Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Protezione dei dati personali: normative e sicurezza, Appunti di Elementi di Informatica

Una panoramica della direttiva comunitaria 1995/46/CE sulla protezione dei dati personali, il Codice privacy italiano e le norme relative alla sicurezza dei dati. Viene discusso il trattamento legittimo dei dati, le figure chiave del trattamento, le misure di sicurezza e la protezione della privacy nelle comunicazioni elettroniche.

Tipologia: Appunti

2019/2020

Caricato il 29/11/2020

AriannaCat31
AriannaCat31 🇮🇹

4.7

(3)

10 documenti

1 / 9

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Domanda privacy
Domanda tutela dati personali
La tutela dei dati personali trova il suo basamento normativo nella direttiva comunitaria 1995/46/
CE, nella quale per la prima volta si è previsto il diritto alla privacy di tutti i cittadini, da intendersi
come l’interesse di ciascun soggetto a mantenere la sfera della propria vita privata e intima al
riparo da indiscrezioni altrui.
L’attuale Codice in materia di protezione dei dati personali ( Codice privacy) è suddiviso in tre parti
fondamentali e otto allegati: nella prima e nella terza parte sono raccolte le norme già presenti
nella legge n. 675/1996, mentre nella seconda parte è contenuta una regolamentazione puntuale
di diversi settori. Nella prima parte, il legislatore si occupa di fornire le definizioni dei termini
specifici del settore, distinguendo le varie tipologie di dati e forme di tutela per ciascuna di esse. I
dati protetti si distinguono in:
-Personali: qualunque informazione relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente, mediante riferimento a
qualsiasi altra informazione.
-Sensibili: dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati ,associazioni
od organizzazioni di carattere religioso, filosofico, politico o sindacale.
-Giudiziari: dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale,
di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualità d’imputato o d’indagato.
Il trattamento dei dati sottoposto alla normativa in oggetto si riferisce a qualunque operazione o
complesso di operazioni effettuate con o senza l’ausilio di strumenti elettronici, concernenti dati,
anche se non registrati in una banca di dati.
Fino al 2011, il Codice privacy si applicava a qualsiasi dato riferito a persona fisica o giuridica
trattato da un soggetto stabilito in Italia, ad eccezione dei dati trattati da persone fisiche per fini
esclusivamente personali. Il decreto legge n. 70/2011 ha modificato tale principio stabilendo che il
trattamento dei dati personali relativi a persone giuridiche, a prescindere dalla natura dei dati
trattati, ovvero per scopi connessi allo svolgimento delle attività di natura organizzativa,
amministrativa, finanziaria e contabile, non soggiace alle disposizioni del Codice.
Il trattamento dei dati personali è legittimo soltanto sulla base di due presupposti:
1. L’autorizzazione del Garante per la protezione dei dati personali.
2. Il consenso del soggetto cui i dati stessi si riferiscono.
Nella normativa italiana vige il sistema dell’opt-in, consenso preventivo. In base a tale sistema, il
trattamento dei dati è lecito solo quando l’interessato ha dato il suo consenso preventivo, sulla
base delle dichiarazioni che il titolare del trattamento ha rilasciato riguardo alle operazioni che
andrà a svolgere e che costituiscono l’informativa all’interessato. In Gran Bretagna, al contrario,
hanno adottato il sistema dell’opt-out, ossia del consenso successivo all’invio della prima
comunicazione: l’interessato, quando riceve una comunicazione, riceve altresì contestualmente
pf3
pf4
pf5
pf8
pf9

Anteprima parziale del testo

Scarica Protezione dei dati personali: normative e sicurezza e più Appunti in PDF di Elementi di Informatica solo su Docsity!

Domanda privacy Domanda tutela dati personali La tutela dei dati personali trova il suo basamento normativo nella direttiva comunitaria 1995/46/ CE, nella quale per la prima volta si è previsto il diritto alla privacy di tutti i cittadini, da intendersi come l’interesse di ciascun soggetto a mantenere la sfera della propria vita privata e intima al riparo da indiscrezioni altrui. L’attuale Codice in materia di protezione dei dati personali ( Codice privacy ) è suddiviso in tre parti fondamentali e otto allegati: nella prima e nella terza parte sono raccolte le norme già presenti nella legge n. 675/1996, mentre nella seconda parte è contenuta una regolamentazione puntuale di diversi settori. Nella prima parte, il legislatore si occupa di fornire le definizioni dei termini specifici del settore, distinguendo le varie tipologie di dati e forme di tutela per ciascuna di esse. I dati protetti si distinguono in:

  • Personali : qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione.
  • Sensibili : dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati ,associazioni od organizzazioni di carattere religioso, filosofico, politico o sindacale.
  • Giudiziari : dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità d’imputato o d’indagato. Il trattamento dei dati sottoposto alla normativa in oggetto si riferisce a qualunque operazione o complesso di operazioni effettuate con o senza l’ausilio di strumenti elettronici, concernenti dati, anche se non registrati in una banca di dati. Fino al 2011, il Codice privacy si applicava a qualsiasi dato riferito a persona fisica o giuridica trattato da un soggetto stabilito in Italia, ad eccezione dei dati trattati da persone fisiche per fini esclusivamente personali. Il decreto legge n. 70/2011 ha modificato tale principio stabilendo che il trattamento dei dati personali relativi a persone giuridiche, a prescindere dalla natura dei dati trattati, ovvero per scopi connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, non soggiace alle disposizioni del Codice. Il trattamento dei dati personali è legittimo soltanto sulla base di due presupposti:
  1. L’autorizzazione del Garante per la protezione dei dati personali.
  2. Il consenso del soggetto cui i dati stessi si riferiscono. Nella normativa italiana vige il sistema dell’ opt-in , consenso preventivo. In base a tale sistema, il trattamento dei dati è lecito solo quando l’interessato ha dato il suo consenso preventivo, sulla base delle dichiarazioni che il titolare del trattamento ha rilasciato riguardo alle operazioni che andrà a svolgere e che costituiscono l’informativa all’interessato. In Gran Bretagna, al contrario, hanno adottato il sistema dell’ opt-out , ossia del consenso successivo all’invio della prima comunicazione: l’interessato, quando riceve una comunicazione, riceve altresì contestualmente

anche la suddetta informativa e presta o nega il suo consenso sulla base di questa. Ulteriore vincolo è il rispetto del principio della necessità del trattamento stesso: chiunque tratti i dati di uno o più soggetti deve compiere su di essi solo ed esclusivamente le operazioni strettamente necessarie al perseguimento del fine prefissato e preannunciato all’interessato. Le operazioni di trattamento sono ripartite fra tre figure principali:

  • Titolare : persona fisica o giuridica che si occupa della formulazione di atti a rilevanza esterna, dell’individuazione dei compiti e delle responsabilità all’interno della struttura, impartisce le istruzioni e vigila sul loro rispetto.
  • Responsabile : soggetto preposto dal titolare alle operazioni di trattamento; nomina facoltativa, se fatta deve rivestire la forma scritta ad substantiam , ed ha la possibilità di nominare una pluralità di responsabili; suo compito è quello di rispettare le istruzioni impartitegli dal titolare, inoltrarle agli incaricati e coordinarsi con il titolare al fine di individuare eventuali criticità nelle operazioni di trattamento o nei sistemi di protezione.
  • Incaricato : persona fisica nominata a cura del titolare o del responsabile mediante designazione individuale in forma scritta, sempre ad substantiam , che gestisce effettivamente i dati ed attua quindi le norme di sicurezza impartite dal Codice e dal titolare. Domanda garante privacy Il Garante privacy è un’autorità collegiale indipendente composta da tre membri e un presidente, di nomina parlamentare, che restano in carica per quattro anni rinnovabili. I suoi compiti sono principalmente quelli di decidere sui ricorsi presentati dagli interessati dai trattamenti dei dati, di vigilare sulle condizioni di liceità della raccolta e del trattamento degli stessi, nonché di promuovere e controllare la predisposizione di codici deontologici in materia. Le misure di sicurezza per il trattamento dei dati L’art. 15 del Codice privacy sancisce che chiunque cagioni un danno per effetto del trattamento dei dati è tenuto al risarcimento ai sensi dell’art. 2050 cod. civ.(responsabilità per l’esercizio di attività pericolose) Il legislatore ha inteso qualificare le operazioni di trattamento come un’attività pericolosa, con un evidente favor per l’interessato. Sul piano probatorio, il titolare del trattamento si libera dalla responsabilità dimostrando non di essere stato diligente, bensì di aver adottato precauzioni contro i danni prevedibili. Il legislatore ha previsto una serie di norme in materia di misure minime di sicurezza, individuate caso per caso dal titolare del trattamento sulla base dello sviluppo tecnologico e tenendo conto delle tipologie di operazioni effettuate e di dati trattati. L’art. 31 dispone che i dati personali oggetto di trattamento siano custoditi e controllati, in modo da ridurre al minimo i rischi di distruzione o perdita dei dati stessi. L’art. 32 si occupa di disciplinare le misure di sicurezza con particolare riguardo alle attività di trattamento poste in essere dai fornitori di servizi di comunicazione elettronica accessibili al pubblico : al comma 3 si

La protezione della privacy nelle comunicazioni elettroniche Domanda comunicazione elettronica = ogni informazione scambiata o trasmessa fra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Servizio di comunicazione elettronica = servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva. Rete pubblica di comunicazioni = rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico. Servizi di comunicazione elettronica di maggior diffusione:

  • Posta elettronica o e-mail : messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione.
  • Sms : short message service , inviare brevi messaggi tramite cellulare.
  • Mms : multimedia messaging service , trasmettere messaggi contenenti allegati come immagini, audio, video, testi.
  • Telefonate e videochiamate : effettuate tanto attraverso il telefono cellulare quanto tramite il computer. Nel Codice privacy , all’art. 122, comma 1, è vietato l’uso di una rete di comunicazione elettronica per accedere ad informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per ricercare informazioni o per monitorare le operazioni dell’utente stesso. I legislatore ha previsto, agli artt. 133 e 122, comma 2, che i fornitori dei servizi di comunicazione elettronica adottino un codice deontologico relativo appunto alla tutela dei dati personali nelle comunicazioni elettroniche. L’esigenza sentita dal legislatore nasce da un duplice ordine di ragioni: la volontà di porre su un piano normativo regole di condotta meramente inerenti all’etica professionale degli operatori e la velocità di evoluzione delle tecnologie. L’art. 124 è una norma che prevede una serie di regole, relative essenzialmente ai dati da inserire o meno nelle fatture relative ai servizi di comunicazione elettronica, che tutelano l’utente sul piano della privacy e su quello inerente al contratto ed al consumo. L’art. 125 dispone che il fornitore del servizio assicuri all’utente chiamante la possibilità di impedire la presentazione dell’identificazione della linea chiamante. Strettamente connessa a tale norma è quella relativa alle chiamate di disturbo dell’art. 127. L’art. 129, riguardo agli elenchi di abbonati, affida al Garante privacy il compito di disciplinare la materia e le tipologie di dati, modalità e condizioni da rispettare per redigere e pubblicare gli elenchi telefonici. Le recenti riforme hanno lasciato immutati i primi due commi dell’art. 130 recanti il principio generale del trattamento del consenso preventivo dell’interessato, proprio del sistema opt-in, senza particolari specificazioni, introducendo nei successivi 3-bis, 3-ter e 3-quater il nuovo sistema del Registro delle opposizioni. In concomitanza con l’entrata in funzione del Registro delle opposizioni, il Garante privacy ha imposto alle imprese di non utilizzare i numeri degli abbonati iscritti nel Registro, e di rispettare le istanze degli utenti presentate al fine di non essere contattati da una specifica azienda. Ma le recenti riforme non hanno inciso sulla disciplina delle

comunicazioni commerciali effettuate con strumenti diversi dal telefono e dalla posta cartacea. Un fenomeno frequente che costituisce palese violazione delle norme in tema di tutela della privacy è rappresentato dallo spamming , invio di messaggi di posta elettronica non richiesti. Domanda spam = spiced ham , carne di maiale in scatola nota negli Stati Uniti per la sua scadente qualità. Il termine deriva anche da uno sketch della serie televisiva dei Monty Python’s Flyinf Circus ambientato in un locale nel quale ogni pietanza proposta dalla cameriera ad una coppia di clienti era a base di spam: l’insistenza della cameriera nel proporre piatti con spam si contrapponeva alla riluttanza dei clienti. Il gergo della rete Internet si è poi appropriato del termine per indicare la diffusione ripetitiva di e-mail “spazzatura” indesiderate. Il principale scopo dello spamming è la pubblicità, il cui oggetto può andare dalle più comuni offerte commerciali a proposte di vendita di materiale pornografico o illegale. In questi ultimi casi deve parlarsi di phishing , in cui vengono impiegate tecniche sempre più sofisticate, quali false mail e pagine web di istituti bancari o di soggetti emittenti carte di credito. Il viral marketing è un fenomeno diverso dallo spamming, in cui le comunicazioni partono da pochi soggetti interessati e raggiungono un numero elevato di utenti finali. Il mittente non effettua un illecito trattamento dei dati, in quanto vengono precedentemente acquisiti nell’ambito di relazioni personali che prescindono dall’invio della comunicazione commerciale. Viceversa, lo spammer invia messaggi identici a migliaia di indirizzi e-mail o numeri telefonici raccolti in maniera automatica dalla Rete stesa, senza il permesso del destinatario. Il Garante privacy, con il provvedimento del 25 giugno 2002, ribadiva che il consenso dell’interessato per l’invio di e-mail a carattere pubblicitario dovesse essere antecedente l’invio. L’art. 130 del Codice è improntato su due principi cardine: a) Invio per fini di marketing di comunicazioni. b) Utilizzo di dati di posta elettronica di un interessato, acquisiti legittimamente nell’ambito dell’instaurazione di un antecedente rapporto contrattuale, per commercializzare propri servizi o prodotti analoghi.

La normativa privacy alla luce del GDPR

regolamento generale protezione dati

Al fine di verificare la legittimità dello spam , occorre preliminarmente ricordare che i dati di contatto (e- mail, numeri di telefono ecc.) sono dati personali essendo gli stessi delle informazioni riguardanti una persona fisica identificata o identificabile (art. 4, punto 1 del GDPR) e in quanto tali devono essere trattati nel pieno rispetto dei principi di correttezza, finalità, proporzionalità e necessità. Tuttavia, non è sempre semplice distinguere se un indirizzo e-mail appartiene ad una persona fisica o ad una persona giuridica, soggetti non rientranti all’interno della tutela del GDPR, tali indirizzi devono essere considerati come personali

determinato potrebbero riemergere in momenti successivi, anche e soprattutto in contesti differenti, ad esempio nell’ambito lavorativo. Volto a tutelare la sfera privata dei minori è il richiamo degli stessi a non indicare i contatti personali su questi spazi aperti: si ricorda come gli utenti abbiano l’obbligo di rispettare la privacy altrui, compreso il necessario consenso alla pubblicazione di foto raffiguranti soggetti terzi. Ai fornitori dei servizi di social network viene fatto esplicito richiamo al rispetto della normativa vigente in tema di tutela dei dati personali. Agli obblighi già imposti dalla legge si aggiunge quello di vigilare sulle modalità con cui i dati dei propri utenti sono utilizzati dai terzi, attribuendo ai primi la facoltà di decidere quali dati rendere pubblici e quali visualizzabili ai soli conoscenti. La tutela dei dati relativi al traffico telefonico e telematico

L’art. 122, comma 1, disciplina il divieto di uso delle reti per accedere ad informazioni archiviate nell’apparecchio terminale di un abbonato o di un utente, per ricercare informazioni, ovvero per monitorare le operazioni dell’utente stesso. Uno degli strumenti più utilizzati dal riguardo è il cookie , tecnologia attraverso cui un software , nello specifico un browser , tiene traccia delle operazioni e dei dati inerenti alla navigazione effettuata dall’utente durante l’utilizzo del programma stesso. L’impiego dei cookie consente ai titolari dei siti web da un lato di gestire informazioni, preservando le risorse del server, e dall’altro di registrare e personalizzare le informazioni relative ai propri visitatori, ad esempio dando risalto ad alcuni messaggi pubblicitario piuttosto che altri. Il direct marketing si fonda sulla designazione degli utenti che ricevono offerte commerciali mirate, compatibili con il loro reddito, il loro livello culturale e la categoria professionale cui appartengono; offerte commerciali che hanno maggiori probabilità di condizionare il comportamento del consumatore. Deve ritenersi illecito qualunque tipo di cookie permanente, sia che raccolga i dati in maniera palese sia che li raccolga in maniera occulta. Dato relativo al traffico = qualsiasi dato sottoposto a trattamento ai fini della trasmissione di un messaggio su una rete di comunicazione elettronica o della relativa fatturazione. L’art. 123 del Codice privacy dispone che tutti questi dati concernenti abbonati ed utenti siano cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica, a meno che: a) La conservazione dei dati sia necessaria a fini di documentazione in casi di giudizio civile, per un periodo non superiore a sei mesi. b) La conservazione dei dati sia stata autorizzata con espresso consenso revocabile in ogni momento, per fini di commercializzazione di altri servizi. c) Le operazioni oggetto del trattamento consistano in fatturazione o gestione del traffico, analisi per conto di clienti, accertamento di frodi, commercializzazione dei servizi di comunicazione elettronica o prestazione di servizi a valore aggiunto. La conservazione dei dati di traffico per finalità giudiziarie Con riferimento alla conservazione dei dati per finalità di giustizia, il legislatore comunitario ha riformato la materia con la direttiva 2006/24/CE recepita con il d.lgs. n. 109/2008, nella necessità di armonizzare le disposizioni degli Stati membri relativamente agli obblighi per i fornitori di conservare determinati dati allo scopo di garantirne la disponibilità a fini di indagine, accertamento e perseguimento di reati gravi, quali definiti da ciascuno Stato membro nella propria legislazione nazionale. L’art. 132, comma 1, del Codice privacy oggi dispone che i dati relativi al traffico telefonico sono conservati dal fornitore del servizio per ventiquattro mesi dalla data della comunicazione, mentre i dati relativi al traffico telematico sono conservati dal fornitore per dodici mesi dalla data della comunicazione.