 Il pericolo non viene da ciò che non
sappiamo, ma da quello che crediamo sia
vero, e invece non lo è.”
(Mark Twain)
Nascita ed evoluzione del diritto alla privacy
 Privacy – concetto prevalentemente non giuridico.
 Nozione variabile, dinamica, culturale.
 1889 – Inizia formalmente la lunga storia della privacy
moderna.
 1889 – Esce lo studio di Samuel Warren e Louis Brandeis:
“The right to privacy”
Nascita e evoluzione del diritto alla privacy
 Warren e Brandeis e il “let to be alone”.
 Caso Sullivan (1964).
 Tra il 1905 e il 1995 ci sono state 305 decisioni della
Corte Suprema USA.
 Affermazione del potere attraverso il controllo.
 G. Orwell, 1984.
Nascita e evoluzione del diritto alla privacy
 Avvento delle nuove tecnologie.
 Società dell’informazione.
 Circolazione delle informazioni.
 Mutamento del concetto tradizionale di privacy.
 Dal diritto ad essere lasciato da solo al diritto di
mantenere il controllo sulla circolazione delle
informazioni che riguardano l’interessato.
Nascita e evoluzione del diritto alla privacy
 Diritto di controllare l’uso che altri fanno delle
informazioni che mi riguardano;
 Diritto di effettuare le proprie scelte di vita al riparo
dal controllo pubblico e dalla stigmatizzazione
sociale;
 Diritto alla libertà delle proprie scelte esistenziali;
 Diritto di mantenere il controllo delle proprie
informazioni e di determinare liberamente le modalità
di costruzione della propria sfera privata;
Nascita e evoluzione del diritto alla privacy
 Diritto a non essere semplificato, trasformato
in oggetto, valutato fuori dal contesto.
 Si accentua il ruolo della privacy come forma
di libertà.
 La garanzia giuridica accompagna la
trasformazione, e su questa si modula.
La privacy in Italia
 Difficoltà iniziali nel riconoscere giuridicamente una
tutela alla vita privata.
 Primi casi giurisprudenziali negli anni 50.
 Caso Caruso (Cass. 22.12.56, n. 4487).
 Caso Petacci (Cass. 20.4.63, n. 990).
 Caso Soraya (Cass. 27.5.75, n. 2129).
La privacy in Italia
 Diffusione degli elaboratori elettronici.
 Studi di Vittorio Frosini, Stefano Rodotà.
 Statuto dei lavoratori (artt. 4 e 8).
 Caso schedature Fiat.
 Primi disegni e progetti di legge.
 Commissione Mirabelli.
Prima legge italiana
a tutela dei dati personali
• Legge 31 dicembre 1996, n. 675 intitolata “Tutela delle
persone e di altri soggetti rispetto al trattamento dei dati
personali”.
• L’art. 1 della Direttiva n. 95/46/CE prevede che ciascuno
Stato membro deve garantire la tutela dei diritti e delle
libertà
fondamentali
delle
persone fisiche
e
particolarmente del diritto alla vita privata, con il riguardo
al trattamento dei dati personali, senza tuttavia restringere
o vietare, per motivi connessi alla predetta tutela, la libera
circolazione dei dati personali tra gli Stati membri.
Il Codice in materia
di protezione dei dati personali
• Codice in materia di protezione dei dati personali (D. Lgs.
30 giugno 2003, n. 196).
• Diviso in tre parti:
1. disposizioni generali
2. disposizioni relative a specifici settori
3. tutela dell’interessato e sanzioni
• Composto da 186 articoli e 7 allegati.
Il diritto alla privacy come costellazione di diritti
 Diritto alla riservatezza.
 Diritto alla protezione dei dati personali.
 Diritto all’identità personale.
 Diritto all’oblio.
 Tutela dell’anonimato.
Art. 1
Chiunque ha diritto alla protezione dei dati personali che lo
riguardano.
Il diritto alla protezione dei dati personali è riconosciuto
anche dalla Carta dei diritti fondamentali dell’Unione
Europea (art. 8).
Finalità
 Il Codice (art. 2) garantisce che il trattamento dei dati si
svolga nel rispetto dei diritti e delle libertà fondamentali
della persona, nonché della dignità dell’interessato, con
particolare riferimento alla riservatezza, all’identità
personale e al diritto alla protezione dei dati personali.
Art. 8 Carta dei diritti
fondamentali U.E.
• 1.
Ogni individuo ha diritto alla protezione dei dati di
carattere personale che lo riguardano.
• 2. Tali dati devono essere trattati secondo il principio di
lealtà, per finalità determinate e in base al consenso della
persona interessata o a un altro fondamento legittimo
previsto dalla legge. Ogni individuo ha il diritto di
accedere ai dati raccolti che lo riguardano e di ottenerne
la rettifica.
• 3. Il rispetto di tali regole è soggetto al controllo di
un’autorità indipendente.
Principio di necessità
nel trattamento dei dati
I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l’utilizzazione di
dati personali e di dati identificativi, in modo da
escluderne il trattamento quando le finalità perseguite
nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalità
che permettano di identificare l’interessato solo in
caso di necessità (art. 3).
Il corpo elettronico
 Nasce una concezione integrale della persona.
 Diritto di non perdere mai il potere di mantenere il pieno
controllo sul proprio corpo:
- CORPO FISICO
- CORPO ELETTRONICO
Dati
D.Lgs. 30 giugno
2003, n. 196
Trattamenti
Ruoli
DATI
 Personale
 Identificativo
 Sensibile
 Giudiziario
 Anonimo
Dato personale
 qualunque
informazione relativa a persona fisica,
identificata o identificabile, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale.
Dato personale
“La legge, in armonia con gli atti internazionali e comunitari
che ha attuato, considera come «dato personale» qualunque
informazione che consenta l’identificazione dei soggetti
interessati, anche se derivante da suoni o da immagini (come
appunto una registrazione sonora, una foto od un filmato);
un’intervista o un colloquio, come qualsiasi altra dichiarazione,
opinione o manifestazione del pensiero proveniente
dall’interessato (uno scritto, un saggio, un articolo, ecc.),
costituiscono senz’altro informazioni che riguardano la sua
persona e come tali «dati personali», essendo del tutto
irrilevante la forma in cui esse sono trattate oppure gli
eventuali supporti che le contengono (nel caso di specie, una
audiocassetta)” (Garante Privacy, 26 novembre 1998).
Dati identificativi
 I dati personali che permettono l’identificazione diretta
dell’interessato (ad. es. nome e cognome, recapiti
telefonici, codice fiscale, dati bancari, etc.)
Dati sensibili
I dati personali idonei a rivelare l’origine razziale ed
etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l’adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali
idonei a rivelare lo stato di salute e la vita sessuale.
Dati giudiziari
I dati personali idonei a rivelare provvedimenti di cui
all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del
d.P.R. 14 novembre 2002, n. 313, in materia di casellario
giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la
qualità di imputato o di indagato ai sensi degli articoli 60 e
61 del codice di procedura penale.
Dato anonimo
 “Il dato che in origine, o a seguito di
trattamento, non può essere associato ad
un
interessato
identificato
o
identificabile”.
Trattamenti
… c’è qualcosa che non sia
considerabile “Trattamento”?
“…s’intende
per
“trattamento”,
qualunque
operazione o complesso di operazioni, effettuati
anche senza l'ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione,
l'organizzazione,
la
conservazione,
la
consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati…”
(art. 4 – D.Lg 196/03)
Comunicazione
 “Il dare conoscenza dei dati personali a uno o più soggetti
determinati diversi dall’interessato, dal rappresentante del
titolare nel territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la loro
messa a disposizione o consultazione”.
Diffusione
 “Il dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro
messa a disposizione o consultazione”.
Ruoli
 L’interessato
 Il titolare del trattamento
 Il responsabile del trattamento
 L’incaricato
Il titolare del trattamento
La persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro
titolare, le decisioni in ordine alle finalità, alle modalità
del trattamento di dati personali e agli strumenti utilizzati,
ivi compreso il profilo della sicurezza.
Il titolare
 Quando il trattamento è effettuato da una P.A., il titolare deve
essere individuato nella P.A. stessa (es. il ministero) e non nella
persona fisica che l’amministra o rappresenta (es. il ministro).
 Nel caso di strutture articolate in direzioni generali, ovvero in
sedi centrali, decentrate o periferiche, il titolare è di regola la
struttura nel suo complesso. Se, però, la singola direzione
generale esercita un potere decisionale autonomo su finalità e
modalità del trattamento, il titolare è la medesima direzione o
sede.
Il responsabile del trattamento
La persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento di dati
personali.
Il responsabile del trattamento
 È facoltà delle amministrazioni designare alcuni
soggetti (persone fisiche o giuridiche, enti od
organismi) quali "responsabili" del trattamento,
delineandone analiticamente e per iscritto i compiti
attribuiti, e individuando al loro interno, se del caso,
ulteriori livelli di responsabilità in base
all'organizzazione delle divisioni e degli uffici o alle
tipologie di trattamenti, di archivi e di dati, sempre
che ciascuno di questi dimostri l'esperienza, la
capacità e l'affidabilità richieste dalla legge (art. 29 del
Codice).
Il responsabile del trattamento
 1 . Il responsabile è designato dal titolare facoltativamente.
 2. Se designato, il responsabile è individuato tra soggetti che per esperienza,
capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti
disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.
 3. Ove necessario per esigenze organizzative, possono essere designati responsabili
più soggetti, anche mediante suddivisione di compiti.
 4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal
titolare.
 5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal
titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza
delle disposizioni di cui al comma 2 e delle proprie istruzioni.
Gli incaricati
Le persone fisiche autorizzate a compiere operazioni di
trattamento dal titolare o dal responsabile.
Gli incaricati
 E’ necessario invece che ogni lavoratore sia preposto
per iscritto, in qualità di "incaricato", alle operazioni di
trattamento e sia debitamente istruito in ordine
all'accesso e all'utilizzo delle informazioni personali di
cui può venire a conoscenza nello svolgimento della
propria prestazione lavorativa. La designazione degli
incaricati può essere effettuata nominativamente o,
specie nell'ambito di strutture organizzative
complesse, mediante atti di preposizione del
lavoratore a unità organizzative per le quali venga
altresì previamente individuato, per iscritto, l'ambito
del trattamento consentito (art. 30 del Codice).
Designazione degli incaricati
 “In assenza di una formale designazione come incaricati, i
dipendenti che, per lo svolgimento di propri compiti,
vengono a conoscenza di dati personali, devono essere
considerati
come
soggetti
terzi
rispetto
all’amministrazione stessa. Con conseguenti limiti per la
comunicazione e l’utilizzazione dei dati e quindi per la
liceità del trattamento” (Garante, 23 maggio 2000).
L’interessato
La persona fisica, la persona giuridica, l’ente o
l’associazione cui si riferiscono i dati personali.
I diritti dell’interessato

1.
2.
3.
I diritti riconosciuti dall’art. 7 possono essere
classificati in tre categorie principali:
il diritto a conoscere se un trattamento è stato iniziato;
l’ esercizio di un controllo sulla qualità dei dati;
il diritto di opposizione.
Modalità del trattamento e requisiti dei dati
- I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini compatibili con
tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali
sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l’identificazione dell’interessato
per un periodo di tempo non superiore a quello necessario agli scopi per i
quali essi sono stati raccolti o successivamente trattati.
- I dati trattati in violazione della normativa in materia non possono essere
utilizzati.
L’informativa
 L’informativa ha la finalità di attuare i principi della
correttezza, lealtà e trasparenza del trattamento mettendo
gli interessati in condizioni di esercitare il diritto di
accesso, rettifica, aggiornamento dei dati nei confronti del
titolare del trattamento. Permette, inoltre, agli interessati,
nei casi in cui è richiesto, un consenso valido al
trattamento dati.
L’Informativa
 L’informativa costituisce un adempimento, posto a carico
di soggetti, sia pubblici sia privati, che il titolare del
trattamento deve di regola porre in essere anche quando la
raccolta dei dati sia prevista da una disposizione
normativa (Garante, 21 ottobre 1998).
Omessa o inidonea informativa
all'interessato (art. 161)
 La violazione delle disposizioni di cui all'articolo 13
(Informativa) è punita con la sanzione
amministrativa del pagamento di una somma da
seimila euro a trentaseimila euro.
L’informativa e il consenso
 Il consenso può ritenersi validamente prestato solo ove
fondato su un’informativa adeguata, sicché i vizi attinenti
alla mancanza, all’incompletezza o all’inesattezza
dell’informativa si riflettono inevitabilmente sulla validità
della sua manifestazione (Garante, 13 gennaio 2000).
Il consenso
 Natura autorizzatoria del consenso.
 Espressione della libertà di autodeterminazione
informativa.
 Requisiti del consenso.
 Il consenso deve essere espresso liberamente, in forma
specifica e documentato
Soggetti che effettuano il
trattamento
Soggetti pubblici – principio di legalità
Soggetti privati – principio del consenso
Nozione di soggetto pubblico:
- amministrazioni dello Stato, anche a ordinamento
autonomo;
- gli enti pubblici non economici nazionali e locali;
- regioni;
- enti locali territoriali.
Principi applicabili ai trattamenti
effettuati da soggetti pubblici
 Qualunque trattamento di dati è consentito soltanto per lo
svolgimento delle funzioni istituzionali (principio
funzionale).
 Nel trattare i dati il soggetto pubblico osserva i
presupposti e i limiti stabiliti dal codice privacy nonché
dalla legge e dai regolamenti.
 Non necessità del consenso
Principi applicabili al trattamento di dati diversi
da quelli sensibili e giudiziari
 1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli
sensibili e giudiziari è consentito, fermo restando quanto previsto dall'articolo 18, comma
2, anche in mancanza di una norma di legge o di regolamento che lo preveda
espressamente.
 2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è
ammessa quando è prevista da una norma di legge o di regolamento. In mancanza
di tale norma la comunicazione è ammessa quando è comunque necessaria per lo
svolgimento di funzioni istituzionali.
 3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici
economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente
quando sono previste da una norma di legge o di regolamento.
Il trattamento dei dati sensibili
da parte di soggetti pubblici
 I dati sensibili possono essere trattati solo se autorizzati da espressa
disposizione di legge che specifichi:
- tipi di dati trattati;
- operazioni eseguibili;
- finalità di rilevante interesse pubblico perseguite.
- I dati idonei a rivelare lo stato di salute non possono essere diffusi.
Art. 19, comma 3 bis
 Le notizie concernenti lo svolgimento delle prestazioni
di chiunque sia addetto a una funzione pubblica e la
relativa valutazione sono rese accessibili
dall'amministrazione di appartenenza. Non sono invece
ostensibili, se non nei casi previsti dalla legge, le notizie
concernenti la natura delle infermità e degli impedimenti
personali o familiari che causino l'astensione dal lavoro,
nonché le componenti della valutazione o le notizie
concernenti il rapporto di lavoro tra il predetto dipendente
e l'amministrazione, idonee a rivelare taluna delle
informazioni di cui all'art. 4, comma 1, lettera d).
Il trattamento dei dati sensibili
da parte di soggetti pubblici
 Se il trattamento non è previsto espressamente da una
disposizione di legge i soggetti pubblici possono
richiedere al Garante l'individuazione delle
attività, tra quelle demandate ai medesimi
soggetti dalla legge, che perseguono finalità di
rilevante interesse pubblico e per le quali è
conseguentemente autorizzato, ai sensi dell'articolo
26, comma 2, il trattamento dei dati sensibili
(Garanzie per i dati sensibili).
Il trattamento dei dati sensibili
da parte di soggetti pubblici
 Utilizzo di tecniche di cifratura e codici identificativi (art.
22, comma 6)
 Conservati separatamente da altri dati personali trattati per
finalità che non richiedono il loro utilizzo.
 I dati idonei a rivelare lo stato di salute non possono
essere diffusi.
I regolamenti per trattare i dati
sensibili
 Nel solo 2006 il Garante ha fornito il parere su 106
regolamenti presentati da soggetti pubblici.
Sicurezza dei dati e dei sistemi
 Le
misure di sicurezza hanno una importanza
fondamentale nella tutela dei dati personali.
 Obblighi di sicurezza.
 Gli obblighi di sicurezza gravano sul titolare e sul
responsabile, che devono selezionare, modulare e
diversificare le varie misure di protezione disponibili, in
modo da renderle efficaci allo scopo nel caso concreto.
Sicurezza dei dati e dei sistemi
 L’art. 31 (Obblighi di sicurezza) prevede una tutela
generale per tutti i dati oggetto di trattamento da parte di
aziende private e pubbliche amministrazioni.
 Precauzioni di carattere generale che investono tutte le
tipologie di dati trattati per i quali è sempre richiesta
l’adozione di idonee e preventive misure di sicurezza.
Sicurezza dei dati e dei sistemi
 La sicurezza dei dati è essenzialmente
fondata:
a) Sulla riduzione del rischio informatico;
b) Sull’obbligo di custodia e di controllo.
Art. 31 Obblighi di sicurezza
 I dati personali oggetto di trattamento sono custoditi e
controllati, anche in relazione alle conoscenze acquisite in
base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di idonee e
preventive misure di sicurezza, i rischi di distruzione o
perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non
conforme alle finalità della raccolta.
Responsabilità civile
 Il titolare è civilmente responsabile qualora ometta di
adottare le misure di sicurezza idonee e preventive che
riducono al minimo i rischi indicati nell’art. 31.
 L’art. 15 del Codice prevede le ipotesi di responsabilità
civile nell’attività di trattamento dei dati personali.
Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai
sensi dell’art. 2050 c.c.
Misure minime di sicurezza
 Le misure minime di sicurezza, ossia le misure tecniche,
informatiche, organizzative, logistiche e procedurali di
sicurezza che configurano il livello minimo di
protezione trovano un duplice riferimento normativo:
1. Le norme di rango legislativo presenti nel Codice
privacy;
2. le 29 regole inserite nell’Allegato B al Codice.
Misure minime di sicurezza


1.
2.
Livello minimo di protezione dei dati.
Misure minime a due vie:
trattamento con strumenti elettronici;
trattamento senza strumenti elettronici.
Misure minime di sicurezza
Art. 33 - Nel quadro dei più generali obblighi di sicurezza di
cui all’articolo 31, o previsti da speciali disposizioni, i
titolari del trattamento sono comunque tenuti ad adottare
le misure minime individuate nel presente capo o ai sensi
dell’articolo 58, comma 3, volte ad assicurare un livello
minimo di protezione dei dati personali.
Trattamenti effettuati con strumenti
elettronici
 Il trattamento di dati personali effettuato con strumenti




elettronici è consentito solo se sono adottate modi previsti dal
disciplinare tecnico contenuto nell’allegato B), le seguenti
misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati e addetti alla
gestione o alla manutenzione degli strumenti elettronici;
Trattamenti con strumenti
elettronici
 e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici;
 f) adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
 g) tenuta di un aggiornato documento programmatico sulla
sicurezza;
 h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute
o la vita sessuale effettuati da organismi sanitari.
Autenticazione informatica
 È la procedura di riconoscimento di un qualsiasi utente
che accede a un sistema informatico predisposto in tal
senso.
 Ogni soggetto che accede deve essere identificato.
 Identificazione tramite una credenziale di autenticazione.
Autenticazione informatica
 Credenziali di autenticazione: i dati e i dispositivi, in possesso
di una persona, da questa conosciuti o ad essa univocamente
correlati, utilizzati per l’autenticazione informatica (art. 4, c.3,
lett. d, Codice).
 Tre sistemi differenti: 1) codice per l’identificazione
dell’incaricato associato a una parola chiave (password); 2)
dispositivo di autenticazione in possesso e uso esclusivo
dell’incaricato (badge, pass); 3) una caratteristica biometrica
dell’incaricato (impronte digitali, impronta retinica, ecc.),
eventualmente associata ad una parola chiave o a un codice
identificativo
Misure biometriche
 Ogni tecnica biometrica, che sia utilizzata a scopo di autenticazione/verifica
o di identificazione, dipende, in misura maggiore o minore, dall'elemento
biometrico considerato:
 universale: l'elemento biometrico è presente in tutte le persone;
 unico: l'elemento biometrico deve essere distintivo per ogni persona;
 permanente: ogni persona conserva il proprio elemento biometrico nel
corso del tempo.
Misure biometriche
Un sistema biometrico è un dispositivo automatico per la verifica di
identità o
l’identificazione di unatria si occupa di valutare e corpo
umano;
di
queste
verranno considerate solo quelle
che
permettono un’identificazione univoca dell’ individuo
(caratteristiche biometriche).
Misure biometriche
 Tecniche di tipo fisico o fisiologico:
misurano le caratteristiche fisiologiche di una persona. Esse comprendono:
la verifica delle impronte digitali, l'analisi dell'immagine delle dita, il
riconoscimento dell'iride, l'analisi della retina, il riconoscimento del volto, la
geometria della mano, il riconoscimento della forma dell'orecchio, il
rilevamento dell'odore del corpo, il riconoscimento vocale, l'analisi della
struttura del DNA, l'analisi dei pori della pelle ecc..
Misure biometriche
 Di tipo comportamentale: misurano il comportamento di
una persona. Esse comprendono la verifica della firma
manoscritta, l'analisi della battitura su tastiera, l'analisi
dell'andatura
Autenticazione informatica
 La parola chiave deve rispettare le seguenti caratteristiche:
- deve essere composta da 8 caratteri;
- non
contenere riferimenti agevolmente riconducibili
all’incaricato (nome proprio, nome dei familiari, data di
nascita…);
- deve essere modificata al primo utilizzo dall’incaricato a cui è
affidata;
- deve essere modificata almeno ogni 6 mesi (per i sistemi che
gestiscono dati sensibili e giudiziari almeno ogni 3 mesi).
Credenziali di autenticazione
 Quando non vengono utilizzate per almeno 6 mesi vengono




disattivate.
Vengono disattivate anche in caso di perdita della qualità che
consente all’incaricato l’accesso ai dati.
Il codice per l’identificazione, laddove utilizzato, non può essere
assegnato ad altri incaricati, neppure in tempi diversi.
Gli incaricati devono adottare opportune cautele per assicurare la
segretezza della componente riservata della credenziale e la
diligente custodia dei dispositivi in possesso.
Sono impartite istruzioni agli incaricati per non lasciare
incustodito e accessibile lo strumento elettronico durante una
sessione di lavoro.
Sistemi di autorizzazione
 Quando per gli incaricati sono individuati profili di autorizzazione
di ambito diverso è utilizzato un sistema di autorizzazione.
 Prevedere un sistema di gestione delle autorizzazioni.
 I profili di autorizzazione, per ciascun incaricato o per classi
omogenee di incaricati, sono individuati e configurati
anteriormente all’inizio del trattamento, in modo da limitare
l’accesso ai soli dati necessari per effettuare le operazioni di
trattamento.
 Periodicamente, e comunque almeno annualmente, è verificata la
sussistenza delle condizioni per la conservazione dei profili di
autorizzazione.
Protezione degli strumenti
informatici e dei dati
 I dati personali sono protetti contro il rischio di intrusione e
dell’azione di programmi di cui all’art. 615-quinquies c.p.,
mediante:
- attivazione di strumenti elettronici da aggiornare con cadenza
almeno semestrale (i programmi antivirus);
- aggiornamento periodico dei programmi per elaboratore volti a
prevenire la vulnerabilità di strumenti elettronici e a
correggerne difetti (i c.d. patch);
- per i dati sensibili e giudiziari sono richiesti anche idonei
sistemi elettronici volti a proteggere il sistema da accessi
abusivi (i c.d. firewall).
Back up e ripristino
della disponibilità dei dati
 Sono impartite istruzioni organizzative e tecniche che
prevedono il salvataggio dei dati con frequenza almeno
settimanale.
 Si devono predisporre e implementare procedure per il
ripristino della configurazione di sistema.
 Piano di disaster recovery obbligatorio se si trattano dati
sensibili e giudiziari.
Ulteriori misure in caso di trattamento
di dati sensibili o giudiziari
 I dati sensibili o giudiziari sono protetti contro l’accesso abusivo, di
cui all’art. 615-ter c.p., mediante l’utilizzo di idonei strumenti
elettronici.
 Sono impartite istruzioni organizzative e tecniche per la custodia e
l’uso dei supporti rimovibili su cui sono memorizzati i dati al fine di
evitare accessi non autorizzati e trattamenti non consentiti.
 I supporti rimovibili contenenti dati sensibili o giudiziari se non
utilizzati sono distrutti o resi inutilizzabili.
Ulteriori misure in caso di trattamento
di dati sensibili o giudiziari
 Sono adottate idonee misure per garantire il ripristino
dell’accesso ai dati in caso di danneggiamento degli stessi
o degli strumenti elettronici, in tempi certi compatibili con
i diritti degli interessati e non superiori a sette giorni.
Ulteriori misure in caso di trattamento
di dati sensibili o giudiziari
 I dati relativi all’identità genetica sono trattati
esclusivamente all’interno di locali protetti accessibili
ai soli incaricati dei trattamenti ed ai soggetti
specificatamente autorizzati ad accedervi; il trasporto
dei dati all’esterno dei locali riservati al loro
trattamento deve avvenire in contenitori muniti di
serratura o dispositivi equipollenti; il trasferimento dei
dati in formato elettronico è cifrato.
Trattamenti senza ausilio di
strumenti elettronici
 Il trattamento di dati personali effettuato senza l’ausilio di
strumenti elettronici è consentito solo se sono adottate, nei
modi previsti dal disciplinare tecnico contenuto nell’allegato
B), le seguenti misure
minime:
 a) aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati o alle unità
organizzative;
 b) previsione di procedure per un’idonea custodia di atti e
documenti affidati agli incaricati per lo svolgimento dei relativi
compiti;
 c) previsione di procedure per la conservazione di determinati
atti in archivi ad accesso selezionato e disciplina delle modalità
di accesso finalizzata all’identificazione degli incaricati.
Omessa adozione di misure minime di sicurezza
 Chiunque, essendovi tenuto, omette di adottare le misure
minime previste all’articolo 33 è punito con l’arresto sino
a due anni o con l’ammenda da diecimila euro a
cinquantamila euro (art. 169, comma 1).
Omessa adozione di misure minime
di sicurezza
 All’autore del reato, all’atto dell’accertamento o, nei casi complessi,
anche con successivo atto del Garante, è impartita una prescrizione
fissando un termine per la regolarizzazione non eccedente il periodo
di tempo tecnicamente necessario, prorogabile in caso di particolare
complessità o per l’oggettiva difficoltà dell’adempimento e
comunque non superiore a sei mesi. Nei sessanta giorni successivi
allo scadere del termine, se risulta l’adempimento alla prescrizione,
l’autore del reato è ammesso dal Garante a pagare una somma pari al
quarto del massimo dell’ammenda stabilita per la contravvenzione.
L’adempimento e il pagamento estinguono il reato (art. 169, comma
2).
Le sanzioni
 Sanzioni amministrative
 Sanzioni penali
Le sanzioni amministrative







Omessa o inidonea informativa all'interessato.
Sanzioni in materia di conservazione dei dati di traffico.
Omessa o incompleta notificazione al Garante.
Omessa informazione o esibizione al Garante.
Pubblicazione del provvedimento del Garante (sanzione accessoria).
Altre fattispecie ex art. 162 del Codice.
Casi di minore gravità e ipotesi aggravate ex art. 164 bis del Codice.
Omessa o inidonea informativa
all'interessato (art. 161)
 La violazione delle disposizioni di cui all'articolo 13
(Informativa) è punita con la sanzione
amministrativa del pagamento di una somma da
seimila euro a trentaseimila euro.
Sanzioni in materia di conservazione
dei dati di traffico (art. 162 bis)
 Salvo che il fatto costituisca reato e salvo quanto previsto
dall'articolo 5, comma 2, del decreto legislativo di
recepimento della direttiva 2006/24/Ce del Parlamento
europeo e del Consiglio del 15 marzo 2006, nel caso di
violazione delle disposizioni di cui all'art. 132, commi 1 e 1bis, si applica la sanzione amministrativa pecuniaria da
10.000 euro a 50.000 euro.
Omessa o incompleta
notificazione al Garante (art. 163)
 Chiunque, essendovi tenuto, non provvede
tempestivamente alla notificazione ai sensi degli articoli 37
e 38, ovvero indica in essa notizie incomplete, è punito con
la sanzione amministrativa del pagamento di una somma da
ventimila euro a centoventimila euro.
Omessa informazione o
esibizione al Garante (art. 164)
 Chiunque omette di fornire le informazioni o di esibire i
documenti richiesti dal Garante ai sensi degli articoli 150,
comma 2, e 157 è punito con la sanzione amministrativa
del pagamento di una somma da diecimila euro a
sessantamila euro.
Pubblicazione del
provvedimento del Garante
 Nei casi di cui agli articoli del presente Capo può essere
applicata la sanzione amministrativa accessoria della
pubblicazione dell'ordinanza-ingiunzione, per intero o per
estratto, in uno o più giornali indicati nel provvedimento
che la applica. La pubblicazione ha luogo a cura e spese del
contravventore.
Illeciti penali
 Trattamento illecito di dati
 Falsità nelle dichiarazioni e notificazioni al Garante
 Misure di sicurezza.
 Inosservanza di provvedimenti del Garante.
 Pene accessorie.
Trattamento illecito di dati
(art. 167)
 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per
sè o per altri profitto o di recare ad altri un danno, procede al trattamento di
dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123,
126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto
deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto
consiste nella comunicazione o diffusione, con la reclusione da sei a
ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè
o per altri profitto o di recare ad altri un danno, procede al trattamento di
dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22,
commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con
la reclusione da uno a tre anni
Falsità nelle dichiarazioni
e notificazioni al Garante
(art. 168)
 Chiunque, nella notificazione di cui all'articolo 37 o in
comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un
procedimento dinanzi al Garante o nel corso di accertamenti, dichiara
o attesta falsamente notizie o circostanze o produce atti o documenti
falsi, è punito, salvo che il fatto costituisca più grave reato, con la
reclusione da sei mesi a tre anni.
Misure di sicurezza (art. 169)
 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo
33 è punito con l'arresto sino a due anni.
 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo
atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione
non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di
particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non
superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una
somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa.
L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione
e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto
legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.
Inosservanza di provvedimenti del Garante
(art. 170)
 Chiunque, essendovi tenuto, non osserva il provvedimento
adottato dal Garante ai sensi degli articoli 26, comma 2,
90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito
con la reclusione da tre mesi a due anni.
Pene accessorie (art. 172)
 La condanna per uno dei delitti previsti dal presente codice
importa la pubblicazione della sentenza.
Responsabilità civile
 Art. 15. Danni cagionati per effetto del trattamento
 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
 2. Il danno non patrimoniale è risarcibile anche in caso di violazione
dell'articolo 11.