Dott. Durazzano Marco
La tutela dei dati personali
Principi e novità dopo
l’emanazione del
CODICE DELLA PRIVACY
Dott. Durazzano Marco
Il D.Lgs 196/2003: La ratio della nuova legislazione
• In vigore dal 01.01.2004
• Ha abrogato la L.675/96 e altre disposizioni in
materia di dati personali
Dott. Durazzano Marco
Principi generali
Art.1
“Chiunque ha diritto alla protezione dei dati
personali che lo riguardano”
Protezione della riservatezza, dell’identità
personale e dei dati personali
Dott. Durazzano Marco
•
dati personali: informazioni relative a persone
fisiche e giuridiche, enti e associazioni,
identificati o identificabili, anche indirettamente,
mediante riferimento a qualunque altra
informazione, ivi compreso un numero di
identificazione personale;
Dott. Durazzano Marco
•
Per dato sensibile si intendono tutti quei dati
personali idonei a rivelare l’origine razziale ed
etnica, le convinzioni religiose, filosofiche, le
opinioni politiche, l’adesione a partiti, sindacati,
associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché
lo stato di salute, e la vita sessuale. .
Dott. Durazzano Marco
Per dato giudiziario si intendono tutti quei dati
personali idonei a rivelare provvedimenti in
materia di casellario giudiziale, di anagrafe delle
sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualità di imputato o
di indagato ai sensi degli Articoli 60 e 61 del
codice di procedura penale.
Dott. Durazzano Marco
•
•
•
•
Il titolare: la persona fisica o giuridica, la pubblica
amministrazione o qualsiasi altro ente, associazione o organismo
cui competono le decisioni in ordine alle finalità ed alle modalità
di trattamento, ivi compresa la sicurezza degli stessi.
Il responsabile: la persona fisica o giuridica, la pubblica
amministrazione o qualsiasi altro ente, associazione o organismo
preposti dal titolare al trattamento.
L’incaricato: colui che elabora i dati personali ai quali ha
accesso attenendosi alle istruzioni impartite dal titolare o dal
responsabile.
L’interessato: la persona fisica, la persona giuridica,
l'ente o l'associazione cui si riferiscono i dati personali
Dott. Durazzano Marco
Il trattamento dei dati personali è qualunque operazione o
complesso di operazioni svolti con o senza l’ausilio di un
elaboratore elettronico o di un procedimento comunque
automatizzato, che concerne le seguenti operazioni:







raccolta dei dati
registrazione
organizzazione
conservazione
elaborazione
blocco
modificazione







selezione, estrazione, raffronto
utilizzo
interconnessione
comunicazione
diffusione
cancellazione
distruzione
Dott. Durazzano Marco
comunicazione: dare conoscenza dei dati personali, in
qualunque forma, a soggetti determinati;
diffusione: dare conoscenza dei dati personali, in
qualunque forma, a soggetti indeterminati;
Dott. Durazzano Marco
L’informativa (art.13)
L’ informativa è una dichiarazione che il titolare o il
responsabile fa all’ interessato in forma scritta od orale circa
l’utilizzo delle informazioni che lo riguardano.
rappresenta una mappa attraverso la quale l’interessato rintraccia i
propri dati in ogni momento e può esercitare i diritti riconosciuti
dall’art.7 del T.U.
Dott. Durazzano Marco
• Quali informazioni deve contenere:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante
nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile.
Quando il titolare ha designato più responsabili è indicato almeno uno
di essi, indicando il sito della rete di comunicazione o le modalità
attraverso le quali è conoscibile in modo agevole l'elenco aggiornato
dei responsabili. Quando è stato designato un responsabile per il
riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo
7, è indicato tale responsabile.
Dott. Durazzano Marco
Eccezioni (art.13)
L’informativa non si applica quando:
a) I dati sono trattati in base ad un obbligo previsto dalla legge, da
un regolamento o dalla normativa comunitaria;
b) I dati sono trattati ai fini dello svolgimento di investigazioni
difensive, o per far valere un diritto in sede giudiziaria, per il
periodo strettamente necessario al loro perseguimento;
c) L’informativa all’interessato comporta un impiego di mezzi che il
Garante dichiari manifestamente sproporzionati rispetto al diritto
tutelato, ovvero si riveli impossibile a giudizio del Garante.
Dott. Durazzano Marco
Consenso (art.23)
Il consenso è una libera ed esplicita
manifestazione di volontà dell’interessato in
relazione all’utilizzo dei propri dati personali
da parte di terzi, che in qualità di “titolari” del
trattamento dei dati ne decidono le finalità e
le modalità.
Dott. Durazzano Marco
Eccezioni (art.24)
Il consenso non è richiesto quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla
legge, da un regolamento o dalla normativa
comunitaria;
b) è necessario per eseguire obblighi derivanti da un
contratto del quale è parte l’interessato o per adempiere a
specifiche richieste dell‘interessato;
c) riguarda dati provenienti da pubblici registri, elenchi,
atti o documenti conoscibili da chiunque fermo restando
i limiti e le modalità che le leggi, i regolamenti o la
normativa comunitaria stabiliscono per la conoscibilità e
pubblicità dei dati;
Dott. Durazzano Marco
d) riguarda dati relativi allo svolgimento di attività
economiche;
e) è necessario per la salvaguardia della vita o
dell’incolumità fisica di un terzo.
f) è necessario ai fini dello svolgimento delle investigazioni
difensive;
g) è effettuato da associazioni enti o organismi senza scopo
di lucro, in riferimento a soggetti o ad aderenti che hanno
con essi contatti regolari per il perseguimento di scopi
determinati e individuati dall’atto costitutivo
Dott. Durazzano Marco
LA NOTIFICAZIONE (art.37)
La notificazione è una dichiarazione con la quale un
soggetto pubblico o privato rende nota al Garante per la
protezione dei dati personali l’esistenza di un’attività di
raccolta e di utilizzazione dei dati personali. La
notificazione va effettuata prima che inizi il trattamento
medesimo.
Dott. Durazzano Marco
Vanno notificati esclusivamente dati personali che riguardano (art.37):
a) dati genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di
procreazione assistita, prestazione di servizi sanitari per via telematica
relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche,
rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di
organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell'interessato, o ad analizzare abitudini o scelte di consumo,
ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con
esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per
conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche
di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e
relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al
corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
Dott. Durazzano Marco
L’AUTORIZZAZIONE
L’autorizzazione costituisce una condizione di liceità del
trattamento dei dati sensibili e giudiziari. Per quanto
riguarda i primi, l’articolo 26 prevede che se un soggetto
privato intende utilizzare dati sensibili deve soddisfare 2
condizioni di legittimità e cioè:
a) Che l’interessato abbia acconsentito per iscritto.
b) Che sia stata ottenuta l’autorizzazione del garante.
Dott. Durazzano Marco
Le autorizzazioni possono distinguersi in:
Autorizzazioni generali
Con esse l’autorità acconsente a operazioni di trattamento di
dati sensibili e giudiziari a determinate categorie di titolari o di
trattamenti e sono pubblicate sulla Gazzetta Ufficiale della
Repubblica italiana.
Autorizzazioni specifiche
Quando il trattamento che il titolare pone in essere non è
regolamentato, e quindi non contemplato nelle autorizzazioni
generali ma sarà lo stesso titolare a sottoporre una dettagliata
richiesta di autorizzazione al Garante tramite la compilazione di
un modulo specifico rilasciato dall’autorità (Art. 41).
Dott. Durazzano Marco
Le autorizzazioni generali valide fini al 31.12.2005
-
i rapporti di lavoro (aut.n.1/2004);
i dati sulla salute e le vita sessuale (aut. n.2/2004);
le associazioni e fondazioni (aut. n.3/2004);
i liberi professionisti (aut. n.4/2004);
le attività creditizie, assicurative, i sondaggi, l'elaborazione dati e
da altre attività private (aut. n.5/2004);
- gli investigatori privati (aut. n.6/2004);
- i dati di carattere giudiziario (aut. n. 7/2004).
Dott. Durazzano Marco
Obblighi di sicurezza – Misure idonee
Nel custodire e controllare i dati, devono essere adottate
idonee e preventive misure di sicurezza per ridurre al
minimo I rischi di distruzione e perdita (anche accidentale)
dei dati, accesso non autorizzato, trattamento non
consentito o non conforma agli scopi.
Dott. Durazzano Marco
Obblighi di sicurezza – misure minime
Nel quadro dei più generali obblighi di sicurezza di cui
all'articolo 31, o previsti da speciali disposizioni, i titolari
del trattamento sono comunque tenuti ad adottare le
misure minime individuate dal Codice ai sensi dell'articolo
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.
Dott. Durazzano Marco
A) Trattamento con strumenti elettronici (Art. 34)
1. Il sistema deve disporre di un sistema di
autenticazione degli utenti (password, firma
digitale e impronte digitali).
2. Il titolare deve adottare delle appropriate
procedure di gestione delle credenziali di
autenticazione.
3. Deve essere definito un sistema di
autorizzazione per abilitare gli utenti all’accesso
ai dati e/o trattamenti.
4. Adozione di appropriate procedure a cadenza
periodica per aggiornare le utenze e i relativi
profili.
Dott. Durazzano Marco
5. Gli strumenti elettronici devono essere protetti
da accessi non autorizzati da parte di utenti,
programmi informatiti e da trattamenti illeciti.
6. Il titolare deve adottare procedure per la
custodia di copie di sicurezza, il ripristino della
disponibilità dei dati e dei sistemi.
7. Il titolare deve adottare un Documento
Programmatico sulla Sicurezza.
8. E’ obbligatorio adottare tecniche di cifratura per i
trattamenti atti a rivelare lo stato di salute o la
vita sessuale rilevati da organismi sanitari.
Dott. Durazzano Marco
B)Trattamento senza l’ausilio di strumenti elettronici
(Art.35)
1. Bisogna aggiornare periodicamente l'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati o alle unità organizzative.
2. Devono essere previste delle procedure per un'idonea
custodia di atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti.
3. Devono essere previste procedure per la conservazione
di determinati atti in archivi ad accesso selezionato e
disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati.
Dott. Durazzano Marco
Le informazioni contenute nel DPS:
1. l'elenco dei trattamenti di dati personali;
2. la distribuzione dei compiti e delle responsabilità
nell'ambito delle strutture preposte al trattamento dei
dati;
3. l'analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l'integrità e la
disponibilità dei dati, nonchè la protezione delle aree e
dei locali, rilevanti ai fini della loro custodia e
accessibilità;
Dott. Durazzano Marco
Le informazioni contenute nel DPS:
5. la descrizione dei criteri e delle modalità per il ripristino
della disponibilità dei dati in seguito a distruzione o
danneggiamento;
6. la previsione di interventi formativi degli incaricati del
trattamento, per renderli edotti dei rischi che incombono
sui dati e delle misure disponibili per prevenire eventi
dannosi;
Dott. Durazzano Marco
Le informazioni contenute nel DPS:
7. la descrizione dei criteri da adottare per garantire
l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al
codice, all'esterno della struttura del titolare;
8. per i dati personali idonei a rivelare lo stato di salute e
la vita sessuale, l'individuazione dei criteri da adottare
per la cifratura o per la separazione di tali dati dagli altri
dati personali dell'interessato.
Dott. Durazzano Marco
Cessazione del trattamento
Quando cessa un trattamento i dati devono essere:
a) distrutti;
b) ceduti ad altro titolare per un trattamento compatibile
con
gli scopi originari;
c) conservati per scopi personali (non comunicati
sistematicamente o diffusi);
d) conservati o ceduti per scopi storici, statistici o di
ricerca scientifica.
Dott. Durazzano Marco
ILLECITI CIVILI Sanzioni Amministrative
Art. 161 Omessa o inidonea informativa Sanzione da 3.000 € a 18.000 €
Art. 161 Omessa informativa per dati sensibili o giudiziari Sanzione da 5.000 € a
30.000 €
Art. 163 Omessa o incompleta notificazione al Garante Sanzione da 10.000 € a
60.000 €Art.
164 Omessa informazione o esibizione dei documenti Sanzione da 4.000 € a
24.000 €
ILLECITI PENALI Sanzioni Penali
Art. 167 Trattamento illecito di dati personali Reclusione da 6 mesi a 3 anni.
Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi
a 3 anni
Art. 169 Omessa adozione delle misure minime di sicurezza Arresto fino a 2 anni
o sanzione amministrativa, pagamento di una somma da 10.000 € a 50.000 €
Art. 170 Innosservanza dei provvedimenti del Garante Reclusione da tre mesi a
due anni
Dott. Durazzano Marco
" .... solo se non saremo implacabilmente seguiti
dalla registrazione d'ogni traccia che lasciamo,
.... potrà nascere la libertà di donne e uomini ...."
- Prof. Stefano Rodotà