RISPOSTE ALLE DOMANDE PIU’
FREQUENTI SULLA PRIVACY
| |
Quando è entrato in vigore il Testo Unico sulla protezione dei dati presonali e cosa impone?
Quali sono le misure minime da adottare per la tutela della privacy? Quali sono i soggetti coinvolti dalla normativa? Qual'è la differenza tra dati personali e dati sensibili? I dati trattati da un'azienda devono essere autorizzati dall'interessato? In che modo? E quali sono i suoi diritti? In cosa consiste e quando è necessario il Documento Programmatico della Sicurezza? Cos'è la Data Certa? Quando va effettuata la notifica al Garante della privacy? Quali altri accorgimenti sono utili per la tutela dei dati sul posto di lavoro? Vi sono controlli periodici da fare? Vi sono disposizioni specifiche per chi ha Aree sottoposte a video sorveglianza? Quali sono le sanzioni previste per omissioni e illeciti nel trattamento della privacy? A chi è affidato il controllo degli adempimenti previsti dalla legge? Che cosa prevede la legge 133/2008? Chi è l'amministratore di sistema? Quando è obbligatorio nominarlo? | |
Quando è entrato in vigore il Testo Unico sulla protezione dei dati personali e cosa impone? Quali sono le misure minime da adottare per la tutela della privacy?Chi tratta i dati cartacei deve: eleggere un responsabile al trattamento dei dati e nominare gli addetti che li usano; mettere sotto controllo gli accessi ai dati e formalizzare i permessi all’uso; redigere un piano di sicurezza e un piano della formazione al personale coinvolto. Chi tratta i dati mediante supporti informatici deve inoltre: nominare l’amministratore della rete, il custode delle password, delle copie di sicurezza, degli antivirus e firewall; adottare le credenziali di autenticazione e un sistema di gestione delle autorizzazioni. Quali sono i soggetti coinvolti dalla normativa?il titolare, ovvero la persona fisica o giuridica, associazione o ente, cui competono le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali; il responsabile, cui è affidato per iscritto il compito della gestione e tutela dei dati personali; gli incaricati, autorizzati in forma scritta dal responsabile a compiere le necessarie operazioni di trattamento dei dati; il soggetto, a cui si riferiscono i dati personali oggetto del trattamento. Qual'è la differenza tra dati personali e dati sensibili?I dati sensibili, invece, sono possono rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. I dati sensibili sono trattati principalmente da ospedali, enti pubblici, società di selezione del personale, istituti di rilevazione demoscopica, etc. I dati trattati da una azienda devono essere autorizzati dall'interessato? In che modo? E quali sono i suoi diritti?Gli interessati hanno il diritto di ricevere l’informativa, di prestare il consenso preventivo informativo, e di avvalersi dell’Art. 7 per richiederne l’aggiornamento, l’integrazione, l’opposizione al trattamento per alcuni fini e la cancellazione dei propri dati personali. In cosa consiste e quando è necessario il Documento Programmatico della sicurezza? Che cos'è la data certa?Il metodo più semplice consiste nella cosiddetta “autoprestazione” postale; è sufficiente recarsi presso un ufficio postale con i documenti e richiedere il servizio di “data certa”. Quando va effettuata la notifica al garante della privacy?La notifica va effettuata al Garante, tramite l’apposito procedimento telematico, qualora si trattino particolari tipologie di dati sensibili (indicati nell’articolo 37 del T.U.) come :1. dati genetici, biometrici o idonei a rivelare lo stato di salute, la vita sessuale o la sfera psichica; 2. dati che indicano la posizione geografica mediante una rete di comunicazione elettronica; 3. dati trattati volti a definire il profilo o la personalità dell’interessato, le sue abitudini o scelte di consumo, o a monitorare l’utilizzo di servizi di comunicazione elettronica; 4. dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi; 5. dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; 6. dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. Quali altri accorgimenti sono utili per la tutela dei dati sul posto di lavoro?
Vi sono controlli periodici da fare?Il primo di gennaio di ogni anno si deve: 1. Verificare ed eventualmente aggiornare l’ambito del trattamento dei dati consentito ai singoli incaricati; 2. Verificare la sussistenza delle condizioni per la conservazione delle autorizzazioni per l’accesso ai dati per gli incaricati; 3. Fornire istruzioni organizzative e tecniche affinché il salvataggio dei dati sia effettuato settimanalmente; 4. Programmare interventi di formazione per gli incaricati del trattamento; 5. Provvedere all’aggiornamento delle "patch" dei programmi per computer. In caso di dati sensibili, l’obbligo diviene semestrale. Al 31 marzo di ogni anno si deve: Aggiornare il Documento Programmatico sulla Sicurezza. Con cadenza semestrale si deve: 1. Aggiornare i software antivirus e firewall; 2. Provvedere all’aggiornamento dei "patch" dei programmi per computer, nel caso di trattamento di dati sensibili. Vi sono disposizioni specifiche per chi ha Aree sottoposte a video sorveglianza?Quali sono le sanzioni previste per omissioni e illeciti nel trattamento della privacy?Gli illeciti nel trattamento dei dati personali possono essere di tipo Amministrativo, Civile o Penale. Le sanzioni amministrative vanno da un minimo di 6.000 euro per omessa o inidonea informativa riguardo ai dati personali a 120.000 euro per mancata o inidonea notifica al garante.Le sanzioni civili comportano il risarcimento dei danni patrimoniali e morali agli interessati danneggiati. Le sanzioni penali vanno da 6 mesi a 3 anni di reclusione in caso di falsa dichiarazione o trattamento illecito al fine di profitto, oppure 2 anni di carcere o ammenda pecuniaria fino a 180.000 euro per mancata adesione delle misure minime di sicurezza. A chi è affidato il controllo degli adempimenti previsti dalla legge?Alla Polizia Postale e alla Guardia di Finanza che ha da tempo sottoscritto un protocollo di intesa con il Garante per la privacy. Che cosa prevede la legge 133/2008?L'art. 29 del d.l. 112/2008, convertito con la legge n. 133/2008, ha introdotto alcune semplificazioni per quanto riguarda alcuni adempimenti previsti dal Testo Unico, In particolare, la disciplina del Documento Programmatico per la Sicurezza.E’ stato escluso dall’obbligo di redigere il DPS chi tratti dati sensibili riguardanti lo stato di salute/malattia (senza indicazione di patologia) o l’adesione a organismi sindacali dei propri dipendenti, per sole finalità amministrative e contabili. In questo caso, il titolare del trattamento dei dati dovrà redigere una autocertificazione, ai sensi del dell'art. 47 d.P.R. n. 445/2000, in cui si dichiari, appunto, di trattare solamente tali tipi di dati in osservanza delle altre misure di sicurezza prescritte dalla normativa sulla Privacy. Chi è l'amministratore di sistema?Quando è obbligatorio nominarlo?
|