D.lgs. 30 Giugno 2003 n. 196
Codice della privacy
Il Codice della privacy - in vigore dal 1° gennaio 2004
- riunisce in un Testo Unico la nota legge 675/1996 ora abrogata - e gli altri decreti legislativi disciplinanti
trattamenti di dati personali in particolari settori,
regolamenti e codici deontologici che si sono succeduti
in questi anni, e contiene altresì rilevanti innovazioni
tenendo conto dei più importanti provvedimenti e
decisioni adottati dall’Autorità Garante per la
protezione dei dati personali e della direttiva UE
2000/58 sulla riservatezza nelle comunicazioni
elettroniche.
Struttura del Codice della
Privacy
Il Codice è diviso in tre parti:
la prima (artt. 1-45) dedicata alle
disposizioni generali, riordinate in modo tale
da trattare tutti gli adempimenti e le regole
del trattamento con riferimento ai settori
pubblico e privato.
Struttura del Codice della
Privacy
la seconda (artt. 46- 140) è la parte
speciale dedicata a specifici settori: questa
sezione, oltre a disciplinare aspetti in parte
inediti (informazione giuridica, notificazioni
di atti giudiziari, dati sui comportamenti
debitori), completa anche la disciplina
attesa da tempo per il settore degli
organismi sanitari e quella dei controlli sui
lavoratori.
Struttura del Codice della
Privacy
la terza (artt. 141-186) affronta la materia
delle tutele amministrative e giurisdizionali
con il consolidamento delle sanzioni
amministrative e penali e con le
disposizioni relative all'Ufficio del Garante.
Notificazione del trattamento (art. 37)
Una delle principali semplificazioni riguarda
l’adempimento della notificazione al Garante,
ovvero dell’atto con cui l'impresa, il professionista
o la pubblica amministrazione segnala all'Autorità
i trattamenti di dati che si intendono effettuare.
Mentre con l'originale impianto della legge
675/1996, e le successive modificazioni,
dovevano notificare tutti i soggetti non
esplicitamente esentati, nel testo unico si
rovescia l'impostazione e si indicano solo i
pochi casi nei quali la notifica va effettuata.
Casi di notificazione obbligatoria
Il titolare notifica al Garante il trattamento di
dati personali cui intende procedere, solo se il
trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la
posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica;
Casi di notificazione obbligatoria
b) dati idonei a rivelare lo stato di salute e la
vita sessuale, trattati a fini di procreazione
assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla
fornitura di beni, indagini epidemiologiche,
rilevazione di malattie mentali, infettive e
diffusive, sieropositività, trapianto di organi e
tessuti e monitoraggio della spesa sanitaria;
Casi di notificazione obbligatoria
c) dati idonei a rivelare la vita sessuale o la
sfera psichica trattati da associazioni, enti od
organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico,
religioso o sindacale;
Casi di notificazione obbligatoria
d) dati trattati con l'ausilio di strumenti
elettronici volti a definire il profilo o la
personalità dell'interessato, o ad analizzare
abitudini o scelte di consumo, ovvero a
monitorare l'utilizzo di servizi di comunicazione
elettronica con esclusione dei trattamenti
tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
Casi di notificazione obbligatoria
e) dati sensibili registrati in banche di dati a fini di
selezione del personale per conto terzi, nonché dati
sensibili utilizzati per sondaggi di opinione,
ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite
con strumenti elettronici e relative al rischio sulla
solvibilità economica, alla situazione patrimoniale,
al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti.
Altri casi di notificazione del
trattamento (art. 17)
Il trattamento dei dati diversi da quelli sensibili e
giudiziari che presenta rischi specifici per i diritti e le
libertà fondamentali, o per la dignità dell'interessato,
in relazione alla natura dei dati o alle modalità del
trattamento o agli effetti che può determinare, è
ammesso nel rispetto di misure ed accorgimenti a
garanzia dell'interessato, prescritti dal Garante
nell'ambito di una verifica preliminare all'inizio del
trattamento, effettuata anche in relazione a
determinate categorie di titolari o di trattamenti,
anche a seguito di un interpello del titolare.
Deroghe ai casi di notificazione
obbligatoria (art. 37. co. 2)
Il Garante può anche individuare, con proprio
provvedimento pubblicato sulla G.U., casi che pur rientrando nell’elencazione tassativa di
trattamenti di dati personali per cui è
obbligatoria la notificazione non sono
comunque suscettibili di recare un effettivo
pregiudizio all’interessato, e può dunque
disporre l’esonero dall’obbligo di notificazione.
Modalità della Notificazione del
trattamento
La notificazione:
1. è effettuata con unico atto anche quando il
trattamento comporta il trasferimento all'estero
dei dati;
2. è presentata al Garante prima dell'inizio del
trattamento ed una sola volta, a prescindere dal
numero delle operazioni e della durata del
trattamento da effettuare, e può anche riguardare
uno o più trattamenti con finalità correlate.
Modalità della Notificazione del
trattamento
3. la notificazione è validamente effettuata solo
se è trasmessa per via telematica utilizzando il
modello predisposto dal Garante, se è
sottoscritta con firma digitale e corredata della
conferma del ricevimento della notificazione.
4. una nuova notificazione è richiesta solo
anteriormente alla cessazione del trattamento o
al mutamento di taluno degli elementi da
indicare nella notificazione medesima.
Disciplina delle notificazioni
già effettuate
Tutti i soggetti tenuti alla notifica sono obbligati
all'adempimento previsto sia nel caso che
inizino il trattamento ora sia nel caso di
trattamento già in essere alla data di entrata in
vigore del Codice. Anche chi ha già effettuato in
passato la notifica al garante (rispettando la
vecchia legge 675/96) deve rifarla se si trova
nelle condizioni previste dall'articolo 37 del
Codice della privacy.
Disciplina delle notificazioni
già effettuate
La notificazione va ripetuta utilizzando
esclusivamente il modello telematico reperibile
sul
sito
ufficiale
del
garante
(www.garanteprivacy.it) da inviare, sottoscritto
con firma digitale, in via telematica. Per i casi in
cui la notificazione già effettuata va ripetuta in
via telematica il termine ultimo è quello del 30
aprile 2004. Il costo degli adempimenti è di
circa 150 euro per ogni notifica.
.
Acquisizione della firma
digitale
La sottoscrizione del modello di notificazione
con firma digitale è obbligatoria. Chi non
dispone della firma digitale la deve ottenere da
un ente convenzionato con il Garante
(attualmente le Poste) prima di cominciare il
trattamento, onde evitare le sanzioni
amministrative previste dal Codice per omessa
o incompleta notifica. Chi invece dovesse
rendere dichiarazioni false va incontro a
sanzioni penali.
Obblighi per soggetti non
tenuti alla notificazione
Il titolare del trattamento che non è tenuto alla
notificazione deve comunque fornire tutte le
informazioni richieste dal modello di
notificazione a chiunque ne faccia richiesta,
salvo che il trattamento riguardi pubblici
registri, elenchi, atti o documenti conoscibili da
chiunque.
Informativa agli Interessati
(art. 13)
1.Rimane
fermo
l'adempimento
dell'informativa agli interessati preventiva al
trattamento dei dati personali.
2. Il Garante può individuare modalità
semplificate per l’informativa all’interessato, in
particolare quando essa è resa da call-center.
Informativa agli Interessati
(art. 13)
3. In attuazione di una specifica previsione
della direttiva europea n. 95/46, quando
l’informativa riguarda dati non raccolti presso
l’interessato, essa deve contenere anche le
"categorie di dati trattati".
4. Il Garante può prescrivere misure
appropriate a garanzia dell’interessato quando
l’informativa non è dovuta perché comporta un
impiego di mezzi che il Garante stesso
giudichi manifestamente sproporzionati o
Consenso (art. 23)
Il trattamento di dati personali da parte di
privati o di enti pubblici economici è ammesso
solo con il consenso espresso dell'interessato.
Consenso (art. 23)
Il consenso:
1. può riguardare l'intero trattamento ovvero una o
più operazioni dello stesso;
2. è validamente prestato solo se è espresso
liberamente e specificamente in riferimento ad un
trattamento chiaramente individuato, se è
documentato per iscritto, e se sono state rese
all'interessato le informazioni di cui all'articolo 13;
3. è manifestato in forma scritta quando il
trattamento riguarda dati sensibili.
Consenso (art. 23)
Il Codice della Privacy sviluppa il principio
del bilanciamento degli interessi con uno
snellimento degli adempimenti a carico
delle aziende.
L'area del consenso viene sostanzialmente
confermata per ipotesi già esistenti (artt. 11,
12 e 20 della legge 675/1996), con la
previsione di alcune altre ipotesi di esonero
con riferimento a settori specifici.
Consenso (art. 23)
L’utilizzo dei dati per perseguire un legittimo
interesse del titolare con particolare
riferimento all’attività dei gruppi bancari e
per i trattamenti effettuati da associazioni
no profit con riferimento a soci e aderenti
può essere effettuato senza la richiesta
preventiva di consenso.
Consenso (art. 23)
Per quanto riguarda i riguarda i dati comuni,
il Codice chiarisce meglio che il consenso
al trattamento dei dati personali deve
essere
“espresso
liberamente
e
specificamente in riferimento al trattamento
chiaramente individuato,” e non solo reso
“in forma specifica”, in linea con quanto già
richiesto dalla direttiva europea 95/46.
Casi in cui il trattamento può
essere effettuato senza consenso
L’articolo 24 del Codice riunisce in una
unica disposizione tutte le previgenti norme
della L. 675/1996 che autorizzano il
trattamento di dati personali anche in
assenza del consenso, unificando i
previgenti articoli 12 e 20 della legge n.
675/1996 e dettando una unica disciplina
anche
per
quanto
riguarda
la
comunicazione o diffusione dei dati
personali non basata sul previo consenso.
Deroghe al consenso di
interesse per le imprese
E’ stato meglio specificato il presupposto di
liceità del trattamento in assenza di
consenso relativo alla sussistenza di un
obbligo legale, riferita ora correttamente
alla necessità di adempiere comunque ad
un obbligo previsto dalla legge, e non più
solo al caso di "dati raccolti e detenuti" in
base al medesimo obbligo.
Deroghe al consenso di
interesse per le imprese
Si è chiarito che il trattamento è consentito
quando è comunque necessario per
adempiere, prima della conclusione del
contratto,
a
specifiche
richieste
dell'interessato e non solo per eseguire
“misure” precontrattuali su richiesta del
medesimo
interessato.
Quest'ultimo
intervento è ripetuto in maniera speculare
nell'articolo 43 (già 28 della legge n.
675/1996), in relazione al trasferimento di
Deroghe al consenso di
interesse per le imprese
Si è esteso l'esonero dall'obbligo di
acquisire il consenso ai trattamenti in
ambito “interno” effettuati da organismi "noprofit" anche in relazione a dati comuni, in
conformità a quanto già previsto per i dati
sensibili, a condizione che le modalità di
utilizzo dei dati siano esplicitate in
un'apposita determinazione resa nota agli
associati
con
l'informativa
(analoga
condizione è stata inserita per i trattamenti
Titolare del Trattamento
Per quanto riguarda i soggetti che
effettuano il trattamento, rispetto alla
normativa previgente, l'art. 28 chiarisce che
nel caso in cui il trattamento è effettuato da
una persona giuridica, da una pubblica
amministrazione o da altro ente, “titolare” è
l'entità nel suo complesso, oppure l'unità
periferica
che
esercita
un
potere
decisionale autonomo sulle finalità del
trattamento, anziché la persona fisica
incardinata nell'organo o preposta all'ufficio.
Responsabile del Trattamento
L'art. 29, per fugare ogni possibile dubbio
interpretativo emerso in qualche caso,
chiarisce ancor più che la nomina del
responsabile è meramente facoltativa e
compete al solo titolare.
Responsabile del Trattamento
Inoltre:
1. se designato, il responsabile è individuato tra
soggetti che per esperienza, capacità ed affidabilità
forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza.
2. ove necessario per esigenze organizzative,
possono essere designati responsabili più soggetti,
anche mediante suddivisione di compiti.
3. i compiti affidati al responsabile sono
analiticamente specificati per iscritto dal titolare.
Incaricati del Trattamento
L’art. 30 chiarisce che alla designazione
espressa e specifica degli incaricati - da
effettuarsi in ogni caso per iscritto e con
riguardo a specifiche mansioni - è
"parificata" la preposizione della persona
fisica ad una unità organizzativa per la
quale sia individuato per iscritto l'ambito del
trattamento consentito agli addetti ivi
preposti. Tale previsione rappresenta
un’indubbia forma di semplificazione
dell'adempimento
per
i
titolari
o
Incaricati del Trattamento
Inoltre:
1. le operazioni di trattamento possono essere
effettuate solo da incaricati persone fisiche che
operano sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni
impartite.
2. la designazione è effettuata per iscritto e
individua puntualmente l'ambito del trattamento
consentito.
Violazioni Amministrative
Art. 161 Omessa o inidonea informativa
all'interessato
Sanzione amministrativa da 3.000 a 18.000 Euro
Sanzione amministrativa da 5.000 a 30.000 Euro
per omessa informativa nei trattamenti di dati
sensibili o giudiziari, per trattamenti che
presentano rischi specifici o per grave pregiudizio
dell’interessato.
La somma può essere aumentata sino al triplo
quando risulta inefficace in ragione delle
condizioni economiche del contravventore.
Violazioni Amministrative
Art. 163 Omessa o incompleta notificazione
Chiunque, essendovi tenuto, non provvede
tempestivamente alla notificazione ai sensi
degli articoli 37 e 38, ovvero indica in essa
notizie incomplete, è punito con la sanzione
amministrativa del pagamento di una somma da
diecimila euro a sessantamila euro e con la
sanzione amministrativa accessoria della
pubblicazione dell'ordinanza-ingiunzione, per
intero o per estratto, in uno o più giornali
indicati nel provvedimento che la applica.
Violazioni Amministrative
Art. 164 Omessa informazione o esibizione
al Garante
Chiunque omette di fornire le informazioni o di
esibire i documenti richiesti dal Garante è punito
con la sanzione amministrativa del pagamento di
una somma da quattromila euro a
ventiquattromila euro.
Per tutte le violazioni amministrative menzionate
dal Codice può applicarsi la sanzione accessoria
della pubblicazione dell'ordinanza-ingiunzione,
per intero o per estratto, in uno o più giornali.
Sanzioni Penali
Art. 167 Trattamento illecito di dati
Salvo che il fatto costituisca più grave reato,
chiunque, al fine di trarne per sé o per altri
profitto o di recare ad altri un danno, procede al
trattamento di dati personali in violazione del
Codice relativamente a:
a) principi applicabili ai trattamenti di dati
ordinari;
b) norme sul consenso;
Sanzioni Penali
Art. 167 Trattamento illecito di dati
c) norme sul trattamento di dati relativi al
traffico telefonico o a servizi di comunicazione
elettronica;
d) norme su comunicazioni elettroniche non
sollecitate;
è punito, se dal fatto deriva nocumento, con la
reclusione da sei a diciotto mesi o, se il fatto
consiste nella comunicazione o diffusione, con
la reclusione da sei a ventiquattro mesi.
Sanzioni Penali
Art. 167 Trattamento illecito di dati
Salvo che il fatto costituisca più grave reato,
chiunque, al fine di trarne per sé o per altri
profitto o di recare ad altri un danno, procede al
trattamento di dati personali in violazione del
Codice relativamente a:
Sanzioni Penali
Art. 167 Trattamento illecito di dati
a) principi applicabili ai trattamenti che
presentano rischi specifici e requisiti dei dati;
b) principi applicabili al trattamento di dati
sensibili o giudiziari, incluse le operazioni di
comunicazione o diffusione ; c) norme su
trasferimenti all’estero dei dati personali,
è punito, se dal fatto deriva nocumento, con
la reclusione da uno a tre anni.
Sanzioni Penali
Art.168
Falsità nelle dichiarazioni e notificazioni al
Garante
Chiunque,
nella
notificazione
o
in
comunicazioni, atti, documenti o dichiarazioni
resi o esibiti in un procedimento dinanzi al
Garante o nel corso di accertamenti, dichiara o
attesta falsamente notizie o circostanze o
produce atti o documenti falsi, è punito, salvo
che il fatto costituisca più grave reato, con la
reclusione da sei mesi a tre anni.
Sanzioni Penali
Art. 169
Misure di sicurezza
Chiunque, essendovi tenuto, omette di adottare
le misure minime di sicurezza è punito con
l'arresto sino a due anni o con l'ammenda da
diecimila euro a cinquantamila euro.
E’ comunque previsto un un termine per la
regolarizzazione. Se risulta l'adempimento,
l'autore del reato può pagare una somma pari al
quarto del massimo dell'ammenda, estinguendo
il reato.
Sanzioni Penali
Art.170
Inosservanza di provvedimenti del Garante
Chiunque, essendovi tenuto, non osserva taluni
provvedimenti adottati dal Garante è punito
con la reclusione da tre mesi a due anni.
Sanzioni per illecito trattamento
dei dati dei lavoratori
I trattamenti di dati personali dei lavoratori che
costituiscono violazione degli articoli 8 (Divieto
di indagini sulle opinioni dei lavoratori) e 4
(Controllo a distanza dei lavoratori)dello Statuto
dei Lavoratori (L. 300/1970) è punita ai sensi
dell’articolo 38 della medesima L. 300/1970.
Sanzioni per illecito trattamento
dei dati dei lavoratori
In tali casi, il reato è punito, salvo che il fatto
non costituisca più grave reato, con l'ammenda
da € 51,16 ad € 516 o con l'arresto da 15 giorni
ad un anno.
Nei casi più gravi le pene dell'arresto e
dell'ammenda sono applicate congiuntamente.
Quando, per le condizioni economiche del reo,
l'ammenda può presumersi inefficace anche se
applicata nel massimo, il giudice ha facoltà di
aumentarla fino al quintuplo.
Responsabilità Civile
Art. 15
Danni cagionati per effetto del trattamento
Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al
risarcimento ai sensi dell'articolo 2050 del
codice civile.
Il danno non patrimoniale è risarcibile anche in
caso di violazione delle norme del Codice che
fissano le prescrizioni in materia di modalità del
trattamento e requisiti dei dati.
Le norme del Codice sui rapporti
di lavoro
Titolo VII - Lavoro e Previdenza sociale.
Capo I - Profili generali.
Art.111 Codice di deontologia e di buona
condotta.
Art.112 Finalità di rilevante interesse pubblico.
Capo II - Annunci di lavoro e dati riguardanti
prestatori di lavoro.
Art.113 Raccolta di dati e pertinenza.
Le norme del Codice sui rapporti
di lavoro
Capo III - Divieto di controllo a distanza e
telelavoro.
Art.114 Controllo a distanza.
Art.115 Telelavoro e lavoro a domicilio.
Capo IV - Istituti di patronato e di assistenza
sociale.
Art.116 conoscibilità di dati su mandato
dell'interessato.
Il Codice Deontologico sul
trattamento di dati nei rapporti di
lavoro
Il d.lgs 467/2001 prevede, tra gli altri,
l’adozione di un codice deontologico relativo ai
trattamenti di dati personali effettuati per
finalità previdenziali o per la gestione del
rapporto di lavoro, con previsione di specifiche
modalità per l’informativa all’interessato e per
l’eventuale
prestazione
del
consenso
relativamente alla pubblicazione di annunci
per finalità di occupazione ed alla ricezione di
curricula vitae contenenti dati personali anche
Il Codice Deontologico sul
trattamento di dati nei rapporti di
lavoro
Entro il 30 Giugno 2004 è prevista l’adozione di
due codici: uno per le materie più
specificamente lavoristiche, l’altro per i profili
inerenti la previdenza sociale. I due codici
deontologici di autoregolamentazione, alla cui
stesura parteciperanno le organizzazioni
rappresentative dei lavoratori e dei datori,
completeranno l'architettura generale disegnata
dal Codice della Privacy.
Il Codice Deontologico sul
trattamento di dati nei rapporti di
lavoro
Saranno confermate le tutele già previste dallo
Statuto dei lavoratori in materia di riservatezza,
potenziandole attraverso la disciplina di ulteriori
ed attuali problematiche, quali ad esempio il
trattamento dei dati dei terzi e il rapporto tra
privacy e tutela giudiziaria.
Principi del Codice deontologico
1. obbligatoria informativa ai dipendenti
sull’installazione di apparecchiature di
controllo;
2. negli annunci di lavoro dovrà essere
inserito un facsimile per l'informativa e per
la prestazione del consenso, o in alternativa
dovrà essere indicato un sito Internet sul
quale il facsimile sia agevolmente
conoscibile;
3. semplificazione per la individuazione dei
Controllo della e-mail dei
lavoratori
Il lavoratore deve usare l’e-mail aziendale come
strumento per l’adempimento delle proprie
mansioni e non per usi personali.
I Garanti europei hanno segnalato l’opportunità
di una policy aziendale che preveda
l’assegnazione al lavoratore di due account di
posta elettronica: uno aziendale (che è possibile
per il datore di lavoro controllare) ed uno
personale (con monitoraggio vietato).
Monitoraggio uso di Internet ed
intranet aziendali da parte del
lavoratore
Vale lo stesso principio: il lavoratore deve
utilizzare le dotazioni aziendali nell’ambito e
per gli scopi inerenti le proprie mansioni.
La policy aziendale può essere tarata sulle
Linee Guida Confindustria del 5 Luglio 2001.
Trattamento di dati personali per
scopi commerciali dell’azienda
Principi generali
L’indirizzo di posta elettronica è un dato
personale soggetto al Codice della Privacy.
Il Garante ha inoltre precisato che la
pubblicità di alcuni indirizzi di posta
elettronica, resi conoscibili attraverso i siti
Internet, va collegata agli scopi per i quali
questi indirizzi vengono resi noti dagli
utenti.
Trattamento di dati personali per
scopi commerciali dell’azienda
Principi generali
Gli indirizzi di posta elettronica non sono
sottoposti ad un regime giuridico di piena
conoscibilità da parte di chiunque. La
circostanza che l’indirizzo e-mail sia
conoscibile di fatto, anche momentaneamente,
da una pluralità di soggetti non lo rende, infatti,
liberamente utilizzabile e non autorizza
comunque l’invio di informazioni, di qualunque
genere senza un preventivo consenso.
Trattamento di dati personali per
scopi commerciali dell’azienda
Comunicazioni commerciali non sollecitate via
e-mail (Consumatori - rapporti B2C)
L’azienda deve ottenere il consenso preventivo
del destinatario (sistema opt-in) inviando una
prima e-mail neutra in cui si chiede
l’autorizzazione ad inviare una seconda e-mail
per la promozione di prodotti e/o servizi
aziendali.
Trattamento di dati personali per
scopi commerciali dell’azienda
Comunicazioni commerciali non sollecitate via
e-mail (Consumatori - rapporti B2C)
Se il destinatario dà il consenso, è possibile
inviare l’e-mail promozionale, salvo sempre il
diritto del destinatario di opporsi a successivi
invii o di revocare il consenso.
Riferimenti ulteriori: d.lgs 22 maggio 1999 n.
185 - art. 10.
Trattamento di dati personali per
scopi commerciali dell’azienda
Comunicazioni commerciali non sollecitate via
e-mail (Professionisti - rapporti B2B)
Se il destinatario dell’e-mail promozionale non è
un consumatore, non è necessario il consenso
preventivo, ma sarà il destinatario a dover
comunicare di non voler ricevere più messaggi
promozionali (sistema opt-out).
Riferimenti: d.lgs 14 Aprile 2003 n. 70
(recepimento
Direttiva
sul
Commercio
Elettronico).
Comunicazioni commerciali
indesiderate: art. 130 del Codice
L'uso di sistemi automatizzati di chiamata senza
l'intervento di un operatore per l'invio di materiale
pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato è consentito
con il consenso dell'interessato.
Tale principio si applica anche alle comunicazioni
elettroniche effettuate mediante e-mail, telefax,
messaggi del tipo Mms o Sms o di altro tipo.
Comunicazioni commerciali
indesiderate: art. 130 del Codice
Se il titolare del trattamento utilizza, a fini di
vendita diretta di propri prodotti o servizi, le
coordinate di posta elettronica fornite
dall'interessato nel contesto della vendita di un
prodotto o di un servizio, può non richiedere il
consenso dell'interessato, sempre che si tratti di
servizi analoghi a quelli oggetto della vendita e
l'interessato, adeguatamente informato, non
rifiuti tale uso, inizialmente o in occasione di
successive comunicazioni.
Comunicazioni commerciali
indesiderate: art. 130 del Codice
L'interessato, al momento della raccolta e in
occasione dell'invio di ogni comunicazione
effettuata per le finalità di cui al presente
comma, è informato della possibilità di opporsi
in ogni momento al trattamento, in maniera
agevole e gratuitamente.
Comunicazioni commerciali
indesiderate: art. 130 del Codice
E' vietato in ogni caso l'invio di comunicazioni
commerciali
o,
comunque,
a
scopo
promozionale, effettuato camuffando o celando
l'identità del mittente o senza fornire un idoneo
recapito presso il quale l'interessato possa
esercitare i diritti di cui all'articolo 7 del Codice
della Privacy. La violazione dell’art. 130 è
sanzionata penalmente.
Uso dei Cookies su siti web
aziendali
I cookies sono file che registrano tutti i movimenti
dell'utente su Internet registrandone i movimenti
corrispondenti ai siti visitati. Altre modalità di
“tracciatura” della navigazione web (detta anche
“clicktrail”) sono rappresentate dai cosiddetti “web
beacons”. Si tratta di immagini elettroniche
presenti all’interno di banner pubblicitari,
messaggi di posta elettronica in formato HTML,
etc che registrano la consultazione di determinate
pagine web.
Uso dei Cookies : art. 122 del
Codice della privacy
E’ vietato l'uso di una rete di comunicazione
elettronica per accedere a informazioni
archiviate nell'apparecchio terminale di un
abbonato o di un utente, per archiviare
informazioni o per monitorare le operazioni
dell'utente.
Uso dei Cookies : art. 122 del
Codice della privacy
Il codice di deontologia sul trattamento dei dati su
reti di comunicazione elettronica individuerà i
presupposti e i limiti entro i quali è consentito l'uso
della rete per le finalità di cui alla precedente slide
e per determinati scopi legittimi relativi alla
memorizzazione tecnica dei dati per il tempo
strettamente necessario alla trasmissione della
comunicazione, o a fornire uno specifico servizio
richiesto dall'abbonato o dall'utente.
Uso dei Cookies : art. 122 del
Codice della privacy
L’abbonato o l'utente devono comunque
esprimere il consenso sulla base di una previa
informativa che indichi analiticamente, in modo
chiaro e preciso, le finalità e la durata del
trattamento finalizzato ad accedere a
informazioni
archiviate
nell'apparecchio
terminale, per archiviare informazioni o per
monitorare le operazioni dell'utente o
dell’abbonato.
Utilizzo di impianti di
videosorveglianza
Art. 4 della L. 300/1970 (Statuto dei
Lavoratori): divieto di controllo a distanza dei
lavoratori.
Articolo 134 del Codice della Privacy: il
Garante promuove la sottoscrizione di un codice di
deontologia per il trattamento dei dati personali
effettuato con strumenti elettronici di rilevamento
di immagini, prevedendo specifiche modalità di
trattamento e forme semplificate di informativa
all'interessato.
Utilizzo di impianti di
videosorveglianza
Provvedimento del Garante 29 Novembre
2000: Decalogo sulla videosorveglianza.
I dati personali sono rappresentati anche da
immagini o da suoni, purchè atti a rendere
indentificato od identificabile un soggetto.
Trasferimento all’estero dei dati
1. Il trasferimento dei dati può avvenire
verso
Paesi
appartenenti
all’Unione
Europea;
2. Il trasferimento dei dati può avvenire
verso Paesi extra-UE;
3. Il trasferimento può essere temporaneo o
definitivo e può avvenire in qualsiasi forma
e con qualsiasi mezzo;
Trasferimento all’estero dei dati
4. lo Stato di destinazione del trasferimento dei
dati personali può essere:
a) il Paese effettivamente destinatario dei dati;
b) un Paese in cui i dati personali
semplicemente transitano in vista del
raggiungimento dello Stato destinatario finale.
Trasferimento all’estero dei dati
Riferimenti normativi
Artt. 42-45 del Codice della Privacy.
Autorizzazioni Generali del Garante al
trasferimento verso determinati Paesi.
Decisioni
della
Commissione
UE
sull’adozione delle clausole contrattuali
standard per il trasferimento all’estero di
dati personali.
Trasferimento all’estero dei dati
Clausole contrattuali standard
Decisione della Commissione europea n.
2001/497/CE del 15 Giugno 2001 relativa
alle clausole contrattuali tipo per il
trasferimento di dati a carattere personale
verso paesi terzi a norma della direttiva
95/46/CE.
Trasferimento all’estero dei dati
Clausole contrattuali standard
Decisione della Commissione europea n.
2002/16/CE del 27 dicembre 2001 relativa
alle clausole contrattuali tipo per il
trasferimento di dati personali a incaricati
del trattamento residenti in paesi terzi, a
norma della direttiva 95/46/CE.
Trasferimento all’estero dei dati
Clausole contrattuali standard
Deliberazione del Garante italiano n.
35/2001
del
10
ottobre
2001
“Autorizzazione al trasferimento dei dati
personali verso Paesi senza adeguato
livello di protezione” che ha “attuato” la
Decisione 2001/497/CEE.
Trasferimento all’estero dei dati
Clausole contrattuali standard
Deliberazione del Garante italiano n.
3/2002 del 10 aprile 2002 “Autorizzazione
al trasferimento di dati personali dal
territorio dello Stato verso responsabili del
trattamento residenti in Paesi terzi, in
conformità
alla
Decisione
della
Commissione europea del 27/12/2001, n.
2002/16/CE”.
Avv. Alessandro del Ninno
Responsabile del Dipartimento di
Information & Communication
Technology
Studio Legale Tonucci
Via Principessa Clotilde n. 700196
Roma
e-mail: [email protected]