Progetto Impresa

D. Lgs 196/2003D. Lgs 196/2003

Codice in materia di protezione dei dati personali.

Principi generali

Chiunque ha diritto alla protezione dei dati personali che lo riguardano

Garanzia delle libertà fondamentali

Semplificazione delle modalità di trattamento e comunicazione

Progetto Impresa

I sistemi informativi ed i programmi informatici devono ridurre al minimo l’uso dei dati personali

Il “trattamento” dei dati è ammesso sia con che senza l’ausilio di sistemi elettronici

“Dato personale” è qualunque informazione relativa a persona fisica o giuridica

“Dato identificativo” permette l’identificazione del soggetto

D. Lgs 196/2003D. Lgs 196/2003

Progetto Impresa

“Dato sensibile”: origine razziale, etnica

religiosa, filosofica, politica, partitica, sindacale, appartenenza ad ogni tipo di associazione, dati sulla salute e sessualità

L’azienda che tratta dati deve darsi un’organizzazione che tuteli la tenuta, anche obbligatoria, dei dati relativi all’”interessato”

D. Lgs 196/2003D. Lgs 196/2003

Progetto Impresa

“Titolare”: persona fisica o giuridica cui compete decidere sulle finalità del trattamento

“Responsabile”: persona fisica o giuridica preposto al trattamento dei dati

“Incaricati”: persone fisiche autorizzate a compiere operazioni di trattamento dei dati

“Comunicazione”: comunicare i dati dell’interessato a soggetti diversi

D. Lgs 196/2003D. Lgs 196/2003

Progetto Impresa

“Misure minime”: misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza nel trattare i dati

“Strumenti elettronici”

gli elaboratori, i loro programmi, e qualunque dispositivo elettronico per il trattamento.

D. Lgs 196/2003D. Lgs 196/2003

Progetto Impresa

D. Lgs 196/2003D. Lgs 196/2003

“Credenziali di autenticazione”: dispositivi assegnati in esclusiva ad una persona per il trattamento

“Parola chiave”: da modificare almeno ogni 6 mesi

“Profilo di autorizzazione”: insiemi di informazioni per definire quali dati può trattare la persona

“Sistema di autorizzazione”: insie-me delle procedure

Progetto Impresa

L’interessato ha diritto di conoscere: l’origine dei dati Finalità e modalità del

trattamento Logica applicata se

trattati elettronicamente

Estremi di titolare-responsabile-incaricati

L’interessato ha diritto di ottenere: Aggiornamento e

rettifica dei dati Cancellazione di quelli

trattati in violazione L’attestazione che le

precedenti operazioni sono state compiute

D. Lgs 196/2003D. Lgs 196/2003

Progetto Impresa

I dati personali devono essere: Trattati lecitamente e

correttamente Raccolti e registrati per

scopi determinati Esatti e aggiornati Pertinenti Conservati per un

tempo congruo

L’interessato è informato preventivamente circa: Finalità e modalità Natura obbligatoria o

facoltativa Conseguenze del rifiuto

a rispondere I suoi diritti, chi è il tito-

lare ed il responsabile L’obbligo di legge per il

trattamento senza consenso

D. Lgs 196/2003D. Lgs 196/2003

Progetto Impresa

I dati sensibili possono essere trattati solo con il consenso scritto dell’interessato a meno che non sia per leggi sulla sicurezza del lavoro (necessaria la previa autorizzazione del Garante)

Trattamento informatico: Consentito solo ad

incaricati dotati di credenziali (codice + parola chiave)

Assicurare la segre- tezza e diligente cu-stodia della componente della credenziale

D. Lgs 196/2003D. Lgs 196/2003

Progetto Impresa

“Parola chiave” di otto caratteri e non deve contenere riferimenti a dati personali dell’incaricato

Va cambiata al primo utilizzo ed ogni 6 mesi

Vanno date precise istruzioni per non lasciarle incustodite

Predisporre idonee e corrette procedure per identificare il sistema di autenticazione

Identificare i profili di autorizzazione per ogni incaricato

Revisione annuale dell’intero sistema

D. Lgs 196/2003D. Lgs 196/2003

Progetto Impresa

Il codice + la password devono essere conosciuti solo dall’incaricato.

Ogni incaricato può avere + credenziali

E se non usate per almeno 6 mesi vanno disattivate

Si devono dare istruzioni per non lasciare incustodito o accessibile il PC durante l’uso dei dati

Vanno date istruzioni scritte in caso di lunga assenza dell’incaricato

D. Lgs 196/2003D. Lgs 196/2003Allegato B – Criteri minimi di sicurezzaAllegato B – Criteri minimi di sicurezza

Progetto Impresa

D. Lgs 196/2003D. Lgs 196/2003Allegato B – Criteri minimi di sicurezzaAllegato B – Criteri minimi di sicurezza

Se ci sono profili di autorizzazione diversi occorre un sistema di autenticazione

Annualmente si verbalizza la verifica del sistema di autorizzazione

I dati personali devono essere protetti dal rischio di intrusione mediante idonei strumenti elettronici da aggiornare almeno ogni 6 mesi

Le istruzioni devono prevedere salvataggio dei dati settimanalmente

Progetto Impresa

D. Lgs 196/2003D. Lgs 196/2003Allegato B – Criteri minimi di sicurezzaAllegato B – Criteri minimi di sicurezza

Entro ogni 31 marzo il titolare redige il documento program-

matico sulla sicurezza che riguarda

l’elenco dei trattamenti dei dati

distribuzione di compiti e responsabilità

Analisi dei rischi che incombono sui dati

Le misure adottate, ecc.