Infotel

domenica 21 marzo 2010

Sistema dei visti e garanzie a protezione dei dati

Sistema dei visti  e garanzie a protezione dei dati

Il Garante chiede accessi selettivi alla banca dati del VIS e controlli periodici

 
Il Garante ha approvato lo schema di decreto interministeriale per l’attuazione del Sistema di Informazione Visti (VIS) con il quale si rende operativo, sulla base di una Decisione del Consiglio dell’UE, lo scambio di dati relativi alle domande di visto tra gli Stati membri. Lo schema di decreto designa il Garante per la protezione dati quale Autorità di controllo nazionale sul sistema VIS.
 
Il Sistema di Informazione Visti si compone di un Sistema di informazione centrale (CS-VIS) che comunica con punti di collegamento presenti in ciascuno degli Stati membri (N-VIS presso il Ministero degli Esteri e I-VIS presso il Ministero dell’Interno). I flussi informativi  tra il CS-VIS e i soggetti che necessitano di poter disporre dei dati (ministeri competenti, Polizia di Stato, Polizia di frontiera) vengono realizzati attraverso un sistema denominato FEVIS. Nel data base VIS sono contenuti, in particolare, i dati personali dei soggetti che fanno richiesta di rilascio del visto (sia alfanumerici, sia biometrici, come volto e impronte) e le annotazioni concernenti il visto richiesto e le operazioni eseguite.
 
Il Sistema di Informazione Visti ha anche la funzione di facilitare i controlli ai valichi di frontiera, di agevolare l’iter delle domande d’asilo presentate da cittadini di Paesi terzi, di concorrere alla prevenzione di minacce alla sicurezza degli Stati membri.
 
Nel dare parere favorevole sullo schema di decreto, l’Autorità ha invitato il Ministero ad adottare alcune specifiche misure a tutela delle persone. Il Ministero degli Affari Esteri dovrà innanzitutto assicurarsi che regole e procedure di ingresso al sistema siano tali da consentire l’accesso selettivo ai soli dati pertinenti e necessari, limitando a casi specifici la possibilità di conservazione.
 
L’Autorità ha inoltre raccomandato alle Amministrazioni interessate di attribuire al sistema FEVIS un ruolo di semplice interfaccia, escludendo ogni forma di memorizzazione locale dei dati in transito, garantendo che la consultazione dei relativi log sia svolta da un numero ristretto di incaricati e che la loro conservazione sia priva di riferimenti ai dati personali raccolti. Periodiche attività di auditing interne dovranno essere svolte sugli accessi anche al fine di isolare anomalie di funzionamento. Lo stesso Garante effettuerà verifiche con cadenza annuale. I report svolti sulle attività VIS dovranno avere carattere statistico e contenere dati nella sola forma aggregata.

Dati personali a fini di marketing, le aziende devono chiedere uno specifico consenso

Per creare profili dei clienti in base ai loro gusti e alle loro abitudini o utilizzare i loro dati personali a fini di marketing, le aziende devono chiedere uno specifico consenso.
E’ per questo motivo che il Garante, con un provvedimento di cui è stato relatore Mauro Paissan, ha vietato ad una società che opera nel settore dell’energia elettrica e del gas in alcune province del Nord Italia, l’ulteriore trattamento dei dati personali della clientela raccolti illecitamente.
In seguito all’attività ispettiva avviata dall’Autorità, è emerso infatti che la società sottoponeva alla clientela un modello di richiesta di consenso unico sia per la fornitura del servizio richiesto (consenso peraltro non necessario quando si tratta di obblighi contrattuali), sia in ordine a diversi scopi per i quali i dati venivano raccolti e utilizzati: analisi delle abitudini e scelte di consumo; invio ai clienti di informazioni commerciali; ricerche di mercato (realizzate anche con la collaborazione di terzi attraverso lettere, telefono, e-mail); attività dirette di vendita o di collocamento di prodotti e servizi.
La normativa sulla privacy stabilisce, invece, che la richiesta di consenso non può avere carattere generico: gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte in ordine al trattamento dei propri dati personali, manifestando un consenso specifico per ciascuna distinta finalità perseguita dal titolare.
 
L’Autorità ha dunque vietato l’ulteriore trattamento illecito dei dati, ferma restando la loro utilizzabilità per la fornitura dei servizi richiesti. Alla società, che ha provveduto tempestivamente, è stato inoltre imposto di riformulare il modello di informativa e di  trasmetterne esemplare al Garante.
No alla profilazione occulta

Il Garante impone a una società di rimuovere i dati sulla salute di un dirigente pubblicati on line

No a dati sanitari dei dipendenti sui siti delle aziende
Il Garante impone a una società di rimuovere i dati sulla salute di un dirigente pubblicati on line

Il Garante privacy ha vietato ad una società l’ulteriore diffusione dei dati sulla salute di un dirigente pubblicati sul sito dell’azienda e liberamente reperibili nel web.
 
Il provvedimento (di cui è stato relatore Giuseppe Chiaravalloti) è stato adottato in seguito alla segnalazione del dirigente che, dopo aver ricevuto comunicazione della risoluzione del rapporto di lavoro, è venuto a conoscenza di un comunicato stampa, pubblicato su una pagina del sito dedicata agli investitori, dove erano riportati nome, cognome, informazioni sul suo stato di salute e sull’assenza dal lavoro dovuta a uno "stato morbile".
 
Il dirigente aveva anche lamentato come a causa del comunicato stampa, veicolato a un numero elevatissimo di soggetti attraverso il sistema Nis (Network information system) di Borsa Italiana e Consob (il circuito telematico che permette alle agenzie di stampa di ricevere i comunicati delle società aderenti), incontrasse difficoltà nel proprio reinserimento professionale.
 
Dal canto suo la società ha giustificato il proprio operato appellandosi alla necessità di chiarezza e trasparenza richiesta dal mercato nel quale opera.
 
Nel motivare la sua decisione, il Garante ha ribadito che la diffusione delle informazioni idonee a rilevare lo stato di salute è vietata dal Codice Privacy e ha sottolineato che la richiamata esigenza di trasparenza avrebbe potuto essere ugualmente perseguita dalla società omettendo nel comunicato stampa l’indicazione delle condizioni di salute del dirigente. L’azienda ha adempiuto entro i tempi stabiliti al provvedimento del Garante rimuovendo i dati dal sito.

giovedì 18 marzo 2010

Privacy 2010 , dps privacy 2010 , aggiornamento dps 2010 ,

Carta nazionale dei servizi e tutele per i cittadini
Il Garante per la protezione dei dati personali ha dato via libera allo schema di decreto sulle modalità di assorbimento della tessera sanitaria nella carta nazionale dei servizi, predisposto dal Ministro per la pubblica amministrazione e l’innovazione, ma ha chiesto alcune garanzie  per rafforzare la tutela dei dati dei cittadini: in particolare, misure di sicurezza e procedure uniformi per l’attivazione e la gestione della carta.
 
Il decreto consente alle Regioni,  mediante il ricorso ad un’unica tessera con microprocessore (smart card) che riunisce le funzioni di tessera sanitaria (TS) e carta nazionale dei servizi (CNS), di diffondere con modalità omogenee uno strumento sicuro per l’accesso ai servizi in rete. Sino ad oggi tale strumento elettronico "multiuso", infatti, è stato adottato in forma sperimentale e con modalità diverse solo in alcuni Comuni e Regioni, permettendo ai cittadini l’accesso telematico ai differenti servizi di volta in volta offerti dalla pubblica amministrazione (prenotazione di prestazioni specialistiche, pagamenti di ticket sanitari on-line, accesso ai servizi dei Centri per l'impiego, visualizzazione dei propri dati fiscali, verifica delle pratiche edilizie etc.).
 
Il Garante, nell’esprimere parere favorevole sullo schema di decreto, ha chiesto che tutte le regioni e le province autonome di Trento e Bolzano, che decideranno di avvalersi del nuovo strumento, adottino gli standard di sicurezza previsti dal Codice privacy e procedure uniformi di attivazione e gestione delle carte. L’Agenzia delle entrate dovrà mettere a disposizione delle pubbliche amministrazioni coinvolte nell’erogazione dei servizi CNS solo le informazioni indispensabili per tale erogazione, evitando così l’accesso a dati non pertinenti.. Per evitare che si instauri un flusso informativo diretto tra le singole Asl e l’Anagrafe tributaria non previsto dalla normativa vigente, il Garante ha suggerito che i dati anagrafici e i codici fiscali del cittadino, necessari per l’attribuzione della tessera, siano aggiornati dalle stesse Asl mediante consultazione dell’apposito archivio regionale.

martedì 2 marzo 2010

Privacy 2010 4.1

Uscita la versione di Privacy 2010 4.1
Novita’ Aggiornamento :

Copia/incolla trattamenti – banche dati
Nuova versione del template di stampa dps completo
Aggiornamento delle stampe trattamenti
Modica nel codice di controllo generazione rischi

Per informazioni 0828 34.65.01 o info@consorzioinfotel.it

software per la gestione degli adempimenti previsti dal Codice in materia di protezione dei dati personali D.Lgs. 196/03

Il software per la gestione degli adempimenti previsti dal Codice in materia di protezione dei dati personali (D.Lgs. 196/03).

Il software ti aiuterà a gestire tutti gli adempimenti che la legge sulla privacy impone
E' il prodotto professionale destinato a tutti i Responsabili del Trattamento, nonchè ai Professionisti del settore e alle Organizzazioni (pubbliche e private).

Si rivolge a:
  • Pubbliche Amministrazioni
  • Consulenti per la sicurezza
  • Grandi Aziende

Le caratteristiche principali sono:
  • Semplicità d’uso, completezza e professionalità degli elaborati
  • Adeguato e aggiornato alla normativa vigente (G.U. n. 300 del 24 Dicembre 2008 - G.U. n. 149 del 30 Giugno 2009)
  • Gestione delle nomine e dei trattamenti
  • Soluzione più semplice sul mercato per adempiere alle direttive del Garante in merito all’ Amministratore di Sistema
  • Valutazione rischi
  • Misure di sicurezza adottate e da adottare
  • Sistemi di elaborazione in cui sono trattate le banche dati elettroniche
  • Banche dati elettroniche e/o cartacee
  • Gestione piani di formazione
  • Generazione automatica degli adempimenti
  • Generazione automatica dell'analisi dei rischi che incombono sui dati, sulla base del complesso delle misure di sicurezza adottate presso la struttura
  • Riepilogo delle nomine
  • Utilizzo di archivi di base a corredo del software ulteriormente ampliabili dall'utente completi di eventi, misure di sicurezza, parametri del trattamento, trattamento dei dati, modalità di conferimento deleghe, modalità di comunicazione dati, tipologia incaricato assegnato, obbligo di notifica, autorizzazione standard, etc...
  • Funzionamento in rete LAN (previo acquisto di licenze aggiuntive) con condivisione dei lavori, degli archivi di base e dell'anagrafica su un Server
  • Appositamente realizzato per gli studi di consulenza e per le aziende, implementato attraverso le più recenti tecnologie informatiche (Microsoft .NET, database relazionali Microsoft SQL Server Express senza necessità di acquisto di licenze di terze parti)
  • Include al suo interno un editor di testo integrato per la creazione dei documenti in uscita direttamente nei formati .DOC. .DOCX .RTF .PDF. HTML ed altri senza necessità ( per la visualizzazione e per la modifica ) di acquisto di editor di altre case produttrici
  • Corso Light per la Privacy
  • Stampa incaricato del trattamento dei dati
  • Stampa informativa dipendenti
  • Stampa informativa ex. Art. 13
  • Stampa trattamento terzi
  • Stampa "amministratore di sistema"
  • Stampa DPS completo e DPS semplificato
  • Stampa autocertificazione
  • Tutor multimediale e guida in linea per un semplice utilizzo del software

REQUISITI DI SISTEMA
  • Pc con processore classe Pentium (P IV o sup.)
  • 512 MB di RAM o superiore
  • Super VGA (1024 × 768) o monitor con una risoluzione superiore
  • 200 MB di spazio di disco rigido disponibile
  • Microsoft Windows XP Server2003 Vista Seven


Corso Privacy 196

Il corso è rivolto a chi ha la necessità di utilizzare dati personali di terzi e in particolare, all'interno delle realtà aziendali, si rivolge agli Incaricati del trattamento dei dati, del sistema informativo e della sicurezza.

Il corso multimediale oltre a formare sulla Sicurezza dei dati personali, ha l'obiettivo di fornire ai partecipanti la metodologia per realizzare l'analisi dei rischi e il documento programmatico sulla sicurezza e intende favorire una corretta conoscenza e comprensione della normativa vigente in relazione ai principi che la regolano, ai diritti, agli adempimenti, alle sanzioni.

Il corso e' aggiornato alle ultime variazioni introdotte dal garante della privacy ( Dps Semplificato , Amministratori di sistema... )

privacy 2010

Obiettivi del corso:
  • Fornire le conoscenze di base relative al tema del trattamento dati
  • La normativa vigente così come modificata dalla G.U. n. 300 del 24 dicembre 2008 ED G.U. n. 149 del 30 giugno 2009
  • Le principali figure del sistema privacy
  • Comprendere i ruoli e le responsabilità nel sistema di gestione della sicurezza dei dati
  • Acquisire e diffondere, nella struttura di appartenenza, la cultura della riservatezza e della tutela dei dati personali
  • Conoscere le principali fonti di minacce e le contromisure da adottare a protezione dei dati
  • Il Disciplinare tecnico - Allegato B al codice
  • Amministratore di sistema
  • Dps semplificato

Lezione 1: La normativa della privacy - Il nuovo codice - Il garante - I dati personali - Il trattamento - Archivi e banche dati - Interessato - Consenso - Dati sensibili - Titolare del trattamento - Incaricati - L’ informativa - Autorizzazioni - Comunicazioni - Diffusioni - Misure di sicurezza

Lezione 2: Misure semplificate - Misure semplificate PMI - Sistemi di autentificazione informatica - DPS semplificato - Misure semplificate senza l’ausilio di strumenti elettronici - Amministratore di sistema (precisazioni) - Le misure minime di sicurezza - Strumenti elettronici - Credenziali di autentificazione - I profili di autorizzazione - Custodia copia di sicurezza - Misura di tutela e garanzia - DPS - Trattamenti senza l’ ausilio di strumenti elettronici

Amministratore di sistema: Provvedimento del 27 novembre 2008 - Valutazione delle caratteristiche soggettive - Elenco degli amministratori di sistema - Servizi in outsourcing - Registrazione degli accessi - Faq

Quiz game: Questionario a risposte multiple per verificare le competenze acquisite.

D lgs 193 allegato B: Presentazione multimediale dell’ allegato B

Glossario: Raccolta e relativa spiegazione dei termini usati nell’ ambito della privacy

Carte di credito, banche, sanità elettronica sotto la lente del Garante

Carte di credito, banche, sanità elettronica sotto la lente del Garante
Varato il piano ispettivo per il primo semestre 2010. Nello scorso anno applicate sanzioni per circa 1.600.000 euro



Banche, carte di credito, fascicolo sanitario elettronico, vendita di banche dati per finalità di marketing, sistema informativo del fisco, enti previdenziali. E' su questi delicati settori e sulle modalità con le quali vengono trattati i dati personali di milioni di cittadini italiani che si concentrerà l'attività di accertamento del Garante per la privacy nei primi sei mesi dell'anno. Il piano ispettivo appena varato prevede specifici controlli, sia nel settore pubblico che in quello privato, anche riguardo all'adozione delle misure di sicurezza, alla durata di conservazione dei dati, all'informativa da fornire ai cittadini, al consenso da richiedere nei casi previsti dalla legge. Oltre 250 gli accertamenti ispettivi programmati che verranno effettuati anche in collaborazione con le Unità Speciali della Guardia di Finanza - Nucleo Privacy. A questi accertamenti si affiancheranno quelli che si renderanno necessari in ordine a segnalazioni e reclami presentati.

Un primo bilancio sull'attività ispettiva relativa al 2009 svolta, come di consueto, in collaborazione con il Nucleo Privacy della Guardia di Finanza, mostra il significativo lavoro di controllo svolto dall'Autorità: sono state circa 500 le ispezioni effettuate e 368 i procedimenti sanzionatori avviati. Sono state riscosse somme per circa 1 milione e 600 mila euro, di cui oltre 62.000 relativi alla mancata adozione di misure di sicurezza da parte di aziende e pubbliche amministrazioni.

Sul fronte sanzioni va ricordato che nel 2009 sono state applicate le nuove sanzioni introdotte dal decreto “mille proroghe” del dicembre 2008. L'Autorità ha contestato per la prima volta - a una società che commercializza dati per finalità di marketing - la sanzione, che va da 50.000 a 300.000 euro, prevista nei casi in cui si riscontrino piùviolazioni commesse in relazione a banche dati di particolare rilevanza o dimensione.

43, infine, sono state nel 2009 le segnalazioni all'autorità giudiziaria che hanno riguardato, tra l'altro, casi di mancata di adozione delle misure di sicurezza, trattamento illecito dei dati, falsità nelle dichiarazioni e nelle notificazioni, il mancato adempimento ai provvedimenti del Garante. 


Certificati medici: scambio di dati tra Inps e Inpdap
L'Inps potrà ricevere dall'Inpdap le informazioni sulle amministrazioni a cui inviare i certificati medici dei dipendenti pubblici. Il Garante ha infatti dato il via libera allo scambio di dati tra i due enti che avevano comunicato all'Autorità la necessità di realizzare tale flusso informativo.


In base alla “riforma Brunetta” del pubblico impiego in tutti i casi di assenza per malattia la certificazione medica deve essere inviata per via telematica, direttamente dal medico che la rilascia, all'Inps e da questo immediatamente inoltrata all'ente dove il dipendente lavora. Per poter eseguire questi invii l'Inps deve acquisire presso l'Inpdap gli estremi identificativi delle amministrazioni dove prestano servizio gli impiegati. Perché una tale comunicazione di dati tra enti sia possibile, è però necessario che essa sia prevista da una norma di legge o di regolamento oppure sia indispensabile per assicurare lo svolgimento delle funzioni istituzionali dei soggetti pubblici interessati. Mancando la previsione normativa, l'Inps ha dunque rappresentato al Garante la necessità di accedere ai dati dell'Inpdap per poter svolgere i propri compiti istituzionali in materia di controlli sulle assenze.

L'Autorità ha riconosciuto, pur in assenza di un'espressa norma di legge e di regolamento, le esigenze dell'Inps e ha stabilito che l'ente, per le proprie funzioni istituzionali, possa acquisire dall'Inpdap i dati delle amministrazioni dove prestano servizio i dipendenti pubblici. Ha comunque prescritto ai due enti di assicurare l'accesso selettivo alle sole informazioni essenziali e di individuare strumenti e misure organizzative per garantire la protezione dei dati, in particolare con il tracciamento delle operazioni compiute dal personale incaricato. Inps e Inpdap dovranno poi stipulare una convenzione atta a circoscrivere le finalità per le quali viene consentito questo esclusivo trattamento dei dati, definendo rigorose procedure per l'autenticazione e le autorizzazioni degli utenti deputati alla consultazione dei dati. L'Inps non dovrà in ogni caso creare banche dati autonome con le informazioni ricevute dall'Inpdap. In conformità alle norme in materia, infine, ha ricordato l'Autorità, i certificati medici trasmessi dall'Inps alle amministrazioni non dovranno contenere l'indicazione della diagnosi.

Archivi Schengen: rafforzare le misure a protezione dei dati
Il Garante privacy ha chiesto al Ministero dell'interno un rafforzamento delle misure impiegate a tutela dei dati trattati in applicazione dell'Accordo di Schengen, che prevede uno scambio di informazioni tra le banche dati delle forze di polizia dei Paesi aderenti al fine di garantire meglio la sicurezza delle frontiere.


La sicurezza e l'integrità dell'archivio nazionale del Sistema Schengen, data la particolare importanza e delicatezza delle informazioni contenute (segnalazioni su soggetti non appartenenti all'area Schengen, persone scomparse, estradizioni, notifiche di provvedimenti dell'Autorità Giudiziaria), dovranno essere maggiormente garantite dalla Divisione N-S.i.s. del Dipartimento di pubblica sicurezza che gestisce il database nazionale. Gli accessi effettuati al sistema dovranno essere tracciabili e basati su procedure certificate, su cui dovrà vigilare un'unità di auditing potenziata e responsabile della sicurezza dei dati. Analoga accortezza dovrà essere adottata per garantire i flussi informativi della Divisione S.i.r.e.n.e. che raccoglie dal C.e.d. del Dipartimento e dagli uffici di polizia interessati, le informazioni aggiuntive ritenute utili a dare seguito alle segnalazioni e le trasmette agli uffici dell'omologa Divisione del Paese in cui il soggetto è stato rintracciato. Tali dati dovranno essere inviati mediante posta elettronica certificata e, laddove si utilizzi il fax,  dovranno essere protetti con particolari tecniche di cifratura e l'uso di gruppi chiusi di numerazione. La sala server delle Divisioni N-S.i.s. e S.i.r.e.n.e. dovrà essere protetta mediante l'adozione di una procedura speciale di strong authentication, ottenuta dalla combinazione di più credenziali di accesso (badge nominale e dispositivo basato su una caratteristica biometrica), dovrà inoltre essere garantita la disponibilità e la continuità di esercizio della banca dati adottando piani di prevenzione che impediscano la sospensione dei servizi. Il Ministero dell'interno dovrà dare riscontro all'Autorità dell'avvenuta adozione delle misure prescritte.

Va ricordato, infine, che l'Autorità italiana collabora con quelle degli altri Paesi Schengen al fine di ottimizzare il funzionamento armonizzato del Sistema informativo Schengen.


Ue-Usa: la Commissione lancia una consultazione sulla protezione dei datiLa Commissione europea ha lanciato nei giorni scorsi una consultazione pubblica sul futuro accordo tra Ue e Usa sulla protezione dei dati personali e lo scambio di informazioni a fini di collaborazione giudiziaria e di polizia. Nel nuovo quadro del Programma di Stoccolma sulla giustizia, libertà e sicurezza approvato nell'ultimo Consiglio europeo di dicembre, la Commissione intende raccogliere indicazioni utili alla definizione dei contenuti che saranno oggetto del futuro negoziato con gli Stati uniti su un nuovo accordo in materia di privacy e sicurezza. La consultazione sarà aperta sino al 12 marzo prossimo, e il documento relativo è disponibile all'indirizzo http://ec.europa.eu/yourvoice/consultations/index_en.htm. E' stata inoltre programmata una serie di incontri con i soggetti istituzionali più direttamente coinvolti. Al primo di tali incontri, tenutosi lo scorso 2 febbraio a Bruxelles, ha partecipato il presidente dell'Autorità italiana Francesco Pizzetti, anche in qualità di presidente del Gruppo di lavoro europeo in materia di cooperazione giudiziaria e di polizia (WPPJ).

Garante privacy, anche quella foto lede la dignità della persona

Gruppo choc su Facebook: Garante privacy, anche quella foto lede la dignità della persona

L'Autorità Garante per la privacy prende atto che il gruppo choc su Facebook contro i bambini down è stato doverosamente e tempestivamente oscurato.
 
Nello spazio utilizzato dal gruppo appariva anche la foto di un neonato con una scritta ingiuriosa sulla fronte. L'immagine è stata ripresa da alcune testate, seppur in un contesto di generale riprovazione di quanto accaduto, senza l'adozione di accorgimenti che la rendessero anonima.
A tale riguardo, l'Autorità invita i mezzi di informazione che intendano documentare questo grave episodio - agenzie di stampa, giornali, quotidiani on line, Tg - ma anche gruppi attivi su Internet, a non rendere in alcun modo riconoscibile il bambino oggetto dello sfregio, avendo l'accortezza di oscurarne o pixelarne adeguatamente il volto.

La foto, al di là della concreta possibilità di consentire l'identificazione del neonato, è in sé lesiva della dignità della persona.

Il Garante ha deciso, altresì, di inviare ai direttori di tutte le testate giornalistiche, sia dei quotidiani che delle tv, una lettera per richiamare al più scrupoloso rispetto dei principi sanciti dal Codice deontologico dei giornalisti e dalla Carta di Treviso, in particolare quando si tratta di dare notizie riguardanti minori e persone affette da problemi di salute.

lunedì 1 marzo 2010

DPS sanzioni Privacy

Il 27 febbraio 2009 è stato convertito in legge (Legge n.14/2009) il decreto "milleproroghe" (n. 207 dello scorso 30 dicembre 2008: Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti) contenente alcune importanti modifiche al decreto legislativo n.196 del 30 giugno 2003 riguardanti le "Disposizioni in materia di tutela della riservatezza" (Art. 44).

La nuova legge agisce su vari fronti:

1.Inasprimento delle sanzioni pecuniarie relative agli illeciti amministrativi, ad esempio per "omessa o inidonea informativa" e per "omessa collaborazione con il Garante". Le pene vengono quasi sempre raddoppiate rispetto alla 196/2003.

Per "omessa o inidonea informativa" (Art. 13) è ora prevista una sanzione tra i 6.000 e i 36.000 euro, mentre per chi cede dati in violazione di legge (Art.16) la sanzione è ora tra i 10.000 euro e i 60.000 euro.

2.Introduzione di nuove fattispecie di illeciti amministrativi: "violazione delle misure minime di sicurezza e trattamento illecito dei dati" ed "inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto".

Vengono infatti aggiunti due importanti commi all'articolo 162:


•2-bis: In caso di trattamento di dati personali effettuato in violazione delle misure minime di sicurezza o di violazione della normativa in tema di corretto trattamento dei dati viene applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da 20.000 euro a 120.000 euro.

•2-ter: In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto viene introdotta una sanzione amministrativa tra 30.000 e 180.000 euro.

Questo significa che le violazioni più frequenti (violazione della privacy e mancata adozione delle misure minime), precedentemente pressochè impunite per via della "sola" sanzione penale, ora prevedono anche una sanzione amministrativa.

3.Si introduce maggior facoltà di adeguamento delle sanzioni ai singoli casi: da riduzione ai due quinti a maggiorazioni di 4 volte, in funzione dell'entità della violazione e delle possibilità economiche dei soggetti.

----------------------------------------------------------------------

Legge n.14/2009 Art. 44

Art. 44.


Disposizioni in materia di tutela della riservatezza

1. All'elenco n. 1, paragrafo 2, allegato alla legge 24 dicembre 2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196, articolo 166» sono soppresse.

1-bis. I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.

2. All'articolo 161, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino alla fine del comma sono sostituite dalle seguenti: «da seimila euro a trentaseimila euro».

3. L'articolo 162 del decreto legislativo 30 giugno 2003, n. 196, e' così modificato:

a) al comma 1, le parole: «da cinquemila euro a trentamila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro»;

b) al comma 2, le parole: «da cinquecento euro a tremila euro» sono sostituite dalle seguenti: «da mille euro a seimila euro»;

c) dopo il comma 2, sono aggiunti, in fine, i seguenti:

«2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 e' escluso il pagamento in misura ridotta.

2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), e' altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.».

4. All'articolo 162-bis, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «, che può essere aumentata» fino alla fine del comma sono soppresse.

5. All'articolo 163, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono sostituite dalle seguenti: «da ventimila euro a centoventimila euro» e le parole: «e con la sanzione amministrativa accessoria» fino alla fine del comma sono soppresse.

6. All'articolo 164, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da quattromila euro a ventiquattromila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro».

7. Dopo l'articolo 164 del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente:

«Art. 164-bis (Casi di minore gravità e ipotesi aggravate). - 1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 e' di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti.

2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non e' ammesso il pagamento in misura ridotta.

3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio.

4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.».

8. All'articolo 165, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «161, 162 e 164» sono sostituite dalle seguenti: «del presente Capo» ed e' aggiunto, in fine, il seguente periodo: «La pubblicazione ha luogo a cura e spese del contravventore.».

9. L'articolo 169 del decreto legislativo 30 giugno 2003, n. 196, e' così modificato:

a) nel comma 1, sono soppresse le parole da: «o con l'ammenda da» fino alla fine del comma;
b) nel comma 2, le parole: «quarto del massimo dell'ammenda stabilita per la contravvenzione» sono sostituite dalle seguenti:
«quarto del massimo della sanzione stabilita per la violazione amministrativa».

10. All'articolo 62, comma 1, del decreto legislativo 6 settembre 2005, n. 206, le parole: «da euro cinquecentosedici a euro cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a diciottomila euro».

11. Agli oneri derivanti dal comma 1, pari a euro 299.000 a decorrere dal 2009, si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui al decreto legislativo 30 giugno 2003, n. 196, come determinata dalla tabella C della legge 22 dicembre 2008, n. 203, (legge finanziaria 2009), in favore del Garante per la protezione dei dati personali, a decorrere dall'esercizio 2009.