere valutato attentamente di volta in volta, a seconda della tipologia di trattamento effettuato.

Casi di esclusione dal consenso

Il trattamento è finalizzato unicamente a scopi di ricerca scientifica o di statistica ed è effettuato nel rispetto dei codici di deontologia e di buona condotta.

Il trattamento è effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità.

Il trattamento riguarda dati relativi allo svolgimento di attività economiche raccolti nel rispetto della vigente normativa in materia di segreto aziendale e industriale.

Il trattamento riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

Il trattamento è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato.

Il trattamento riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla Legge, da un regolamento o dalla normativa comunitaria.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 15

IUSM

-

Pro

f. S

. R

azz

icch

ia

privacy: consensoCasi di esclusione dal consenso

Il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica dell'interessato o di un terzo, nel caso in cui l'interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere.

Il trattamento è necessario ai fini dello svolgimento delle investigazioni o per far valere o difendere un diritto in sede giudiziaria.

Il trattamento è relativo a comunicazione effettuata nell'ambito dei gruppi bancari nonché tra società controllate e società collegate.

Il trattamento è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato, prestate anche con un contratto.

Il trattamento è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi.

Il trattamento è necessario per la salvaguardia di un interesse pubblico rilevante individuato mediante Legge o Regolamento.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 16

privacy: notificazione

Il Garante ha predisposto un modello standard sul sito www.garanteprivacy.it.

Il DL 467/2001 prevede che il Titolare effettui la notificazione solamente se il trattamento reca pregiudizio ai diritti ed alle libertà dell’interessato, secondo una casistica individuata da un successivo Regolamento emanato a cura del Presidente della Repubblica.

Il Titolare che intenda procedere ad un trattamento di dati personali è tenuto a darne notificazione al Garante.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 17

privacy: diritti

Conoscere dal Garante l’esistenza di trattamenti di dati che possono riguardarlo mediante accesso al registro delle notificazioni, nonché le caratteristiche del trattamento dichiarate nella notificazione.

Ottenere dal Titolare o dal Responsabile informazioni sull’esistenza di dati che lo riguardano, la cancellazione, la trasformazione in forma anonima o il blocco dei dati, l’aggiornamento e la rettifica.

Il Garante ha predisposto un modello standard di istanza per chiedere l'accesso ai dati personali ai sensi dell'art. 13 della Legge sul sito www.garanteprivacy.it.

La Legge stabilisce precisi diritti dell’Interessato o proprietario dei dati.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 18

privacy: diritti

Opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta.

Opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto a fini di informazioni commerciali o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi.

Essere informato dal Titolare della possibilità di esercitare gratuitamente il diritto precedente.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 19

privacy: sanzioni

Art. Violazione Pena18 Danni cagionati per effetto del trattamento

di dati personaliRisarcimento dei danni

34 Omessa o incompleta notificazione Sanzione amministrativa da € 5164,60 a € 30987,40

Pubblicazione ordinanza ingiunzione

35 Mancato consenso Reclusione sino a due anni, da uno a tre anni se dal fatto deriva nocumento

35 Comunicazione o diffusione non consentita

Reclusione da tre mesi a due anni, da uno a tre anni se dal fatto deriva nocumento

36 Omessa adozione delle "misure minime" di sicurezza (DPR 318/99)

Reclusione sino a due anni oppure sanzione amministrativa da € 5164,60 a € 41316,60

36 Regolarizzazione della omessa adozione delle "misure minime" entro un termine fissato non superiore a sei mesi

Sanzione amministrativa di € 10329,20

La Legge prevede sanzioni di tipo amministrativo o penale, a seconda del tipo di violazione e del danno causato, a seguito dell’inottemperanza del Titolare, del Responsabile o dell’Incaricato, alle disposizioni contenute nella Legge stessa.

Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 20

privacy: sanzioni

Art. Violazione Pena37 Inosservanza dei provvedimenti del Garante Reclusione da tre mesi a due anni

37 bis False dichiarazioni o notificazioni al Garante Reclusione da sei mesi a tre anni

38 Pena accessoria Pubblicazione della sentenza

39 Omissione di informazioni o documenti richiesti dal Garante

Sanzione amministrativa da € 2582,30 a € 15493,70

39 Mancata informativa Sanzione amministrativa da € 1549,40 a € 9296,20, aumentata fino a tre volte in ragione delle condizioni economiche del contravventore

39 Mancata informativa per dati particolari Sanzione amministrativa da € 2582,30 a € 15493,70, aumentata fino a tre volte in ragione delle condizioni economiche del contravventore

39 Violazione della disposizione dell’interessato riguardo la comunicazione dei dati inerenti la salute

Sanzione amministrativa da € 258,20 a € 1549,40