Ed. 05/2014
Il D.Lgs. 196/2003 in materia di privacy e sicurezza dei dati in materia di privacy e sicurezza dei dati
1 / 36
Il diritto alla riservatezza
Ed. 05/2014
Il diritto alla riservatezza si manifesta come il diritto di ogni individuo a mantenere libera da ingerenze esterne la propria vita privata
Diritto alla privacy: che consente ad ogni individuo di non permettere ingerenze esterne che possono intromettersi nella sfera della sua vita privata Diritto all’oblio: che consente di non portare a conoscenza di altri informazioni che riguardano l’interessato. Diritto all’identità personale: quale diritto di utilizzare in via esclusiva il proprio nome e altri elementi identificativi della propria persona, impedendone l’utilizzo indebito da parte di altri
2 / 36
Il diritto alla privacy
Ed. 05/2014
Costruire liberamente e difendere la propria sfera privata Scegliere il proprio stile di vita senza interferenze ed intromissioni indesiderate da parte di terzi Tutelare la privacy significa permettere all’individuo di decidere autonomamente t t l’l’ambito bit entro t cuii i suoii d dati ti personali, li che h ne rivelano l’identità e la sfera intima, possono essere portati a conoscenza di terzi e di controllare i trattamenti di tali dati, nel rispetto peraltro delle esigenze della società in cui vive
Art. 3 della Costituzione “Tutti i cittadini hanno p pari dignità g sociale e sono eguali g davanti alla legge, senza distinzione di sesso, di razza, di lingua, di religione, di opinioni politiche, di condizioni personali e sociali.” 3 / 36
Il diritto alla privacy
Ed. 05/2014
Art. 1 - “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”
Art. 2 “Il trattamento dei dati personali deve essere effettuato nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato dell interessato, tutelandone la riservatezza riservatezza. all all’identità identità personale e al diritto alla protezione dei dati personali”.
4 / 36
Cenni storici in materia di privacy
Ed. 05/2014
Convenzione di Strasburgo n. 108/1981 esigenza e urgenza di dare protezione alle persone in relazione all’elaborazione automatica dei propri dati personali Direttiva europea 95/46/CE individuati standard di protezione minimi, validi a livello europeo, di cui si è imposta la ricezione nelle legislazioni nazionali Legge n. 675/96: recepisce le parti più significative della Direttiva Decreto D t LLegislativo i l ti 196/2003 “Codice “C di Privacy” Pi ” Disposizioni che vanno oltre i contenuti della Direttiva. La disciplina di tutela dei dati personali si applica anche alle persone giuridiche, enti ed associazioni oltre che alle persone fisiche
5 / 36
Il Garante sulla Privacy Il Garante è l’Autorità, istituita ai sensi della legge, avente funzioni di garantire il rispetto della disciplina, assicurare corretta interpretazione delle norme e svolgere attività repressione degli illeciti commessi in violazione degli obblighi materia di protezione dei dati.
Ed. 05/2014
le la di in
Il Garante per la protezione dei dati personali è un’autorità indipendente p istituita dalla legge gg sulla p privacyy p per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali. É un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono g in carica per un mandato di quattro anni rinnovabile – dal 2013 il Garante è Antonello Soro Gli accertamenti ispettivi sono effettuati in collaborazione con l’ Unità Speciale della Guardia di Finanza“Nucleo Speciale p Funzione Pubblica e Privacy” y 6 / 36
Struttura del Codice sulla Privacy
Ed. 05/2014
Il Codice ha “ordinato” in un unico testo l’intera e complessa materia a e a co concernente ce e e la ap privacy acy e il trattamento a a e o de dei da dati pe personali so a Disposizioni p generali g (artt. ( 1-45)) le regole sostanziali della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti Disposizioni relative a trattamenti specifici (artt. 46-140) Es trattamento dei dati personali nell Es. nell’ambito ambito della pubblica amministrazione, in quello giudiziario e nel campo sanitario Disposizioni finali e allegati tecnici Azioni di tutela dell’interessato e sistema sanzionatorio Allegati tecnici, es. codici deontologici, misure minime di sicurezza
7 / 36
Struttura del Codice sulla Privacy
Ed. 05/2014
Codici di deontologia per specifici ambiti di trattamento (all. A); A.1. attivitĂ giornalistica A.2. scopi storici A.3.Sistan ((Sistema Statistico Nazionale)) A.4 scopi statistici e scientifici A.5. sistemi informativi gestiti da soggetti privati in tema di credito al consumo, affidabilitĂ e puntualitĂ nei pagamenti A.6. investigazioni difensive All. B - Disciplinare tecnico in materia di misure minime di sicurezza All C - Trattamenti non occasionali effettuati in ambito giudiziario All. o per fini di giustizia
8 / 36
I ruoli e le responsabilità
Ed. 05/2014
• IL TITOLARE • IL RESPONSABILE • L’INCARICATO
• I responsabili esterni “in outsourcing” • LAmministratore L’Amministratore di Sistema
9 / 36
I ruoli e le responsabilità
Ed. 05/2014
Il Titolare del Trattamento ART. 4 ‐ DEFINIZIONI , lett. F “persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, ente associazione o organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità di trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”
10 / 36
I ruoli e le responsabilità
Ed. 05/2014
Il Titolare del Trattamento ART. 28 “quando il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da qualsiasi altro ente, associazione od d organismo, i tit l titolare d l trattamento del t tt t è l’entità l’ tità nell suo complesso l o l’unità o organismo periferico che esercita un potere decisionale del tutto autonomo”
11 / 36
I ruoli e le responsabilità
Ed. 05/2014
I compiti e le Responsabilità del Titolare del Trattamento Decidere in ordine alle finalità e alle modalità del trattamento dei dati personali, personali nonché ai profili della sicurezza, sicurezza le regole e le disposizioni organizzative Rispondere in caso di illeciti: comunque ha la responsabilità secondo il principio della “Culpa in vigilando” Nominare individuare e dare disposizioni ai Responsabili e agli Nominare, Incaricati Informare l’interessato,, ottenere il consenso,, g garantire l’accesso ai dati secondo quanto previsto dall’art. 7 Trattare i dati secondo necessità, liceità e correttezza adottando le misure di sicurezza come indicato all’All.B all’All B del Codice Notificare al Garante e i trattamenti previsti Richiedere le autorizzazioni al Garante quando necessarie (dati sensibili, trasferimento extra UE)
12 / 36
I ruoli e le responsabilità
Ed. 05/2014
PE ENALE
- danni cagionati ad altri per effetto del trattamento di dati personali che obbligano al risarcimento del danno ai sensi dell’art. 2050 del C.C.
A AMMINI ISTRATIIVA
-
C CIVILE
Responsabilità del Titolare del Trattamento falsità nelle dichiarazioni richieste dal Garante o in caso di accertamenti f l ità nella falsità ll notifica tifi all Garante, G t per realtà ltà dove d è necessaria i trattamento illecito dei dati personali per trarne profitto o danno a terzi omessa adozione di misure necessarie alla sicurezza dei dati inosservanza dei provvedimenti del Garante violazione della legge 20/05/70 sulla dignità dei lavoratori
- omesso invio di informazioni o documenti richiesti dal Garante nell’esercizio nell esercizio del potere di vigilanza e controllo - violazione delle disposizioni riguardanti l’informativa all’interessato - Cessione di dati non autorizzata; - comunicazione di dati idonei a rivelare lo stato di salute a soggetti non autorizzati - omessa o incompleta notificazione in realtà dove è necessario 13 / 36
I ruoli e le responsabilità
Ed. 05/2014
Il Responsabile del Trattamento Art. 4, lett. G La persona fisica, la persona giuridica, la Pubblica amministrazione e qualsiasi altro ente, associazione, organismo prepostii dal d l titolare i l all trattamento dei d i dati d i personali” li” nomina facoltativa possono essere più di
uno e con compiti diversi può essere sia interno che esterno caratteristiche di alto profilo (esperienza, capacità, à affidabilità) ff à
“Culpa in eligendo” la nomina deve essere scritta
con assegnazione analitica di compiti e istruzioni deve d essere accettata il Titolare può vigilare
14 / 36
I ruoli e le responsabilità
Ed. 05/2014
Il Responsabile del Trattamento NON HA AUTONOMIA DECISIONALE Sulle finalità e modalità del trattamento dei dati, ma ha il compito di attuare e far rispettare le strategie e le regole definite dal Titolare
Nomina gli incaricati e fornisce le istruzioni
Può essere una persona fisica o una Società (persona giuridica)
Almeno uno viene indicato nell’informativa
Può essere interno o esterno
Può avere ambiti limitati rispetto p ad alcune aree di trattamento
Esempi: - Studio elaborazione paghe - Medico competente - Resp. Sistemi Informativi
15 / 36
I ruoli e le responsabilità
Ed. 05/2014
PE ENALE
- danni cagionati ad altri per effetto del trattamento di dati personali che obbligano al risarcimento del danno ai sensi dell’art. 2050 del C.C.
A AMMINI ISTRATIIVA
-
C CIVILE
Responsabilità del Responsabile Trattamento ffalsità l ità nelle ll dichiarazioni di hi i i richieste i hi t dal d l Garante G t o in i caso di accertamenti t ti trattamento illecito dei dati personali per trarne profitto o danno a terzi omessa adozione di misure necessarie alla sicurezza dei dati inosservanza dei provvedimenti del Garante.
- omesso invio di informazioni o documenti richiesti dal Garante nell’esercizio nell esercizio del potere di vigilanza e controllo - violazione delle disposizioni riguardanti l’informativa all’interessato - Cessione di dati non autorizzata; - comunicazione di dati idonei a rivelare lo stato di salute a soggetti non autorizzati
16 / 36
I ruoli e le responsabilità
Ed. 05/2014
Amministratore di Sistema – Provv. Garante 27 nov. 2008 I soggetti gg preposti p p ad attività riconducibili alle mansioni tipiche p dei cosiddetti “amministratori di sistema” nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati (amministratori di rete, rete Data Base, Base CRM) Molte attività sono quelle previste dall’Allegato B del Codice Privacy. -
Back up e ripristino dati Flussi di rete Gestione password Manutenzione
E Esempi i: -
Amministratore A Amministratore i i t t Amministratore Amministratore ao Amministratore
di rete SAP CRM aziendale banche da ba dati sito e-commerce
17 / 36
I ruoli e le responsabilità
Ed. 05/2014
Amministratore di Sistema – Provv. Garante 27 nov. 2008 I soggetti gg preposti p p ad attività riconducibili alle mansioni tipiche p dei cosiddetti “amministratori di sistema” nonché di coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche b h di dati d ti (amministratori ( i i t t i di rete, t Data D t Base, B CRM) ART. 29 del Codice Privacy ART Soggetto dotato di Caratteristiche soggettive nominato “per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza sicurezza”
Cosa comporta il provvedimento Nomina del Titolare del Trattamento Nominativo inserito nel DPS Conservazione di Access Log al sistema non modificabili Verifica dell’attività degli Amm.
18 / 36
I ruoli e le responsabilità
Ed. 05/2014
Gli Incaricati al Trattamento ART. 4 - lett. H “le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile”.
Operano sotto la diretta
autorità del Titolare o del Responsabile (art (art.30) 30) Sono solo persone fisiche La designazione g è obbligatoria (art. 30 ..solo da incaricati”)
Devono essere nominati
TUTTI (ad personam o per gruppi di appartenenza) La nomina deve essere scritta Possono trattare solo i dati indispensabili alle mansioni assegnate
19 / 36
Le definzioni
Ed. 05/2014
TRATTAMENTO Qualunque operazione o complesso di operazioni, effettuati anche senza ll'ausilio ausilio di strumenti elettronici, elettronici concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione il raffronto, l'estrazione, raffronto l'utilizzo, l'utilizzo l'interconnessione, l'interconnessione il blocco, blocco la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. DATO PERSONALE Qualunque informazione relativa a persona fisica, fisica persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione ivi compreso un numero di identificazione informazione, personale. DATI IDENTIFICATIVI I dati personali che dell'interessato dell interessato.
permettono
l'identificazione
diretta
20 / 36
Le definzioni
Ed. 05/2014
DATI SENSIBILI I dati personali idonei a rivelare ll'origine origine razziale ed etnica, etnica le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, religioso filosofico, filosofico politico o sindacale, nonchĂŠ i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Documenti contenenti dati sensibili: -- Cartelle sanitarie di rischio gestite dal Medico del Lavoro -- Cedolini paga -- Tessera T di adesione d i a Associazione A i i D Donatori t i Sangue S ParticolaritĂ Si riferiscono a persone fisiche Serve sempre il consenso scritto al trattamento Se trattati con strumenti elettronici la password deve essere cambiata almeno ogni tre mesi 21 / 36
Le definzioni
Ed. 05/2014
DATI GIUDIZIARI i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe f delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualitĂ di imputato o di indagato ai sensi degli g articoli 60 e 61 del codice di procedura p penale. p
Particolarità Pur non essendo dati sensibili, devono essere trattati con adeguate misure di sicurezza analoghe a quelle previste per i dati sensibili. Non serve il consenso dell dell’interessato interessato, serve autorizzazione del soggetto per accedere a determinate banche dati.
22 / 36
Le definzioni
Ed. 05/2014
COMUNICAZIONE Dare conoscenza dei dati personali a uno o pi첫 soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, f anche mediante la loro messa a disposizione o consultazione. Esempio: comunicazione tramite e-mail, circolare. DIFFUSIONE Dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, forma anche mediante la loro messa a disposizione o consultazione. Esempi: pubblicazione dei dati su internet o bacheca pubblica
23 / 36
Principi alla base del trattamento dati
Ed. 05/2014
NECESSITÀ À È necessario ridurre al minimo l’utilizzazione di dati personali e dati identificativi in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità PROPORZIONALITÀ Tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite it PRESUPPOSTO DI LICEITÀ Il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il Codice prevede espressamente per gli organi pubblici da un lato e, dall’altro, per soggetti privati ed enti pubblici economici (adempimento ad un obbligo di legge, consenso libero ed espresso dell dell’interessato) interessato) 24 / 36
L’Interessato
Ed. 05/2014
ART. 4 Definizione L persona fisica, La fi i l persona giuridica, la i idi l’Ente l’E t o Associazione A i i cuii si riferiscono i dati La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice. In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante
25 / 36
L’Interessato
Ed. 05/2014
ART. 7 – L’interessato ha diritto di sapere Esistenza o meno dei dati (in forma intelligibile) Origine dei dati Logica applicata per il trattamento (es. strumenti elettronici) Estremi del Titolare e del Responsabile (se nominato) Soggetti e/o categorie di soggetti che possono venirne a conoscenza ART. 7 – L’interessato ha diritto di ottenere Aggiornamento, gg , rettifica,, integrazione g dei dati (se ( voluta)) Cancellazione, trasformazione, blocco dei dati Rifiuto al trattamento (per motivi legittimi) Rifiuto all all’utilizzo utilizzo dei dati per l’invio l invio di materiale pubblicitario ART. 8 - La richiesta p può essere scritta o orale Il Titolare deve agevolare l’accesso ai dati e fornire risposta all’interessato entro 15 giorni. La risposta può essere orale ma deve riguardare tutti i dati. dati 26 / 36
L’Informativa
Ed. 05/2014
ART. 13 Codice Privacy L’informativa contiene le informazioni che il Titolare del trattamento deve fornire all all’interessato interessato per chiarire, chiarire in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla legge.
L’interessato DEVE essere informato circa: -
Le finalità e modalità del trattamento La natura obbligatoria o facoltativa del conferimento Le conseguenze del rifiuto I soggetti (o categorie) cui potrebbero essere comunicati I diritti di cui all all’art art. 7 Gli estremi del Titolare e Responsabile (se presente)
27 / 36
Il Consenso
Ed. 05/2014
ART. 23 Codice ART C di Privacy Pi – Il consenso all Trattamento T Il consenso è la libera manifestazione della volontà con la quale ll’interessato interessato accetta – in modo espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo riguardano, sul quale è stato preventivamente informato da chi utilizza ili i dati. d i ART 24 Codice ART. C di Privacy Pi Non N è necessario i neii seguenti ti casii - obbligo derivante da disposizione di legge - obblighi derivanti da un contratto (sottoscritto dalle parti) - dati provenienti da elenchi, pubblici registri, atti o documenti conoscibili ibili da d chiunque, hi f fermi i restando t d i limiti li iti e le l modalità d lità che h le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati - salvaguardia della vita o dell’incolumità fisica di un terzo - principi sanciti dalla legge 28 / 36
Notifica al Garante
Ed. 05/2014
ART. 37 Codice ART C di Privacy Pi La notificazione è una dichiarazione con la quale il titolare del trattamento prima di iniziarlo, trattamento, iniziarlo rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti consultabile da chiunque sul sito web dell'Autorità) l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali. È necessaria nei seguenti trattamenti -Dati genetici, biometrici o posizione geografica ( (es. GPS su auto t aziendali i d li o di società i tà lo) l ) - Stato di salute e vita sessuale: per fini sanitari e procreazione assistita - Vita sessuale o sfera psichica trattati da Ass. senza scopo lucro per definire profili, abitudini, scelte dati sensibili per selezione di personale l per conto t terzi t i solvibilità l ibilità economica, i situazione it i patrimoniale - Utilizzo cookie “non non tecnici tecnici” (dal giugno 2015) 29 / 36
Allegato B al Codice Privacy
Ed. 05/2014
Misure minime di sicurezza per prevenire la manomissione, sottrazione, alterazione o consultazione di dati da parte di soggetti non autorizzati. MISURE e REGOLE ANTIVIRUS – da aggiornare per legge almeno ogni sei mesi BACK UP – adeguate BACK-UP d procedure d per la l custodia di delle d ll copie i di sicurezza e per il ripristino consentito nel termine di 7 giorni FIREWALL - dispositivo hardware sia un un’applicazione applicazione software che hanno lo scopo di proteggere la rete locale da accessi non autorizzati, bloccando le porte con cui un sistema comunica all esterno. all’esterno PROFILI DI ACCESSO – id /password (almeno 8 caratteri) Le password hanno vita di 6 o 3 mesi (dati sensibili/giudiziari) Agli incaricati devono essere impartite precise istruzioni, istruzioni individuando le aree di accesso per ciascun profilo utente o mansione - anche per i dati trattati su supporto cartaceo 30 / 36
Approfondimenti
Ed. 05/2014
Semplificazioni giugno 2008 - 2012 Applicazioni pratiche in azienda
Marketing telefonico – mailing pubblicitario
Videosorveglianza
Utilizzo di internet
31 / 36
Semplificazioni - legge 214/11 n. 214 DPS S – documento d programmatico i
Ed. 05/2014
Misura minima di sicurezza non più obbligatoria. Consigliabile mantenere una Policy o Linea Guida aziendale sulla gestione dei dati in linea con le prescrizioni del D.Lgs. 196/03 È in lavorazione, previsto per il 2015, un REGOLAMENTO EUROPEO che unificherà tutta la materia tra i Paesi dell’Unione Informativa clienti – sempre necessaria Può essere redatta un’informativa sintetica da inserire nei documenti commerciali che rimanda alla versione diffusa sul sito dell dell’azienda azienda. Il consenso non è necessario per trattamenti di dati in ambito privato per adempiere a obblighi contrattuali, requisiti di legge o ordinarie finalità amministrative/contabili Necessaria per dati genetici, sensibili, biometrici Necessaria pubblicarla nel sito nel caso in cui sia prevista una raccolta dei dati dell’utente relativa a registrazione, raccolta dati Consenso: per invio materiale pubblicitario e profilazione
32 / 36
Applicazioni pratiche n. 214 DPS – documento programmatico
Ed. 05/2014
Non più necessario – ma consigliabile avere una policy con cui il Tiltolare o a e può d dimostrare os a e cche eg gli incaricati ca ca co condividono d do o de delle e modalità operative in materia di trattamento dati Dipendenti e collaboratori interni alla struttura Informativa privacy (con eventuali disposizioni specifiche) Richiesta c esta d di co consenso se so a al ttrattamento atta e to (sc (scritta tta pe per dat dati se sensibili) sb ) Nomina come incaricato del trattamento Clienti/Utenti e fornitori Informativa privacy (resa disponibile anche sul sito internet) Consenso scritto per invio materiale informativo/pubblicità (attenzione ai tempi di conservazione dati clienti) Fornitori in out-sourcing: out sourcing: lettera di nomina Es. Medico competente – Gestione Paghe – Assistenza remota IT
33 / 36
Applicazioni pratiche n. 214 M k ti telematico Marketing t l ti
Ed. 05/2014
É necessario il consenso dell’interessato p per l’invio di mail p pubblicitarie, fax, telefonate promozionali. L’interessato deve essere prima informato, É vietato effettuare sondaggi occulti senza informare gli intervistati. Nel sito ito internet inte net devono de ono essere e e e indicate indi te le modalità mod lità di utilizzo tili o dei cookies ookie degli utenti e se è prevista la profilazione durante la navigazione
Vid Videosorveglianza li In presenza di registrazioni, è necessario: -- informare della presenza della telecamera -- redarre un documento per la videosorveglianza -- nominare il Responsabile per la videosorveglianza -- non conservare registrazioni per più di 24/48 se non c’è una comprovata necessità ART. 4 Statuto dei Lavoratori – controllo a distanza Per registrazioni in locali dove si svolgono attività lavorative è necessario richiedere il permesso all’Ispettorato del Lavoro e motivarne ll’installazione installazione. (es. (es furti, furti tutela del patrimonio, patrimonio aspetti assicurativi) 34 / 36
Applicazioni pratiche n. 214 Utili Utilizzo dei d i cookies ki – provvedimento di t G Garante t 08/05/2014
Ed. 05/2014
I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer tablet, (computer, tablet smartphone, smartphone notebook ecc.) ecc ) dell dell'utente utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. Sono usati per eseguire autenticazioni informatiche, memorizzazione di informazioni riguardanti la navigazione on line, line ma sono molto spesso utilizzati dai siti per raccogliere importanti e delicate informazioni all'insaputa degli utenti sui loro gusti, sulle loro abitudini, sulle loro scelte. -E' obbligatorio invece il consenso preventivo e informato dell'utente per
quelli cioè che,, monitorando i siti visitati,, tutti i cookie "non tecnici",, q raccolgono dati personali che consentono la costruzione di un dettagliato profilo del consumatore, e che proprio per questo motivo presentano maggiori criticità per la privacy degli utenti.
È previsto l'obbligo di notificazione al Garante, qualora i cookie siano utilizzati per "definire definire il profilo o la personalità dell dell'interessato, interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili p per fornire i servizi medesimi agli p g utenti". 35 / 36
Ed. 05/2014
Art. 169 (Misure di sicurezza) Illeciti civili Art 161 Assenza informativa privacy Art.
Sanzione Sanzione da 3 3.000 000 a 18.000 18 000 euro. euro
Assenza informativa privacy per dati sensibili o giudiziari Sanzione da 5.000 a 30.000 euro. (moltiplicabile per 3 a o in caso di trattamenti che presentano rischi specifici o seconda delle condizioni economiche del contravventore) di maggiore gg rilevanza del p pregiudizio g Art. 163 Omessa o incompleta notificazione al Garante
Sanzione da 10.000 a 60.000 euro.
Art. 164 Omissione di fornire informazioni o esibire documenti richiesti dal Garante Privacy
Sanzione da 4.000 a 24.000 euro.
Illeciti penali
Sanzione
Art. 167 Trattamento illecito di dati personali
Reclusione da 6 mesi a 3 anni. Possibile estinguere il reato ex art. 169, pagando una somma di denaro se ci si regolarizza entro il termine prescritto (non + di 6 mesi)
Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante
Sanzione penale, reclusione da 6 mesi a 3 anni
Art. 169 Omessa adozione di misure necessarie alla sicurezza dei dati Art 170 Inosservanza dei provvedimenti del Garante Art.
Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 a 50.000 euro Arresto da 3 mesi a 2 anni. anni 36 / 36