Lezioni di Privacy Corso2011

Click to edit Master title style

• Click to edit Master text styles

• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 1

Il Codice per la protezione dei dati personali Videosorveglianza –Stress correlato

Roberto Ghinolfi

Lezioni di Privacy



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 2

Che cos’è la privacy

Art. 1 Diritto alla protezione dei dati personali Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

IL DLGS.196/2003 TUTELA I DIRITTI DI UN INTERESSATO DURANTE UN TRATTAMENTO DI DATI PERSONALI



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 3

Che cosa sono i dati personali?

Qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale

E’ un’informazione oggettivamente caratterizzante (suscettibile di verifica)

- Può essere una valutazione soggettiva (descrizioni, giudizi, analisi, ricostruzioni ecc.)

- Va intesa in senso ampio (suoni, immagini, dati biometrici, dati genetici)



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 4

Come si suddividono i dati personali

dati comuni, identificativi

dati sensibili e giudiziari

dati di natura comune

(il cui trattamento

presenta rischi specifici)



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 5

Che cosa sono i dati sensibili?

Dati che riguardano:

lo stato di salute

la vita sessuale

l’origine razziale o etnica

le convinzioni religiose, filosofiche o di altro genere

le opinioni politiche, l’adesione a partiti, sindacati, associazioni

l’adesione a organizzazioni di carattere religioso, filosofico, politico o sindacale



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 6

Definizione: Trattamento

Operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, riguardanti:

Raccolta, Registrazione, Organizzazione, Conservazione, Consultazione, Elaborazione, Modificazione, Selezione, Estrazione, Raffronto, Utilizzo, Interconnessione, Blocco, Comunicazione, Diffusione, Cancellazione, Distruzione dei dati, anche se non registrati in una banca dati

COMUNICAZIONE: soggetti definiti e identificati

DIFFUSIONE: soggetti indeterminati



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 7

Chi sono gli interessati

La persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali

ogni soggetto, i cui dati vengono trattati, è garante di sé stesso

ciascun interessato può curare direttamente la tutela dei propri diritti

per i soggetti che trattano i dati personali all’interno delle imprese il primo controllore è l’insieme dei dipendenti, clienti e fornitori



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 8

SEMPLIFICAZIONI

Possono avvalersi della semplificazione sia le pubbliche amministrazioni sia imprese e professionisti che

A) che trattano SOLAMENTE dati sensibili per i dipendenti inerenti alla gestione della malattia senza diagnosi o dei Rapporti sindacali;

B)che li trattano questi dati personali sensibili SOLAMENTE per finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e

piccole e medie imprese.

Il Garante con queste indicazioni sta venendo incontro a tutta una serie di piccole aziende che utilizzano in toto Studi paghe e Studi di Commercialisti

per la gestione dei rapporti di lavoro con i dipendenti.Stiamo parlando, di meccanici, piccoli Negozi, Liberi professionisti etc.



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 9

decreto legislativo 81/ 2008 e sue successive modifiche con d.lgs. 106/2009). Dal primo gennaio

c’è l’obbligo per tutti i datori di lavoro di “misurare” lo stress dei propri dipendenti, provvedendo, qualora

esista, a eliminarlo o almeno a ridurlo.

PRIVACY ED ANALISI STRESS LAVORATIVO



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 10

???? E ALLORA ?



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 11


COME



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 12


I Questionari,I risultati dell’analisi,

SONODATI PERSONALI

Sicuramente di tipo comunePROBABILMENTE

Anche di tipo sensibile

QuindiNESSUNA SEMPLIFICAZIONE è POSSIBILE



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 13

Gli addetti

titolare

responsabile

incaricato



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 14

Il Titolare

Quando il trattamento è effettuato da una persona giuridica, titolare del trattamento è l’entità nel suo complesso o l’unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 15

Il Responsabile

Si intende per responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 16

L’Incaricato

E’ la persona fisica autorizzata dal titolare o dal responsabile a compiere le operazioni di trattamento

Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 17

Adempimenti

Informativa

Consenso

Autorizzazioni

Notificazione



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 18

Informativa

L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa la finalità e modalità del trattamento o i diritti dell’interessato

L’informativa deve essere sempre fornita



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 19

INFORMATIVA ATTENZIONE …..

Sito InternetDipendentiClientiPotenziali ClientiCurriculaCasi Particolari



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 20

Consenso

Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato

consenso espresso (OPT IN SYSTEM)

consenso scritto, più autorizzazione del Garante, per il trattamento dei

dati sensibili



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 21

Notificazione al Garante

Generale assenza dell’obbligo (art. 37)

Invio telematico con firma digitale

Successivi provvedimenti di esonero del Garante che prevedono ulteriori esenzioni (ad es. Provv. n. 1 del 31.03.2004)



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 22

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 23

La normativa vigente coinvolta

①Normativa civile e penale in materia di interferenze illecite nella vita privata②Statuto dei Lavoratori ③Misure di sicurezza nei luoghi pubblici ④Accessi ai trasporti aerei, via mare, treni, ecc.

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 24

A FRONTE DEL RISPETTO DEI PRINCIPI DI BASE (FINALITA’, PROPORZIONALITA’)

OCCORRE PREVENTIVAMENTE:

①Verificare effettiva necessità②Verificare alternative alla videosorveglianza③ Verificare posizionamento④Verificare necessità di durata ⑤Adempiere correttamente agli obblighi normativi

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 25

Protezione e incolumità degli individui, Protezione della proprietà Rilevazione, prevenzione e controllo delle infrazioni Acquisizioni di prove

NECESSITA’:

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 26

• Deve essere collocato prima del raggio di azione della telecamera, anche nelle sue immediate vicinanze e non necessariamente a contatto con gli impianti;• Deve avere un formato ed un posizionamento tale da essere chiaramente visibile in ogni condizione di illuminazione ambientale, anche quando il sistema di videosorveglianza si eventualmente attivo in orario notturno;• Può inglobare un simbolo o una stilizzazione di esplicita immediata comprensione, eventualmente diversificati al fine di informare se le immagini sono solo visionate o anche registrate.

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 27

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 28

E NECESSARIA ANCHE INFORMATIVA COMPLETA

disponibile agevolmente senza oneri per gli interessati, con modalità facilmente accessibili anche con strumenti

informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in bacheche o locali, avvisi e cartelli

agli sportelli per gli utenti, messaggi preregistrati disponibili digitando un numero telefonico gratuito).

In ogni caso il titolare, anche per il tramite di un incaricato, ove richiesto è tenuto a fornire anche oralmente

un’informativa adeguata, contenente gli elementi individuati dall’art. 13 del Codice.

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 29

adottare nel trattamento dei dati personali tutte le misure necessarie affinchè non si producano danni

agli interessati che possono derivare:

Dalla distruzione o dalla perdita dei dati

Dall’accesso non autorizzato alle immagini da parte di terzi che ne vengono così a conoscenza

Dall’effettuazione di un trattamento al di fuori dei casi stabiliti dalla legge o con modalità che questa non

consente.

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 30

La conservazione massimo 24 ore successive alla rilevazione, fatte salve speciali esigenze di ulteriore conservazione in relazione a festività o chiusura di uffici o esercizi. Solo in alcuni casi, per peculiari esigenze tecniche (mezzi di trasporto) o per particolari rischi dell’attività svolta (ad esempio, per alcuni luoghi come le banche può risultare giustificata l’esigenza d identificare gli autori di un sopralluogo nei giorni precedenti una rapina), si ammette termine ampio non comunque superiore a 7 gg.Per i comuni e nelle sole ipotesi in cui l’attività di videosorveglianza sia finalizzata alla tutela della sicurezza urbana, il termine massimo di durata della conservazione dei dati è limitato “ai 7 giorni successivi alla rilevazione delle informazioni e delle immagini raccolte mediante l’uso di sistemi di videosorveglianza, fatte salve speciali esigenze di ulteriore conservazione”.

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 31

CONFIGURAZIONE DI DIVERSI LIVELLI DI VISUALIZZAZIONE

PERIODO DI CONSERVAZIONE: devono essere predisposte misure tecniche od organizzative per la cancellazione, anche in forma automatica, delle registrazioni allo scadere del termine previsto.

INTERVENTI DI MANUTENZIONE: i soggetti preposti possono accedere alle immagini solo se ciò si renda indispensabile al fine di effettuare eventuali verifiche tecniche ed in presenza dei soggetti dotati di credenziali di autenticazione.

APPARATI DIGITALI CONNESSI A RETI INFORMATICHE: gli apparati medesimi devono essere protetti contro i rischi di accesso abusivo di cui all’art. 615 – ter CP

CONNESSIONI WIRELESS: protezione con applicazione di tecniche crittografiche che ne garantiscano la riservatezza.

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 32

RAPPORTI DI LAVORO OSPEDALI E LUOGHI DI CURA

ISTITUTI SCOLASTICI

SICUREZZA NEL TRASPORTO PUBBLICO

UTILIZZO WEB-CAM PER SCOPI PROMOZIONALI E TURISTICI

SICUREZZA URBANA

DEPOSITO RIFIUTI

RILEVAZIONI INFRAZIONI CODICE DELLA STRADA

TRATTAMENTO IMMAGINI PER FINI ESCLUSIVAMENTE PERSONALI

VIDEOSORVEGLIANZA



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 33

Sicurezza dei dati e dei sistemi

misure idonee di sicurezza

(art. 31)

misure minime di sicurezza

(art. 33- 36)

- con l’ausilio di strumenti elettronici (art. 34)

- senza l’ausilio di strumenti elettronici (art. 35)



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 34

Misure di sicurezza



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 35

Misure minime di sicurezza

Il Codice distingue tra:

trattamenti con strumenti elettronici (art. 34)

trattamenti senza l’ausilio di strumenti

elettronici (art. 35)



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 36

Disciplinare Tecnico in materia di Misure minime di Sicurezza

L’allegato B è composto da 29 commi:

1-11 Sistema di autenticazione informatica

12-14 Sistema di autorizzazione

15-18 Alter misure di sicurezza

19 (1-8) Documento Programmatico Sulla Sicurezza

20-24 Ulteriori misuri in caso di trattamento di dati sensibili

25-26 Misure di tutela e garanzia

27-29 Trattamento di dati senza l’ausilio di strumenti elettronici



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 37

Verifica della attività AmministratoriVerifica almeno annuale da parte dei titolari del trattamento sulla

rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i

trattamenti di dati personali

Amministratori di Sistema

Valutazione delle caratteristiche soggettiveL'attribuzione delle funzioni di amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e dell'affidabilità del

soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il

profilo relativo alla sicurezza.Anche quando le funzioni di amministratore di sistema o assimilate sono

attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi dell'art. 30 del Codice, il titolare e il responsabile

devono attenersi comunque a criteri di valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi dell'art. 29.



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 38

Elenco degli amministratori di sistema e delle loro caratteristiche

Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento

interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco

delle funzioni loro attribuite.

Designazioni individualiLa designazione quale amministratore di sistema deve essere in ogni caso individuale e recare l'elencazione analitica degli ambiti

di operatività consentiti in base al profilo di autorizzazione assegnato.




• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 39

Registrazione degli accessi degli amministratori Devono essere adottati sistemi idonei alla registrazione degli accessi logici

(autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema.

Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al

raggiungimento dello scopo di verifica per cui sono richieste.

Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per

un congruo periodo, non inferiore a sei mesi.




• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 40

sanzioni Amministrative

sanzioni Penali

risarcimento per danni

Sanzioni



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 41

Sanzioni amministrative

Omessa o inidonea informativa per trattamenti che non contengono dati sensibili:

Ammenda da 3.000,00€ a 18.000,00€

Tale somma può essere aumentata fino al triplo se, in ragione delle condizioni economiche del contravventore, risulta inefficace.

Omessa o inidonea informativa per trattamenti che contengono dati sensibili:

Ammenda da 5.000,00€ a 30.000,00€

Tale somma può essere aumentata fino al triplo se, in ragione delle condizioni economiche del contravventore, risulta inefficace

Omessa o incompleta notificazione:

Ammenda da 10.000,00€ a 60.000,00€



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 42

Sanzioni penali

Trattamento di dati senza il prescritto consenso

Se il trattamento causa un danno: reclusione da 6 a 18 mesi

Se il trattamento è effettuato in violazione delle regole in ordine alla comunicazione e alla diffusione :reclusione da 6 a 24 mesi

Violazione dei divieti di comunicazione e diffusione

Se il trattamento causa un danno: reclusione da 1 a 3 anni

Omessa adozione delle misure minime di sicurezza

Arresto sino a 2 anni o ammenda da 30.000,00€ a 180.000,00€

(con possibilità di ‘ravvedimento operoso’)



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 43

Organi di controllo

Ufficio del garante

Guardia di finanza

Polizia postale



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 44

Le multe



• Second level

• Third level

• Fourth level

• Fifth level

08/04/23 45

PrivacyLab

Documents

Lezioni di Privacy Corso2011