Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Codice Italiano Protezione Dati Personali: Tipologie e Misure Sicurezza, Sintesi del corso di Elementi di Informatica

Una panoramica del codice italiano sulla protezione e sicurezza dei dati personali, inclusi i tipi di dati, i requisiti per il loro trattamento e le misure di sicurezza minime da adottare. Viene inoltre discusso il ruolo del titolare, responsabile e incaricato del trattamento, nonché le misure di sicurezza per dati sensibili e giudiziari.

Tipologia: Sintesi del corso

2018/2019

Caricato il 29/04/2019

Ilariapalmaa
Ilariapalmaa 🇮🇹

4

(4)

5 documenti

1 / 9

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Palma Ilaria
Decreto Legislativo n. 196 del 30 giugno 2003
Codice in materia di protezione dei dati personali
Il d.lgs. 196/2003, “Codice in materia di protezione dei dati personali”, ha
provveduto a riordinare l’insieme dei provvedimenti normativi delle norme che
sono intervenute nel tempo a regolare il trattamento dei dati personali da parte
di soggetti pubblici e privati.
Il Codice del 2003 riconosce a chiunque il diritto alla protezione dei dati
personali che lo riguardano e garantisce che il loro trattamento si svolga nel
rispetto dei diritti e delle libertà fondamentali, nonché della dignità
dell’interessato, con particolare riferimento alla riservatezza, all’identità
personale e al diritto alla protezione dei dati personali.
L’art. 4 distingue tra dati personali, dati identificativi, dati sensibili e dati
giudiziari.
Per il trattamento delle prime due tipologie (dati comuni) è richiesto in via
generale il solo consenso dell’interessato, purché espresso e liberamente
prestato;
o Qualunque informazione relativa a persona fisica, persona
giuridica, ente o associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale.
pf3
pf4
pf5
pf8
pf9

Anteprima parziale del testo

Scarica Codice Italiano Protezione Dati Personali: Tipologie e Misure Sicurezza e più Sintesi del corso in PDF di Elementi di Informatica solo su Docsity!

Decreto Legislativo n. 196 del 30 giugno 2003

Codice in materia di protezione dei dati personali Il d.lgs. 196/2003, “Codice in materia di protezione dei dati personali”, ha provveduto a riordinare l’insieme dei provvedimenti normativi delle norme che sono intervenute nel tempo a regolare il trattamento dei dati personali da parte di soggetti pubblici e privati. Il Codice del 2003 riconosce a chiunque il diritto alla protezione dei dati personali che lo riguardano e garantisce che il loro trattamento si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. L’art. 4 distingue tra dati personali, dati identificativi, dati sensibili e dati giudiziari.

  • Per il trattamento delle prime due tipologie (dati comuni) è richiesto in via generale il solo consenso dell’interessato, purché espresso e liberamente prestato; o Qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
  • Per il trattamento dei dati sensibili stabilisce che essi possano essere oggetto di trattamento solo in presenza di consenso scritto dell’interessato e di preventiva autorizzazione del Garante; o I dati idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale.
  • Dati Giudiziari: i dati personali idonei a rilevare provvedimenti in materia di casellario giudiziale, di anagrafe delle sensazioni amministrative dipendenti da reato e dei relativi carichi pendenti. Il Codice per la tutela della Privacy prevede che i dati siano:
  1. Trattati in modo lecito e secondo correttezza;
  2. Raccolti e registrati per scopi determinati, espliciti e legittimi;
  3. Esatti e aggiornati;
  4. Pertinenti, completi e non accedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  5. Conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi siano raccolti o successivamente trattati. Il Codice, relativamente alla comunicazione dei dati da parte dei soggetti pubblici, prevede che:
  • La comunicazione da soggetto a soggetto pubblico è ammessa se prevista da una norma di legge o di regolamento, ove necessaria per lo svolgimento di funzioni istituzionali;
  • La comunicazione/diffusione da soggetto a privati/a enti pubblici economici, è ammessa solo dove prevista da una norma di legge o di regolamento.
  • Criteri e modalità di ripristino dei dati;
  • Misure di sicurezza per dati affidati all'esterno della struttura;
  • Gli interventi formativi degli incaricati. Entro il 31 marzo di ogni anno il Titolare ed il Responsabile del Trattamento redigono un aggiornamento del DPS. AUTENTIFICAZIONE INFORMATICA Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autentificazione che consentano il superamento di una procedura di autentificazione relativa a uno specifico trattamento o a un insieme di trattamenti.
  • E' un codice di identificazione dell'incaricato + una parola chiave riservata oppure una caratteristica biometrica + una parola chiave;
  • Ogni incaricato può avere uno o più codici di autentificazione;
  • L'incaricato è obbligato a custodire ed assicurare la segretezza della parola chiave (niente più post-it appiccicati sul monitor);
  • L'incaricato non lascia sessioni aperte incustodite. La parola chiave è composta da almeno otto caratteri; non può essere ceduta ad altri; essa non deve contenere riferimenti riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi.

In caso di trattamento di dati sensibili e dati giudiziari la parola chiave è modificata almeno ogni 3 mesi. In caso di prolungata assenza dell'incaricato il Responsabile del trattamento preleva la parola chiave dalla busta sigillata e la consegna a colui che dovrà operare sullo strumento elettronico. L'incaricato al suo rientro sarà costretto all'immediato cambio della parola della parola chiave con successiva consegna al responsabile del trattamento per la custodia. Le credenziali di autenticazione non utilizzate da almeno 6 mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica; le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è utilizzato un sistema di autorizzazione. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza.

31° marzo di ogni anno: ▪ Aggiornare il DPS. 1° luglio di ogni anno: ▪ Aggiornare il sw antivirus/firewall, "patch" dei programmi. GDPR (General Data Protection Regulation) Regolamento UE 2016/ E' il regime di protezione dei dati personali proposto dalla Comunità Europea per tutti gli stati membri.

  • E' stato adottato il 27 aprile 2016;
  • Andrà in vigore dal 25 maggio 2018. Non è una direttiva e quindi non ha bisogno di alcuna legislazione applicativi degli stati membri. Sono obbligati ad attenersi al regolamento anche entità che non fanno parte della C.E., ma che hanno dati residenti nei territori degli stati membri della Comunità Europea.

Il regolamento non riguarda la gestione di dati personali per le attività di sicurezza nazionale o di ordine pubblico. Ogni stato membro dovrà istituire un' autorità per sovraintendere i reclami, le indagini e sanzionare le infrazioni sul trattamento dei dati personali. Una commissione europea per la protezione dei dati (EDPB, European Data Protection Board) coordinerà le autorità sovraintendenti degli stati membri. La responsabilità

  • Le notifiche sul trattamento dei dati dovranno includere il tempo di mantenimento dei dati;
  • Si dovrà comunicare chi controlla i dati e chi li protegge;
  • Si avrà diritto a constatare le decisioni automatizzate, compresa la profilazione, oggetto di elaborazione algoritmica. Non sono inclusi i dati personali necessari ed essenziali per dare vita ad un rapporto contrattuale. Una novità sul trattamento Il regolamento specifica anche il caso del trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale. Prevede pertanto che l'interessato venga prontamente informato in presenza di una violazione sul trattamento dei dati, che metta a rischio i suoi diritti e le sue libertà. Data Breach (violazione di dati personali) Il titolare del trattamento dei dati avrà l'obbligo legale di comunicare le fughe di dati all'autorità nazionale. Le denunce di fughe di dati devono essere trasmesse all'autorità sovraintendente non appena se ne viene a conoscenza e comunque entro 72 ore dall'evento.