Upload
robertoghinolfi
View
573
Download
3
Tags:
Embed Size (px)
DESCRIPTION
Presentazione del servizio privacylab
Citation preview
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 1
Il Codice per la protezione dei dati personali Videosorveglianza –Stress correlato
Roberto Ghinolfi
Lezioni di Privacy
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 2
Che cos’è la privacy
Art. 1 Diritto alla protezione dei dati personali Chiunque ha diritto alla protezione dei dati personali che lo riguardano.
IL DLGS.196/2003 TUTELA I DIRITTI DI UN INTERESSATO DURANTE UN TRATTAMENTO DI DATI PERSONALI
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 3
Che cosa sono i dati personali?
Qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
E’ un’informazione oggettivamente caratterizzante (suscettibile di verifica)
- Può essere una valutazione soggettiva (descrizioni, giudizi, analisi, ricostruzioni ecc.)
- Va intesa in senso ampio (suoni, immagini, dati biometrici, dati genetici)
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 4
Come si suddividono i dati personali
dati comuni, identificativi
dati sensibili e giudiziari
dati di natura comune
(il cui trattamento
presenta rischi specifici)
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 5
Che cosa sono i dati sensibili?
Dati che riguardano:
lo stato di salute
la vita sessuale
l’origine razziale o etnica
le convinzioni religiose, filosofiche o di altro genere
le opinioni politiche, l’adesione a partiti, sindacati, associazioni
l’adesione a organizzazioni di carattere religioso, filosofico, politico o sindacale
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 6
Definizione: Trattamento
Operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, riguardanti:
Raccolta, Registrazione, Organizzazione, Conservazione, Consultazione, Elaborazione, Modificazione, Selezione, Estrazione, Raffronto, Utilizzo, Interconnessione, Blocco, Comunicazione, Diffusione, Cancellazione, Distruzione dei dati, anche se non registrati in una banca dati
COMUNICAZIONE: soggetti definiti e identificati
DIFFUSIONE: soggetti indeterminati
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 7
Chi sono gli interessati
La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali
ogni soggetto, i cui dati vengono trattati, è garante di sé stesso
ciascun interessato può curare direttamente la tutela dei propri diritti
per i soggetti che trattano i dati personali all’interno delle imprese il primo controllore è l’insieme dei dipendenti, clienti e fornitori
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 8
SEMPLIFICAZIONI
Possono avvalersi della semplificazione sia le pubbliche amministrazioni sia imprese e professionisti che
A) che trattano SOLAMENTE dati sensibili per i dipendenti inerenti alla gestione della malattia senza diagnosi o dei Rapporti sindacali;
B)che li trattano questi dati personali sensibili SOLAMENTE per finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e
piccole e medie imprese.
Il Garante con queste indicazioni sta venendo incontro a tutta una serie di piccole aziende che utilizzano in toto Studi paghe e Studi di Commercialisti
per la gestione dei rapporti di lavoro con i dipendenti.Stiamo parlando, di meccanici, piccoli Negozi, Liberi professionisti etc.
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 9
decreto legislativo 81/ 2008 e sue successive modifiche con d.lgs. 106/2009). Dal primo gennaio
c’è l’obbligo per tutti i datori di lavoro di “misurare” lo stress dei propri dipendenti, provvedendo, qualora
esista, a eliminarlo o almeno a ridurlo.
PRIVACY ED ANALISI STRESS LAVORATIVO
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 10
???? E ALLORA ?
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 11
PRIVACY ED ANALISI STRESS LAVORATIVO
COME
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 12
PRIVACY ED ANALISI STRESS LAVORATIVO
I Questionari,I risultati dell’analisi,
SONODATI PERSONALI
Sicuramente di tipo comunePROBABILMENTE
Anche di tipo sensibile
QuindiNESSUNA SEMPLIFICAZIONE è POSSIBILE
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 13
Gli addetti
titolare
responsabile
incaricato
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 14
Il Titolare
Quando il trattamento è effettuato da una persona giuridica, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 15
Il Responsabile
Si intende per responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 16
L’Incaricato
E’ la persona fisica autorizzata dal titolare o dal responsabile a compiere le operazioni di trattamento
Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 17
Adempimenti
Informativa
Consenso
Autorizzazioni
Notificazione
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 18
Informativa
L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa la finalità e modalità del trattamento o i diritti dell’interessato
L’informativa deve essere sempre fornita
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 19
INFORMATIVA ATTENZIONE …..
Sito InternetDipendentiClientiPotenziali ClientiCurriculaCasi Particolari
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 20
Consenso
Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato
consenso espresso (OPT IN SYSTEM)
consenso scritto, più autorizzazione del Garante, per il trattamento dei
dati sensibili
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 21
Notificazione al Garante
Generale assenza dell’obbligo (art. 37)
Invio telematico con firma digitale
Successivi provvedimenti di esonero del Garante che prevedono ulteriori esenzioni (ad es. Provv. n. 1 del 31.03.2004)
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 22
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 23
La normativa vigente coinvolta
①Normativa civile e penale in materia di interferenze illecite nella vita privata②Statuto dei Lavoratori ③Misure di sicurezza nei luoghi pubblici ④Accessi ai trasporti aerei, via mare, treni, ecc.
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 24
A FRONTE DEL RISPETTO DEI PRINCIPI DI BASE (FINALITA’, PROPORZIONALITA’)
OCCORRE PREVENTIVAMENTE:
①Verificare effettiva necessità②Verificare alternative alla videosorveglianza③ Verificare posizionamento④Verificare necessità di durata ⑤Adempiere correttamente agli obblighi normativi
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 25
Protezione e incolumità degli individui, Protezione della proprietà Rilevazione, prevenzione e controllo delle infrazioni Acquisizioni di prove
NECESSITA’:
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 26
• Deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;• Deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza si eventualmente attivo in orario notturno;• Può inglobare un simbolo o una stilizzazione di esplicita immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 27
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 28
E NECESSARIA ANCHE INFORMATIVA COMPLETA
disponibile agevolmente senza oneri per gli interessati, con modalità facilmente accessibili anche con strumenti
informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli
agli sportelli per gli utenti, messaggi preregistrati disponibili digitando un numero telefonico gratuito).
In ogni caso il titolare, anche per il tramite di un incaricato, ove richiesto è tenuto a fornire anche oralmente
un’informativa adeguata, contenente gli elementi individuati dall’art. 13 del Codice.
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 29
adottare nel trattamento dei dati personali tutte le misure necessarie affinchè non si producano danni
agli interessati che possono derivare:
Dalla distruzione o dalla perdita dei dati
Dall’accesso non autorizzato alle immagini da parte di terzi che ne vengono così a conoscenza
Dall’effettuazione di un trattamento al di fuori dei casi stabiliti dalla legge o con modalità che questa non
consente.
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 30
La conservazione massimo 24 ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per particolari rischi dell’attività svolta (ad esempio, per alcuni luoghi come le banche può risultare giustificata l’esigenza d identificare gli autori di un sopralluogo nei giorni precedenti una rapina), si ammette termine ampio non comunque superiore a 7 gg.Per i comuni e nelle sole ipotesi in cui l’attività di videosorveglianza sia finalizzata alla tutela della sicurezza urbana, il termine massimo di durata della conservazione dei dati è limitato “ai 7 giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione”.
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 31
CONFIGURAZIONE DI DIVERSI LIVELLI DI VISUALIZZAZIONE
PERIODO DI CONSERVAZIONE: devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni allo scadere del termine previsto.
INTERVENTI DI MANUTENZIONE: i soggetti preposti possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione.
APPARATI DIGITALI CONNESSI A RETI INFORMATICHE: gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all’art. 615 – ter CP
CONNESSIONI WIRELESS: protezione con applicazione di tecniche crittografiche che ne garantiscano la riservatezza.
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 32
RAPPORTI DI LAVORO OSPEDALI E LUOGHI DI CURA
ISTITUTI SCOLASTICI
SICUREZZA NEL TRASPORTO PUBBLICO
UTILIZZO WEB-CAM PER SCOPI PROMOZIONALI E TURISTICI
SICUREZZA URBANA
DEPOSITO RIFIUTI
RILEVAZIONI INFRAZIONI CODICE DELLA STRADA
TRATTAMENTO IMMAGINI PER FINI ESCLUSIVAMENTE PERSONALI
VIDEOSORVEGLIANZA
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 33
Sicurezza dei dati e dei sistemi
misure idonee di sicurezza
(art. 31)
misure minime di sicurezza
(art. 33- 36)
- con l’ausilio di strumenti elettronici (art. 34)
- senza l’ausilio di strumenti elettronici (art. 35)
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 34
Misure di sicurezza
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 35
Misure minime di sicurezza
Il Codice distingue tra:
trattamenti con strumenti elettronici (art. 34)
trattamenti senza l’ausilio di strumenti
elettronici (art. 35)
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 36
Disciplinare Tecnico in materia di Misure minime di Sicurezza
L’allegato B è composto da 29 commi:
1-11 Sistema di autenticazione informatica
12-14 Sistema di autorizzazione
15-18 Alter misure di sicurezza
19 (1-8) Documento Programmatico Sulla Sicurezza
20-24 Ulteriori misuri in caso di trattamento di dati sensibili
25-26 Misure di tutela e garanzia
27-29 Trattamento di dati senza l’ausilio di strumenti elettronici
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 37
Verifica della attività AmministratoriVerifica almeno annuale da parte dei titolari del trattamento sulla
rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i
trattamenti di dati personali
Amministratori di Sistema
Valutazione delle caratteristiche soggettiveL'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del
soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il
profilo relativo alla sicurezza.Anche quando le funzioni di amministratore di sistema o assimilate sono
attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile
devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 38
Elenco degli amministratori di sistema e delle loro caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento
interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco
delle funzioni loro attribuite.
Designazioni individualiLa designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti
di operatività consentiti in base al profilo di autorizzazione assegnato.
Amministratori di Sistema
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 39
Registrazione degli accessi degli amministratori Devono essere adottati sistemi idonei alla registrazione degli accessi logici
(autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.
Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al
raggiungimento dello scopo di verifica per cui sono richieste.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per
un congruo periodo, non inferiore a sei mesi.
Amministratori di Sistema
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 40
sanzioni Amministrative
sanzioni Penali
risarcimento per danni
Sanzioni
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 41
Sanzioni amministrative
Omessa o inidonea informativa per trattamenti che non contengono dati sensibili:
Ammenda da 3.000,00€ a 18.000,00€
Tale somma può essere aumentata fino al triplo se, in ragione delle condizioni economiche del contravventore, risulta inefficace.
Omessa o inidonea informativa per trattamenti che contengono dati sensibili:
Ammenda da 5.000,00€ a 30.000,00€
Tale somma può essere aumentata fino al triplo se, in ragione delle condizioni economiche del contravventore, risulta inefficace
Omessa o incompleta notificazione:
Ammenda da 10.000,00€ a 60.000,00€
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 42
Sanzioni penali
Trattamento di dati senza il prescritto consenso
Se il trattamento causa un danno: reclusione da 6 a 18 mesi
Se il trattamento è effettuato in violazione delle regole in ordine alla comunicazione e alla diffusione :reclusione da 6 a 24 mesi
Violazione dei divieti di comunicazione e diffusione
Se il trattamento causa un danno: reclusione da 1 a 3 anni
Omessa adozione delle misure minime di sicurezza
Arresto sino a 2 anni o ammenda da 30.000,00€ a 180.000,00€
(con possibilità di ‘ravvedimento operoso’)
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 43
Organi di controllo
Ufficio del garante
Guardia di finanza
Polizia postale
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 44
Le multe
Click to edit Master title style
• Click to edit Master text styles
• Second level
• Third level
• Fourth level
• Fifth level
08/04/23 45
PrivacyLab