privacy –lessonlearned (1996 -2014) · 2015-04-08 · dalla legge 12 luglio 2011, n. 106, in...
TRANSCRIPT
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Privacy – Lesson learned
(1996 - 2014)
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Giancarlo Butti (LA BS7799), (LA ISO IEC 27001:2013), CRISC, ISM
Master di II livello in Gestione aziendale e Sviluppo Organizzativo (MIP-Politecnico di Milano).
Mi occupo di ICT, organizzazione e normativa dai primi anni 80:
• analista di organizzazione, security manager, project manager ed auditor presso gruppi bancari
• consulente in ambito documentale, sicurezza, privacy… presso aziende di diversi settori e dimensioni.
Come divulgatore ho all’attivo:
• oltre 600 articoli su 20 diverse testate
• 19 fra libri e white paper, alcuni dei quali utilizzati come testi universitari
• 5 opere collettive nell’ambito di ABI LAB e Oracle Community for Security
Corsi e seminari:
• docente presso ITER, ABI Formazione, CETIF, INFORMA in ambito privacy, audit ICT e audit normativo e membro della faculty di ABI Formazione.
Socio e proboviro di AIEA (www.aiea.it) e socio del CLUSIT (www.clusit.it).
Partecipo ai gruppi di lavoro di ABI LAB sulla Business Continuity, di ISACA-AIEA su Privacy EU e 263, del Comitato degli esperti per l'innovazione di OMAT360, di Oracle Community forSecurity.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
• Mancanza di coordinamento fra i legislatori
• Semplificazioni inapplicabili
• Mancata valutazione delle conseguenze degli
interventi di semplificazione
• Generazione di situazioni ingestibili
• Definizioni lasche e uso improprio dei termini
Problemi
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Aspetti di sicurezza nella normativa
privacy– Dlgs 196/03 e relativi Allegati
– Lavoro: le linee guida del Garante per posta elettronica e internet - 01 marzo 2007
– Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008
– Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008
– Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008
– Provvedimento in materia di videosorveglianza - 8 aprile 2010
– Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie - 12 maggio 2011
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato
B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 (G.U. n. 287 del 9
dicembre 2008).
Art. 1. Soggetti che possono avvalersi della semplificazione
Le seguenti modalità semplificate sono applicabili dai soggetti pubblici o privati che:
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod.civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
I tentativi di semplificazione:
le misure di sicurezza
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
I tentativi di semplificazione:
le misure di sicurezza
Un datore di lavoro tratta i dati anche sensibili dei
FAMILIARI dei dipendenti ai fine ad esempio
dell’applicazione della legge 104
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
I tentativi di semplificazione:
le misure di sicurezza
Un datore di lavoro tratta i dati anche relativi alla DIAGNOSI dei dipendenti, come del
resto riportato nelle Linee-guida per il trattamento di dati dei dipendenti privati - 23
novembre 2006 (G.U. 7 dicembre 2006, n. 285):
6.3. Denuncia all'Inail. Diversamente, per dare esecuzione ad obblighi di
comunicazione relativi a dati sanitari, in taluni casi il datore di lavoro può anche venire
a conoscenza delle condizioni di salute del lavoratore.
Tra le fattispecie più ricorrenti deve essere annoverata la denuncia all'Istituto
assicuratore (Inail) avente ad oggetto infortuni e malattie professionali occorsi ai
lavoratori; essa, infatti, per espressa previsione normativa, deve essere corredata da
specifica certificazione medica (artt. 13 e 53 d.P.R. n. 1124/1965).
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
a) utilizzano dati personali non sensibili o che trattano come unici dati sensibili riferiti ai propri dipendenti e collaboratori anche a progetto quelli costituiti dallo stato di salute o malattia senza indicazione della relativa diagnosi, ovvero dall'adesione a organizzazioni sindacali o a carattere sindacale;
I tentativi di semplificazione:
le misure di sicurezza
L’applicabilità delle semplificazioni si limita quindi in modo certo
solo ai titolari che non abbiano dipendenti, considerando che le
altre caratteristiche richieste per usufruirne non trovano
riscontro nella realtà nel caso della presenza anche di un solo
dipendente.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
b) trattano dati personali unicamente per correnti finalità amministrative e contabili, in particolare presso liberi professionisti, artigiani e piccole e medie imprese (cfr. art. 2083 cod. civ. e d.m. 18 aprile 2005, recante adeguamento alla disciplina comunitaria dei criteri di individuazione di piccole e medie imprese, pubblicato nella Gazzetta Ufficiale 12 ottobre 2005, n. 238).
I tentativi di semplificazione:
le misure di sicurezza
La definizione di correnti finalità amministrative e contabili è assolutamente
discrezionale in quanto non definitiva.
Solo nel 2011 verrà introdotta nell’art. 34 del Dlgs 196/03
1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati
per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali
finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e
precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e
all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza
sul lavoro. (3).
(3) Comma aggiunto dall'art. 6, comma 2, lett. a), numero 5), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni,
dalla legge 12 luglio 2011, n. 106, in sostituzione del precedente comma 1-bis aggiunto dall'art. 29, comma 1, del decreto legge 25
giugno 2008, n. 112, convertito, con modificazioni, dalla legge 6 agosto 2008, n. 133.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
La prima semplificazione relativa al DPS è stata introdotta con il Decreto-Legge convertito con modificazioni dalla L. 6 agosto 2008, n. 133 (in SO n.196, relativo alla G.U. 21/08/2008, n.195).
Art. 29. Trattamento dei dati personali 1. All'articolo 34 del ((codice in materia di protezione dei dati personali, di cui al)) decreto legislativo 30 giugno 2003, n. 196, dopo il comma 1 e' aggiunto il seguente: (("1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi, ovvero all'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali trattamenti, nonche‘ a trattamenti comunque effettuati per correnti finalita' amministrative e contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentito il Ministro per la semplificazione normativa, individua con proprio provvedimento, da aggiornare periodicamente, modalita‘ semplificate di applicazione del disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui al comma 1")).
I tentativi di semplificazione:
il DPS 1
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 (G.U. n. 287 del 9 dicembre 2008)
Già citata in precedenza per quanto attiene la semplificazione delle misure di sicurezza
I tentativi di semplificazione:
il DPS 2
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106 (G.U. 12/7/2011, n. 160),
Art. 34. Trattamenti con strumenti elettronici
1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell' articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a trattamenti comunque effettuati per correnti finalitàamministrativo-contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al comma 1.
I tentativi di semplificazione:
il DPS 3
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
I tentativi di semplificazione:
il DPS 3
• Sono quindi esclusi dalla semplificazione tutti quei soggetti che trattano dati sensibili specificatamente, quali ad esempio assicurazioni, medici, dentisti…
• Ma in realtà anche quanti trattano altri dati sensibili come quelli contenuti nei log della navigazione sul web come ci ricorda il Garante per la protezione dei dati personali nelle sue Lavoro: le linee guida del Garante per posta elettronica e internet.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
I tentativi di semplificazione:
il DPS 4
Articolo 47 del Decreto sulle semplificazioni
(Semplificazioni in materia di dati personali)
1. Al decreto legislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:
…
b) all’articolo 34 sono soppressi la lettera g) del comma 1 e il comma 1-bis;
c ) nel disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B sono soppressi i paragrafi da 19 a 19.8 e 26.
Il DPS scompare come misura minima di sicurezza
Resta tuttavia l’obbligo di redazione di un documento analogo, anche se non più con scadenza prefissata e senza sanzione penale per il rispetto di quanto prescritto dall’articolo 30 del Dlgs 196/03
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Riduzione del perimetro di tutela 1
Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla
legge 12 luglio 2011, n. 106 (G.U. 12/7/2011, n. 160)
"3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o
associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i
medesimi soggetti per le finalita' amministrativo - contabili, come definite all'articolo
34, comma 1-ter, non e' soggetto all'applicazione del presente codice.";
Azienda/Ente… Azienda/Ente…NO
Persona fisica
SI
Persona fisica SI
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Riduzione del perimetro di tutela 1
Decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla
legge 12 luglio 2011, n. 106 (G.U. 12/7/2011, n. 160)
Paradossalmente quindi un professionista deve rilasciare una informativa (e mettere
in atto tutti gli altri adempimenti di tutela) sia che si relazioni con una persona fisica,
sia che si relazioni con un’azienda, mentre quest’ultima deve farlo solo se tratta dati
di persone fisiche.
Azienda/Ente… Azienda/Ente…NO
Persona fisica
SI
Persona fisica SI
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Riduzione del perimetro di tutela 2
Decreto Legge 6 dicembre 2011, n. 201, convertito, con modificazioni, dalla legge 22 dicembre 2011, n. 214
Art. 4. Definizioni
1. Ai fini del presente codice si intende per:
b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Persona
fisica
Persona
giuridica
Ambiguità
Interpretazioni diverse ad esempio per alcuni casi dubbi come leditte individuali.
Il Garante nella sua pubblicazione “La Privacy dalla
parte dell’impresa” cita seppure in un altro contesto
“…persona fisica (si pensi all’imprenditore individuale)…”.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008(G.U. n. 300 del 24 dicembre 2008)
4. Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettroniciDi seguito sono indicati gli accorgimenti e le misure che vengono prescritti ai sensi dell'art. 154, comma 1, lett. c) del Codice, a tutti i titolari dei trattamenti di dati personali effettuati con strumenti elettronici, esclusi, allo stato, quelli effettuati in ambito pubblico e privato a fini amministrativo-contabili che, ponendo minori rischi per gli interessati, sono stati oggetto delle recenti misure di semplificazione (art. 29d.l. 25 giugno 2008, n. 112, conv., con mod., con l. 6 agosto 2008, n. 133; art. 34 del Codice; Provv. Garante 6 novembre 2008).
Alcune conseguenzeprovvedimento sugli amministratori di sistema
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Alcune conseguenzeprovvedimento sugli amministratori di sistema
Perimetro prudenziale iniziale
comprendente tutti i trattamenti
Perimetro prudenziale iniziale del provvedimento (in assenza di una
definizione di a fini amministrativo-contabili)
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Alcune conseguenzeprovvedimento sugli amministratori di sistema
Trattamenti ai fini
amministrativi
contabiliAltri trattamenti
(mkt…)
Introduzione nel Dlgs 196/03 della definizione dei trattamenti ai fini amministrativo-contabili
Art. 34 1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Alcune conseguenzeprovvedimento sugli amministratori di sistema
Trattamenti ai fini
amministrativi
contabiliAltri trattamenti
(mkt…)
A seguito della definizione estensiva dei trattamenti amministrativi contabili una azienda normale potrebbe essere anche totalmente al di fuori della portata del perimetro del provvedimento.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Alcune conseguenzeprovvedimento sugli amministratori di sistema
Trattamenti ai fini
amministrativi
contabili
Altri trattamenti
(mkt…)
Introduzione del Dlgs 196/03 della riduzione del perimetro dei soggetti tutelati.
Art. 4. Definizioni
1. Ai fini del presente codice si intende per:
b) "dato personale", qualunque informazione relativa a persona fisica, identificata o identificabile, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione
personale.
Persone fisiche
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Alcune conseguenzeprovvedimento sugli amministratori di sistema
La notevole riduzione del perimetro conseguente alla definizione dei trattamenti effettuati per finalità amministrativo-contabili (che sono fuori perimetro) e alla riduzione alle sole persone fisiche della tutela del Dlgs 196/03 rende di fatto residuale il perimetro di applicazione del provvedimento sugli amministratori di sistema.
Si pone il problema che ora la tracciatura degli accessi effettuata fuori dal perimetro del provvedimento:
•non è più obbligatoria
•non è giustificabile quindi dal punto di vista normativo
•Non è quindi attuabile senza un valido e dichiarato motivo.
Altrimenti si incorre in un illecito trattamento di dati personali (i log degli amministratori di sistema che vengono tracciati sono dati personali di questi ultimi).
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Alcune conseguenzeprovvedimento sugli amministratori di sistema
Si presentano quindi 2 diverse possibili soluzioni:
•si riduce il perimetro di tracciatura (soluzione spesso difficilmente praticabile) salvo il caso in sui si riscontri una totale estraneità al provvedimento
•si definiscono nuove finalità per l’attività relativa alla tracciatura
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Alcune conseguenze
La semplificazione ha eliminato la tutela sulle persone giuridiche, ma non sulle persone che le rappresentano (rappresentante legale….).
Difatto quindi si deve comunque rilasciare un’informativa a tali soggetti.
Inoltre, le persone giuridiche sono comunque tutelate relativamente al Titolo X – Capo I - Comunicazioni elettroniche, come peraltro precisato dal Provvedimento in ordine all'applicabilità alle persone giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011 – 20.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Persona
fisica
Persona
giuridica
Titolo X Cap IPersone fisiche
di
persone giuridiche
Ambito di tutela
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Persona
giuridicaPersona
giuridica
Ambito di tutela
pf
pfpf pf pf
pf
pf
pf
Anche se le persone giuridiche non sono tutelate, lo sono le persone fisiche al loro interno.
Le relazioni reali avvengono fra persone fisiche delle quali si trattano i dati (numeri di telefono,e-mail, identificativi…)
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Xxxxx yyyy
Xxxxx yyyy
Xxxxx yyyy
20000
500
10000 Dato personale di
persona fisica
Estratto conto di persona giuridica
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
La gestione dei diritti
Art. 7. Diritto di accesso ai dati personali ed altri diritti
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma
intelligibile.
Art. 8. Esercizio dei diritti
1.I diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo.
Art. 9. Modalità di esercizio
1. La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Quando riguarda l'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, la richiesta può essere formulata anche oralmente e in tal caso èannotata sinteticamente a cura dell'incaricato o del responsabile.
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
La gestione dei diritti
Quindi Rossi Mario, in qualità di interessato, può richiedere, senza alcuna formalità, anche oralmente alla Alfa SpA, titolare del trattamento, circa l’esistenza o meno di dati personali che lo riguardano
?InteressatoTitolare
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
La gestione dei diritti
L’unico modo che Alfa SpA ha, per verificare la
richiesta di Mario Rossi, è raccogliere i suoi dati, al fine di verificarne la presenza nei propri archivi.
InteressatoTitolare
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Quindi, anche se in precedenza Alfa SpA non trattava i dati di Rossi Mario ora lo fa. L’esercizio dei diritti dell’interessato comporta quindi esso stesso un trattamento. Considerando che il Titolaredeve avere evidenza dell’aver risposto alla richiesta dell’interessato, dovrà conservare tali dati per almeno 10 anni.
E’ evidente che prima di dare corso ad un trattamento, è necessario rilasciare anche una adeguata informativa all’interessato.
InteressatoTitolare
La gestione dei diritti
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Dlgs 196/03
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza
l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la
conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il
raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione
e la distruzione di dati, anche se non registrati in una banca di dati;
Allegato B
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari
redige anche attraverso il responsabile, se designato, un documento programmatico sulla
sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento
delle operazioni bancarie - 12 maggio 2011
L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque, a personale
diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti.
Uso non coerente dei termini
Privacy - Lesson learned
Giancarlo Butti - Sessione di studio AIEA - IAPP - 23/10/2014
Grazie per l’attenzione
Riferimenti