IL NUOVO CODICE DELLA
PRIVACY
D.Lgs n. 196 del 30 giugno 2003
Relatore: Avv. Sergio Cesare Cereda
[email protected]
Milano, 09 marzo 2007
1
Coordinamento sistematico
• Direttiva CE n. 94/46  L. n. 675/96
• Direttiva CE n. 02/58  D.Lgs n. 196/03
Codice in materia di protezione dei dati
personali (Codice)
• Abrogazione della L. n. 675/96
2
Coordinamento sistematico
• Codice è costituito da
– parte I - Disposizioni generali
– parte II - Disposizioni relative a
specifici settori
– parte III - Tutela dell’interessato e
sanzioni
3
- Principi generali -
Art. 1 – Diritto alla protezione
dei dati personali
• La Privacy può essere
definita come il diritto di ogni
soggetto a mantenere il
controllo sulle informazioni
che lo riguardano
4
- Principi generali -
Art. 2 - Finalità
• Il Codice è finalizzato a garantire che “il
trattamento dei dati personali si svolga nel
rispetto dei diritti e delle libertà fondamentali,
nonché della dignità dell'interessato, con
particolare riferimento alla riservatezza,
all'identità personale e al diritto alla protezione
dei dati personali”.
• Tale finalità è giustificata dalle necessità:
• di trattare i dati personali in una società
moderna;
• di tutela dei diritti dell’individuo.
5
- Principi generali -
Art. 3 – Principio di necessità
del trattamento dei dati
• Laddove occorra trattare dati i sistemi informativi
e i programmi informatici devono ridurre al
minimo l’utilizzazione dei dati personali e dei dati
identificativi
• E’ necessaria la sostituzione con dati anonimi o
che permettano di identificare l’interessato solo
in caso di necessità.
• Anonimato  impossibilità di risalire
all’individuazione del soggetto.
6
- Principi generali -
Art. 4 - Definizioni
Principali definizioni
• Trattamento: qualunque operazione concernente
la raccolta, la registrazione, l’organizzazione, la
conservazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;
7
- Principi generali -
Art. 4 - Definizioni
• Dato personale: qualunque informazione relativa a
persona fisica, giuridica, ente e associazione identificato
o identificabile
• Dati identificativi: i dati che permettono l’identificazione
diretta
• Dati sensibili: dati personali idonei a rivelare l’origine
razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l’adesione a partiti,
sindacati, associazioni, organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati
idonei a rivelare lo stato di salute e la vita sessuale
• Dati giudiziari: informazioni relative al rapporto dei
soggetti con la giustizia
8
- Principi generali -
Art. 4 - Definizioni
SOGGETTI INCARICATI AL TRATTAMENTO
• Titolare: la persona fisica, giuridica, la P.A. e
qualsiasi altro ente cui competono le decisioni in
ordine alle finalità e alle modalità del trattamento dei
dati e agli strumenti utilizzati;
• Responsabile: soggetto, persona fisica, giuridica o
P.A. preposto dal titolare al trattamento di dati;
• Incaricato: la persona fisica autorizzate a compiere il
trattamento dal titolare o dal responsabile.
9
- Principi generali -
Art. 4 - Definizioni
• Comunicazione e diffusione
Comunicazione: dare conoscenza, in
qualunque forma, dei dati personali a 1 o
più soggetti determinati diversi
dall’interessato, dai titolari, dai
responsabili, dagli incaricati, in qualunque
forma;
• Diffusione: dare conoscenza dei dati
personali a soggetti indeterminati in
qualunque forma anche mediante la loro
messa a disposizione o consultazione
10
- Principi generali -
Art. 5 – Oggetto e ambito
di applicazione
• Il codice disciplina il trattamento dei
dati effettuato da chiunque è stabilito
nel territorio dello stato;
• Il Comune, dunque, è tenuto
all’applicazione del Codice.
11
- Diritti dell’interessato -
Art. 7 – Diritto di accesso ai dati
personali e altri diritti


a)
b)
c)
d)
e)
L’interessato ha diritto ad ottenere la conferma
dell’esistenza di dati che lo riguardano e la loro
comunicazione.
L’interessato ha diritto di ottenere l’indicazione:
dell’origine dei dati personali
delle finalità e modalità del trattamento
della logica applicata in caso di trattamento effettuato
con l’ausilio di strumenti elettronici
degli estremi identificativi del titolare e dei
responsabili
dei soggetti o delle categorie di soggetti ai quali i dati
personali possono essere comunicati o che possono
venirne a conoscenza
12
- Diritti dell’interessato -
Art. 7 – Diritto di accesso ai dati
personali e altri diritti
 L’interessato ha il diritto di ottenere un intervento sui
dati concernente:
a) l’aggiornamento, la rettificazione ovvero, quando vi ha
interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il
blocco dei dati trattati in violazione di legge, compresi
quelli di cui non è necessaria la conservazione in
relazione agli scopi per i quali i dati sono stati raccolti o
successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e b)
sono state portate a conoscenza, anche per quanto
riguarda il loro contenuto, di coloro ai quali i dati sono
stati comunicati o diffusi, eccettuato il caso in cui tale
adempimento si rivela impossibile o comporta un
impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato.
13
- Diritti dell’interessato -
Art. 7 – Diritto di accesso ai dati
personali e altri diritti
L’interessato ha il diritto di opposizione, in
tutto o in parte:
a)per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché
pertinenti allo scopo della raccolta;
b)al trattamento di dati personali che lo
riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di
comunicazione commerciale.
14
- Diritti dell’interessato -
Art. 8 – Esercizio dei diritti
• I diritti dell’interessato sono esercitati con semplice richiesta
dell’interessato
• Il titolare o il responsabile devono darvi idoneo riscontro
senza ritardo
• Limitazione ai diritti dell’interessato se i trattamenti sono
effettuati:
–
–
–
–
–
–
–
In base a norme in materia antiriciclaggio
In base a norme in materia di sostegno alle vittime di estorsioni
Da commissioni parlamentari d’inchiesta
Da soggetto pubblico per finalità concernenti la politica monetaria
Durante le indagini e le investigazioni difensive
Per ragioni di giustizia
Per ragioni di pubblica sicurezza
15
- Diritti dell’interessato -
Art. 8 – Esercizio dei diritti
• Sostanziale non riferibilità al Comune dei
casi in cui è limitato l’esercizio
dell’interessato
• Rimedio: attivazione del Garante su
segnalazione;
• Limitazione ai diritti dell’interessato in
materia di opinioni, giudizi, o altri
apprezzamenti di tipo soggettivo.
16
- Diritti dell’interessato -
Art. 9 – Modalità di esercizio
• La richiesta deve essere rivolta al titolare o al
responsabile;
• L’interessato per l’esercizio dei diritti può conferire
delega
• Vari metodi di richiesta
–
–
–
–
–
Raccomandata
Fax
E-mail
Oralmente (solo nei casi di cui all’art. 7, comma 1 e 2)
Altri metodi di richiesta individuati dal Garante
17
- Diritti dell’interessato -
Art. 10 – Riscontro all’interessato
• Il titolare del trattamento è tenuto ad adottare misure
idonee volte a:
– agevolare l’accesso ai dati da parte dell’interessato
– Semplificare le modalità e ridurre i tempi per il riscontro al
richiedente
• I dati possono essere mostrati e riprodotti;
• In caso di impossibilità di divisione da altri dati possono
essere mostrati anche i dati relativi a terzi
• In caso di difficoltà nell’estrapolare i dati possono essere
mostrati anche i documenti
• In caso di assenza dei dati, l’interessato può essere
chiamato a pagare un contributo spese fissato nel
minimo dal garante
18
- Regole generali per il trattamento dei dati - Art. 11 - Modalità
del trattamento e requisiti dei dati
•
a)
b)
c)
d)
e)
I dati personali oggetto di trattamento sono:
trattati in modo lecito e secondo correttezza;
raccolti e registrati per scopi determinati, espliciti e
legittimi, ed utilizzati in altre operazioni del
trattamento in termini compatibili con tali scopi;
esatti e se necessario aggiornati;
pertinenti, completi e non eccedenti rispetto alle
finalità per le quali sono raccolti o successivamente
trattati;
conservati in una forma che consenta l’identificazione
dell’interessato per un periodo di tempo non
superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
19
Regole generali per il trattamento dei dati
Art. 11 - Modalità del trattamento e requisiti dei dati
I dati personali trattati in
violazione della disciplina
rilevante in materia di
trattamento dei dati
personali non possono
essere utilizzati.
20
- Regole generali per il trattamento dei dati -
Art. 12 - Codici di deontologia
• Promozione da parte del Garante di codici di deontologia
e buona condotta per determinati settori;
• Ad oggi risultano approvati i codici di deontologia relativi
al trattamento dei dati:
• nell’esercizio dell’attività giornalistica;
• per scopi storici;
• per scopi statistici e scientifici;
• per i sistemi informativi gestititi dai soggetti privati in
tema di crediti al consumo, affidabilità e puntualità nei
pagamenti.
• Il mancato rispetto dei codici è condizione di illiceità nel
trattamento dei dati personali.
21
- Regole generali per il trattamento dei dati -
Art. 13 - Informativa
• L’interessato deve essere informato almeno
circa:
– Le finalità e le modalità del trattamento cui i dati sono
destinati;
– La natura obbligatoria o facoltativa del conferimento
dei dati
– Le conseguenze di un rifiuto di rispondere
– I soggetti o le categorie a cui i dati possono essere
comunicati o che possono venirne a conoscenza
– I diritti dell’interessato
– L’indicazione del titolare e del responsabile
22
- Regole generali per il trattamento dei dati -
Art. 13 - Informativa
• Si può omettere di dare informazioni
relativamente a dati che l’interessato già
conosce
• Possono essere previste, dal garante, ipotesi
semplificate di informativa per i call-centers
• Se i dati sono raccolti presso non direttamente
dall’interessato, ma presso terzi, colui che
effettua il trattamento deve avvisare l’interessato
al momento della registrazione
23
- Regole generali per il trattamento dei dati Art. 13 - Informativa
• Se i dati sono raccolti presso terzi l’informativa
non è necessaria quando:
– I dati sono trattati in base a un obbligo previsto dalla
legge o da regolamento
– I dati sono trattati per lo svolgimento di indagini
difensive o per far valere un diritto in sede giudiziaria
– L’informativa richieda l’impiego di mezzi che il
Garante dichiari sproporzionate rispetto al diritto
tutelato
24
- Regole generali per il trattamento dei dati Art. 15 - Danni cagionati per effetto del trattamento
• Equiparazione del trattamento dei dati ad
attività pericolosa
• Risarcimento dei danni ai sensi dell’art.
2050 c.c.
• Inversione dell’onere della prova
– Il titolare deve provare di avere adottato
tutte le misure idonee a evitare il danno
• Risarcibilità del danno non patrimoniale
25
- Regole generali per il trattamento dei dati Art. 16 - Cessazione del trattamento
•
•
a)
b)
c)
d)
Cessazione: avviene quando il titolare interrompe in via
definitiva il complesso di operazioni concernenti un
determinato trattamento
In caso di cessazione i dati sono:
distrutti;
ceduti ad altro titolare, purché destinati ad un trattamento in
termini compatibili agli scopi per i quali i dati sono raccolti;
conservati per fini esclusivamente personali e non destinati ad
una comunicazione sistematica o alla diffusione;
conservati o ceduti ad altro titolare, per scopi storici, statistici o
scientifici, in conformità alla legge, ai regolamenti, alla
normativa comunitaria e ai codici di deontologia e di buona
condotta sottoscritti ai sensi dell’articolo 12.
26
Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici
Art. 18 - Principi applicabili a tutti i trattamenti
effettuati dai soggetti pubblici
• Applicazione agli enti locali.
• Qualunque trattamento di dati personali da
parte di soggetti pubblici è consentito solo
per lo svolgimento di funzioni istituzionali
• Il Comune non deve richiedere il consenso
dell’interessato per il trattamento dei dati
27
Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici
Art. 19 - Trattamento di dati diversi da quelli
sensibili e giudiziari
• E’ consentito il trattamento di dati diversi da quelli sensibili e
giudiziari nell’esercizio delle funzioni istituzionali
• I dati non sensibili e non giudiziari che presentano rischi specifici per
i diritti e le libertà fondamentali, sono trattabili nel rispetto dei principi
stabiliti dal Garante
• La comunicazione dei dati da parte del Comune
– (i) ad altri soggetti pubblici è consentita solo quando prevista da
legge o regolamento (anche regolamenti comunali)
– (ii) oppure, se non prevista dalla legge, quando è necessaria per
fini istituzionali (sia del soggetto che effettua la comunicazione
che del soggetto che la richiede)
– (iii) a soggetti privati deve essere consentita da legge o
regolamento
• Obbligo di previa comunicazione al Garante nell’ipotesi sub (ii) e
possibilità di comunicazione solo dopo 45 giorni salvo che il Garante
non abbia disposto diversamente (art. 39)
28
Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici
Art. 20 - Trattamento di dati sensibili
• Il trattamento di dati sensibili da parte dei soggetti pubblici è
consentito solo se vi è un’espressa previsione di legge o una
indicazione del Garante su richiesta dell’ente
• Nei casi in cui una disposizione di legge prevede la finalità di
rilevante interesse pubblico, ma non i tipi di dati sensibili e di
operazioni eseguibili, il trattamento è consentito solo in riferimento ai
tipi di dati e di operazioni identificati e resi pubblici a cura dei
soggetti che ne effettuano il trattamento, in relazione alle specifiche
finalità perseguite nei singoli casi e nel rispetto dei principi di cui
all’articolo 22, con atto di natura regolamentare adottato in
conformità al parere espresso dal Garante ai sensi dell’articolo 154,
comma 1, lettera g), anche su schemi tipo.
29
Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici
Art. 20 - Trattamento di dati sensibili
• L’art. 181, lett. a) del Codice ha prorogato
il termine per l’adozione del regolamento
al 28/02/2007.
• Se non è adottato il regolamento entro tale
data il trattamento dei dati sensibili e
giudiziari deve essere interrotto dal
01/03/2007.
30
Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici
Art. 20 - Trattamento di dati sensibili
• Il Garante con provvedimento del 30/06/2005
ha chiarito che:
• I regolamenti devono essere adottati in in
conformità al suo parere;
• Il parere del garante può essere emesso anche
su schemi tipo;
• Una volta espresso il parere sullo schema tipo, i
singoli regolamenti conformi allo schema tipo
non devono essere sottoposti ad ulteriore parere
del Garante.
31
Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici
Art. 20 - Trattamento di dati sensibili
• E’ invece necessario sottoporre al Garante
uno schema di regolamento per uno
specifico parere solo se essendoci lo
schema tipo l’amministrazione deve
apportare modifiche sostanziali o
integrazioni non formali che riguardano
casi non considerati nello schema.
32
Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici
Art. 20 - Trattamento di dati sensibili
• Il Garante con provvedimento del 21
settembre 2005 ha espresso parere
favorevole sullo schema di regolamento
predisposto dall’ANCI per il trattamento
dei dati sensibili e giudiziari.
33
Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici
Art. 20 - Trattamento di dati sensibili
• Il 28/12/2006 il garante ha approvato
un’integrazione allo schema di
regolamento tipo relativamente alla
scheda per il trattamento dei dati idonei a
rivelare lo stato di salute , le origini etniche
e le convinzioni religiose da parte dei
Comuni che fanno parte del “sistema di
protezione dei richiedenti asilo e rifugiati”.
34
- Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici -
Art. 21 - Trattamento di dati giudiziari
• Ammesso solo se autorizzato dalla legge
o da un provvedimento del Garante.
• Anche per i dati giudiziari deve essere
adottato il regolamento previsto dall’art. 20
comma 2.
35
- Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici -
Art. 22 - Principi applicabili al trattamento dei dati
sensibili e giudiziari
• I soggetti pubblici conformano il trattamento dei dati sensibili e
giudiziari secondo modalità volte a prevenire violazioni dei
diritti, delle libertà fondamentali e della dignità dell'interessato.
• Nel fornire l'informativa di cui all'articolo 13 i soggetti pubblici
fanno espresso riferimento alla normativa che prevede gli
obblighi o i compiti in base alla quale è effettuato il
trattamento dei dati sensibili e giudiziari.
• I soggetti pubblici possono trattare solo i dati sensibili e
giudiziari indispensabili per svolgere attività istituzionali che
non possono essere adempiute, caso per caso, mediante il
trattamento di dati anonimi o di dati personali di natura
diversa.
36
- Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici -
Art. 22 - Principi applicabili al trattamento dei dati
sensibili e giudiziari
• I dati sensibili e giudiziari sono raccolti, di regola, presso
l'interessato.
• I soggetti pubblici verificano periodicamente l'esattezza e
l'aggiornamento dei dati sensibili e giudiziari, nonché la loro
pertinenza, completezza, non eccedenza e indispensabilità
rispetto alle finalità perseguite nei singoli casi, anche con
riferimento ai dati che l'interessato fornisce di propria iniziativa.
• Al fine di assicurare che i dati sensibili e giudiziari siano
indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i
soggetti pubblici valutano specificamente il rapporto tra i dati e gli
adempimenti.
• I dati che, anche a seguito delle verifiche, risultano eccedenti o
non pertinenti non possono essere utilizzati, salvo che per
l'eventuale conservazione, a norma di legge, dell'atto o del
documento che li contiene. Specifica attenzione è prestata per la
verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti a
soggetti diversi da quelli cui si riferiscono direttamente le
prestazioni o gli adempimenti.
37
- Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici -
Art. 22 - Principi applicabili al trattamento dei dati
sensibili e giudiziari
• I dati sensibili e giudiziari contenuti in elenchi, registri o banche
dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con
tecniche di cifratura o mediante l'utilizzazione di codici
identificativi o di altre soluzioni che, considerato il numero e la
natura dei dati trattati, li rendono temporaneamente inintelligibili
anche a chi è autorizzato ad accedervi e permettono di
identificare gli interessati solo in caso di necessità.
• I dati idonei a rivelare lo stato di salute e la vita sessuale sono
conservati separatamente da altri dati personali trattati per
finalità che non richiedono il loro utilizzo. I medesimi dati sono
trattati con tecniche di cifratura o mediante l'utilizzazione di codici
identificativi anche quando sono tenuti in elenchi, registri o
banche di dati senza l'ausilio di strumenti elettronici.
• I dati idonei a rivelare lo stato di salute non possono essere
diffusi.
38
- Regole ulteriori per il trattamento dei dati da parte dei
soggetti pubblici -
Art. 22 - Principi applicabili al trattamento dei dati
sensibili e giudiziari
• Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del
comma 3, i soggetti pubblici sono autorizzati ad effettuare
unicamente le operazioni di trattamento indispensabili per il
perseguimento delle finalità per le quali il trattamento è consentito,
anche quando i dati sono raccolti nello svolgimento di compiti di
vigilanza, di controllo o ispettivi.
• I dati sensibili e giudiziari non possono essere trattati nell'àmbito di
test psico-attitudinali volti a definire il profilo o la personalità
dell'interessato. Le operazioni di raffronto tra dati sensibili e
giudiziari, nonché i trattamenti di dati sensibili e giudiziari che
implichino valutazioni del comportamento umano, sono effettuati
solo previa annotazione scritta dei motivi.
• In ogni caso, le operazioni e i trattamenti suddetti, se effettuati
utilizzando banche di dati di diversi titolari, nonché la diffusione dei
dati sensibili e giudiziari, sono ammessi solo se previsti da espressa
disposizione di legge.
39
I Soggetti che effettuano il trattamento
Art. 28 - Il Titolare
• Il titolare del trattamento è il Comune.
• E’ ipotizzabile un organismo periferico del
Comune con potere decisionale del tutto
autonomo sulle finalità e sulle modalità di
trattamento?
– Nel caso di risposta affermativa anche tale
soggetto sarà titolare.
40
- Soggetti che effettuano il trattamento -
Art. 29 - Responsabile del trattamento
• Il titolare ha facoltà di designare un
responsabile
• Il responsabile è individuato tra soggetti
che forniscano garanzia del rispetto delle
disposizioni in materia di trattamento
• I compiti del responsabile devono essere
analiticamente indicati per iscritto dal
titolare che ha un obbligo di vigilanza
• Per esigenze organizzative possono
essere designati responsabili più soggetti.
41
- Soggetti che effettuano il trattamento -
Art. 30 - Incaricati del trattamento
• Le operazioni di trattamento sono effettuate solo
da incaricati che si attengono alle istruzioni
impartite dal responsabile e dal titolare.
• La designazione degli incaricati è effettuata per
iscritto e individua l’ambito del trattamento
consentito
• E’ considerata designazione la preposizione di
una persona fisica ad un’unità per la quale è
individuato per iscritto l’ambito del trattamento
consentito agli addetti all’unità medesima
42
- Misure di sicurezza -
Art. 31 - Obblighi di sicurezza
• Necessità di utilizzare idonee misure di
sicurezza per evitare rischi di distruzione,
perdita, accesso non autorizzato e trattamento
non consentito
• Obbligo di misure di custodia e di controllo
• L’obbligo grava sul titolare e sul responsabile
• Parametri per la sicurezza
– Progresso tecnologico
– Delicatezza dei dati
43
- Misure minime di sicurezza -
Art. 34 - Misure minime per trattamenti con
strumenti elettronici
•
a)
b)
c)
d)
Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell’allegato
B), le seguenti misure minime:
Autenticazione informatica;
Adozione di procedure di gestione delle credenziali di
autenticazione;
Utilizzazione di un sistema di autorizzazione;
Aggiornamento periodico dell’individuazione
dell’ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
44
- Misure minime di sicurezza -
Art. 34 - Misure minime per trattamenti con
strumenti elettronici
e)
f)
g)
h)
Protezione degli strumenti elettronici e dei dati, rispetto
a trattamenti illeciti di dati e ad accessi non consentiti;
Adozione di procedura per la custodia di copie di
sicurezza, il ripristino della disponibilità dei dati e dei
sistemi;
Tenuta di un aggiornato documento programmatico
sulla sicurezza;
Adozione di tecniche di cifratura o di codici identificativi
per determinati trattamenti di dati idonei a rivelare lo
stato di salute o la vista sessuale effettuati da
organismi sanitari.
45
- Misure minime di sicurezza -
Art. 35 - Trattamento senza l’ausilio di
strumenti elettronici
•
a)
b)
c)
Il trattamento di dati personali effettuato senza l’ausilio
di strumenti elettronici è consentito solo se sono
adottate, nei modi previsti dal disciplinare tecnico
contenuto nell’allegato B), le seguenti misure minime:
Aggiornamento periodico della individuazione
dell’ambito del trattamento consentito ai singoli
incaricati o alle unità organizzative;
Previsione di procedure per un’idonea custodia di atti e
documenti affidati agli incaricati per lo svolgimento dei
relativi compiti;
Previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalità di accesso finalizzata
all’identificazione degli incaricati.
46
- Adempimenti -
Art. 37 - Notificazioni del trattamento
• Obbligo di notifica al Garante del
trattamento di dati particolari:
– Dati genetici, biometrici, procreazione
assistita, vita sessuale … (art. 37, comma 1)
– Non pare che tale tipologia di dati sia trattata
dal Comune.
47
- Adempimenti -
Art. 40 - Autorizzazioni generali
• Le autorizzazioni previste dal Codice
possono essere rilasciate dal Garante con
provvedimento generale che si riferisce a
determinate categorie dei titolari o dei
trattamenti
• Pubblicazione di tali autorizzazioni
generali sulla GU
48
- Adempimenti -
Art. 41- Richieste di autorizzazione
• Il titolare del trattamento che rientra nell‘ambito
di applicazione di un'autorizzazione rilasciata ai
sensi dell'articolo 40 non è tenuto a presentare al
Garante una richiesta di autorizzazione se il
trattamento che intende effettuare è conforme
alle relative prescrizioni.
• L'eventuale richiesta di autorizzazione è
formulata utilizzando esclusivamente il modello
predisposto e reso disponibile dal Garante. Le
trasmissioni possono avvenire per via telematica.
49
- Trattamenti da parte di forze di polizia Artt. 53-57
• Particolari previsioni sono previste dagli
artt. 53-57 per le Forze di Polizia tra cui
potrebbe rientrare la Polizia Municipale.
• Rispetto a questi non si applicano le
seguenti disposizioni del codice:
• a) articoli 9, 10, 12, 13 e 16, da 18 a 22,
37, 38, commi da 1 a 5, e da 39 a 45;
• b) articoli da 145 a 151.
• Applicazione altre disposizioni
50
- Accesso ai documenti amministrativi Art. 59 - Accesso ai documenti amministrativi
Art. 60 - Dati idonei a rilevare lo stato di salute e la
vita sessuale
• I Presupposti, le modalità, i limiti
per l'esercizio del diritto di accesso a
documenti amministrativi contenenti
dati personali, e la relativa tutela
giurisdizionale, sono disciplinati:
• dalla legge 7 agosto 1990, n. 241;
• Le attività dell’ente finalizzate
all’applicazione di tale disciplina si
considerano di rilevante interesse
51
pubblico.
- Accesso ai documenti amministrativi -
• Quando il trattamento concerne dati
idonei a rivelare lo stato di salute o
la vita sessuale, il trattamento è
consentito e va considerata con
attenzione la portata della situazione
giuridica che si vuole tutelare con la
domanda di accesso;
• E’ necessario il confronto tra diritto
alla riservatezza e diritto di accesso.
52
- Finalità di rilevante interesse pubblico Artt. 62-73
• Gli artt. 20 e 21 prevedono che in relazione ai
dati sensibili e giudiziari sia la legge a fissare
quali dati possono essere trattati.
• Sempre secondo tali articoli la legge può limitarsi
a individuare l’esistenza di una finalità di
interesse pubblico, senza identificare i tipi di dati
sensibili e le operazioni eseguibili.
• Gli artt. da 62 a 73 provvedono ad individuare
diverse finalità di interesse pubblico.
53
- Finalità di rilevante interesse pubblico Art. 62 - Dati sensibili e giudiziari
• L’art. 62 provvede a definire di rilevante interesse
pubblico le finalità relative alla tenuta degli atti e
dei registri dello stato civile, delle anagrafi della
popolazione residente in Italia e dei cittadini
italiani residenti all'estero e delle liste elettorali,
nonché al rilascio di documenti di riconoscimento
o al cambiamento delle generalità.
54
- Finalità di rilevante interesse pubblico -
Art. 64 - Cittadinanza, immigrazione e
condizione dello straniero
• L’art. 64 provvede a definire di rilevante interesse
pubblico le finalità di applicazione della disciplina
in materia di cittadinanza, di immigrazione, di
asilo, di condizione dello straniero e del profugo e
sullo stato di rifugiato.
• E’ammesso il trattamento dei dati relativi:
• a) al rilascio e al rinnovo di visti, permessi,
attestazioni, autorizzazioni e documenti anche
sanitari;
(segue)
55
- Finalità di rilevante interesse pubblico -
Art. 64 - Cittadinanza, immigrazione e
condizione dello straniero
• b) al riconoscimento del diritto di asilo o dello
stato di rifugiato, o all'applicazione della
protezione temporanea e di altri istituti o misure
di carattere umanitario, ovvero all'attuazione di
obblighi di legge in materia di politiche
migratorie;
• c) in relazione agli obblighi dei datori di lavoro e
dei lavoratori, ai ricongiungimenti,
all'applicazione delle norme vigenti in materia di
istruzione e di alloggio, alla partecipazione alla
vita pubblica e all'integrazione sociale.
(segue)
56
- Finalità di rilevante interesse pubblico -
Art. 65 -Diritti politici e pubblicità dell’attività
di organi
• L’art. 65 provvede a definire di rilevante interesse
pubblico le finalità di applicazione della disciplina
in materia di:
• a) elettorato attivo e passivo e di esercizio di altri
diritti politici, nel rispetto della segretezza del
voto, nonché di esercizio del mandato degli
organi rappresentativi o di tenuta degli elenchi
dei giudici popolari, per questi è ammessa anche
la diffusione;
• b) documentazione dell'attività istituzionale di
organi pubblici.
(segue)
57
- Finalità di rilevante interesse pubblico -
Art. 65 - Diritti politici e pubblicità
dell’attività di organi
• In particolare i trattamenti dei dati sensibili e giudiziari
sono consentiti per eseguire specifici compiti fra i quali:
• a) lo svolgimento di consultazioni elettorali e la verifica
della relativa regolarità;
• b) le richieste di referendum, le relative consultazioni e
la verifica delle relative regolarità;
• c) l'accertamento delle cause di ineleggibilità,
incompatibilità o di decadenza, o di rimozione o
sospensione da cariche pubbliche, ovvero di sospensione
o di scioglimento degli organi;
• d) l'esame di segnalazioni, petizioni, appelli e di proposte
di legge di iniziativa popolare, l'attività di commissioni di
inchiesta, il rapporto con gruppi politici;
• e) la designazione e la nomina di rappresentanti in
commissioni, enti e uffici.
(segue)
58
-Finalità di rilevante interesse pubblico -
Art. 65 - Diritti politici e pubblicità
dell’attività di organi
• E’ inoltre consentito il trattamento di dati sensibili e giudiziari
indispensabili:
• a) per la redazione di verbali e resoconti dell'attività di
assemblee rappresentative, commissioni e di altri organi
collegiali o assembleari;
• b) per l'esclusivo svolgimento di una funzione di controllo, di
indirizzo politico o di sindacato ispettivo e per l'accesso a
documenti riconosciuto dalla legge e dai regolamenti degli
organi interessati per esclusive finalità direttamente connesse
all'espletamento di un mandato elettivo.
• In ogni caso non è comunque consentita la divulgazione dei
dati sensibili e giudiziari che non risultano indispensabili per
assicurare il rispetto del principio di pubblicità dell'attività
istituzionale.
• Divieto di diffusione dei dati idonei a rivelare lo stato di salute.
59
- Finalità di rilevante interesse pubblico -
Art. 66 - Materia doganale e tributaria
• L’art. 66 provvede a definire di rilevante interesse
pubblico le attività dei soggetti pubblici dirette
all'applicazione, anche tramite i loro
concessionari, delle disposizioni in materia di
tributi.
• Anche in relazione alle attività dirette, in materia
di imposte, alla prevenzione e repressione delle
violazioni degli obblighi e alla esecuzione forzata
dell'esatto adempimento di tali obblighi,
all’effettuazione dei rimborsi.
60
- Finalità di rilevante interesse pubblico -
Art. 67 - Attività di controllo e ispettive
• L’art. 67 provvede a definire di rilevante interesse
pubblico, le finalità di:
• a) verifica della legittimità, del buon andamento,
dell'imparzialità dell'attività amministrativa;
• verifica della rispondenza di detta attività a
requisiti di razionalità, economicità, efficienza ed
efficacia;
• b) accertamento a fronte di esposti e petizioni o
comunque di attività di controllo di sindacato
ispettive.
61
- Finalità di rilevante interesse pubblico -
Art. 68 - Benefici economici ed abilitazioni
• L’art. 68 provvede a definire di rilevante interesse
pubblico le finalità di applicazione della disciplina in
materia di concessione, liquidazione, modifica e
revoca di benefìci economici, agevolazioni,
elargizioni, altri emolumenti e abilitazioni.
• Si intendono ricompresi fra i trattamenti regolati
dal presente articolo anche quelli indispensabili in
relazione:
• a) alle comunicazioni, certificazioni ed informazioni
previste dalla normativa antimafia;
• b) alle elargizioni di contributi previsti dalla
normativa in materia di usura e di vittime di
richieste estorsive;
(segue)
62
- Finalità di rilevante interesse pubblico -
Art. 68 - Benefici economici ed abilitazioni
• c) alla corresponsione delle pensioni di guerra o al
riconoscimento di benefici in favore di perseguitati
politici e di internati in campo di sterminio e di loro
congiunti;
• d) al riconoscimento di benefici connessi all'invalidità
civile;
• e) alla concessione di contributi in materia di
formazione professionale;
• f) alla concessione di contributi, finanziamenti,
elargizioni ed altri benefici previsti dalla legge, dai
regolamenti o dalla normativa comunitaria, anche in
favore di associazioni, fondazioni ed enti;
(segue)
63
- Finalità di rilevante interesse pubblico -
Art. 68 - Benefici economici ed abilitazioni
• g) al riconoscimento di esoneri, agevolazioni o
riduzioni tariffarie o economiche, franchigie, o al
rilascio di concessioni anche radiotelevisive,
licenze, autorizzazioni, iscrizioni ed altri titoli
abilitativi previsti dalla legge, da un regolamento
o dalla normativa comunitaria.
• La diffusione è limitata a ciò che è indispensabile
per la trasparenza delle attività indicate nel
presente articolo, in conformità alle leggi, e per
finalità di vigilanza e di controllo conseguenti alle
attività medesime.
• Divieto di diffusione dei dati idonei a rivelare lo
stato di salute.
64
- Finalità di rilevante interesse pubblico -
Art. 69 - Onorificenze, ricompense e
riconoscimenti
• L’art. 69 provvede a definire di rilevante interesse
pubblico le finalità di applicazione della disciplina in
materia di :
• conferimento di onorificenze e ricompense;
• riconoscimento della personalità giuridica di
associazioni, fondazioni ed enti, anche di culto;
• accertamento dei requisiti di onorabilità e di
professionalità per le nomine, per i profili di
competenza del soggetto pubblico, ad uffici anche di
culto e a cariche direttive di persone giuridiche,
imprese e di istituzioni scolastiche non statali;
• nonché di rilascio e revoca di autorizzazioni o
abilitazioni, di concessione di patrocini, patronati e
premi di rappresentanza, di adesione a comitati
d'onore e di ammissione a cerimonie ed incontri
istituzionali
65
- Finalità di rilevante interesse pubblico -
Art. 70 - Volontariato e obiezione di
coscienza
• L’art. 70 provvede a definire di rilevante
interesse pubblico le finalità di
applicazione della disciplina in materia di
rapporti tra i soggetti pubblici e le
organizzazioni di volontariato.
• Si considerano, altresì, di rilevante
interesse pubblico le finalità di
applicazione della legge 8 luglio 1998, n.
230, e delle altre disposizioni di legge in
materia di obiezione di coscienza.
66
- Finalità di rilevante interesse pubblico Art. 71 - Attività sanzionatorie e di tutela
• L’art. 71 provvede a definire di rilevante interesse
pubblico, le finalità:
• a) di applicazione delle norme in materia di
sanzioni amministrative e ricorsi;
• b) volte a far valere il diritto di difesa in sede
amministrativa o giudiziaria, anche da parte di un
terzo, o direttamente connesse alla riparazione di
un errore giudiziario o in caso di violazione del
termine ragionevole del processo o di un'ingiusta
restrizione della libertà personale.
(segue)
67
- Finalità di rilevante interesse pubblico Art. 71 - Attività sanzionatorie e di tutela
• In relazione alla fattispecie di cui alla lett.b
quando il trattamento concerne dati idonei a
rivelare lo stato di salute o la vita sessuale, il
trattamento è consentito se il diritto da far valere
o difendere, è di rango almeno pari a quello
dell'interessato, ovvero consiste in un diritto della
personalità o in un altro diritto o libertà
fondamentale e inviolabile
68
- Finalità di rilevante interesse pubblico Art. 72 - Rapporti con enti di culto
• L’art. 72 provvede a definire di rilevante
interesse pubblico le finalità relative allo
svolgimento dei rapporti istituzionali con
enti di culto, confessioni religiose e
comunità religiose.
69
- Finalità di rilevante interesse pubblico Art. 73 - Altre finalità in ambito
amministrativo e sociale
•
a)
b)
L’art. 73 provvede a definire di rilevante interesse
pubblico le finalità socio-assistenziali, con
particolare riferimento a:
interventi di sostegno psico-sociale e di formazione
in favore di giovani o di altri soggetti che versano in
condizioni di disagio sociale, economico o familiare;
interventi anche di rilievo sanitario in favore di
soggetti bisognosi o non autosufficienti o incapaci,
ivi compresi i servizi di assistenza economica o
domiciliare,di accompagnamento;
(segue)
70
- Finalità di rilevante interesse pubblico Art. 73 - Altre finalità in ambito
amministrativo e sociale
c)
assistenza nei confronti dei minori, anche in
ordine a vicende giudiziarie;
d) indagini psico-sociali relative a provvedimenti di
adozione anche internazionale;
e) compiti di vigilanza per affidamenti temporanei;
f) iniziative di vigilanza e di sostegno in
riferimento al soggiorno di nomadi;
g) interventi in tema di barriere architettoniche.
(segue)
71
- Finalità di rilevante interesse pubblico Art. 73 - Altre finalità in ambito
amministrativo e sociale
•
a)
b)
c)
d)
e)
L’art. 73 definisce di rilevante interesse pubblico
le finalità:
di gestione di asili nido;
concernenti la gestione di mense scolastiche o la
fornitura di sussidi, contributi e materiale
didattico;
ricreative o di promozione della cultura e dello
sport, con particolare riferimento
all'organizzazione di soggiorni, mostre,
conferenze e manifestazioni sportive o all'uso di
beni immobili o all'occupazione di suolo
pubblico;
di assegnazione di alloggi di edilizia residenziale
pubblica;
72
relative alla leva militare;
- Finalità di rilevante interesse pubblico Art. 73 - Altre finalità in ambito
amministrativo e sociale
f) di polizia amministrativa anche locale, salvo
quanto previsto dall'articolo 53, con particolare
riferimento ai servizi di igiene, di polizia
mortuaria e ai controlli in materia di ambiente,
tutela delle risorse idriche e difesa del suolo;
g) degli uffici per le relazioni con il pubblico;
h) in materia di protezione civile;
i) di supporto al collocamento e all'avviamento al
lavoro, in particolare a cura di centri di iniziativa
locale per l'occupazione e di sportelli-lavoro;
j) dei difensori civici regionali e locali.
73
- Particolari contrassegni Art. 74 - Contrassegni su veicoli e accessi
a centri storici
• I contrassegni, da esporre rilasciati per la
circolazione e la sosta di veicoli al servizio di
persone invalide o per il transito e la sosta in
zone a traffico limitato contengono i soli dati
indispensabili ad individuare l’autorizzazione
rilasciata senza la posizione di singole diciture
dai quali può desumersi la speciale natura
della autorizzazione per effetto della sola
visione del contrassegno.
74
-Trattamento per scopi statistici e scientifici -
Art. 109 - Dati statistici relativi all’evento
della nascita
• Per la rilevazione dei dati statistici relativi
agli eventi di nascita, compresi quelli
relativi ai nati affetti da malformazioni e ai
nati morti, nonché per i flussi di dati anche
da parte di direttori sanitari, si osservano,
oltre alle disposizioni di cui al D.M. 16
luglio 2001, n. 349 del Ministro della
sanità, le modalità tecniche determinate
dall'Istituto nazionale della statistica,
sentito il Ministro della salute, dell'interno
e il Garante.
75
- Lavoro e previdenza Art. 111 - Codice di deontologia e buona
condotta
• Il Garante promuove, ai sensi dell'articolo 12, la
sottoscrizione di un codice di deontologia e di
buona condotta per i soggetti pubblici e privati
interessati al trattamento dei dati personali
effettuato per finalità previdenziali o per la
gestione del rapporto di lavoro, prevedendo
anche specifiche modalità per l'informativa
all'interessato e per l'eventuale prestazione del
consenso relativamente alla pubblicazione degli
annunci per finalità di occupazione di cui
all'articolo 113, comma 3 e alla ricezione di
curricula contenenti dati personali anche sensibili.
76
- Lavoro e previdenza Art. 112 - Rilevanti finalità di interesse pubblico
•
L’art. 112 definisce di rilevante interesse pubblico le
finalità di instaurazione e gestione da parte di
soggetti pubblici di rapporti di lavoro di qualunque
tipo, dipendente o autonomo, anche non retribuito o
onorario o a tempo parziale o temporaneo, e di altre
forme di impiego che non comportano la costituzione
di un rapporto di lavoro subordinato.
• Tra i trattamenti effettuati per le finalità di cui al
comma 1, si intendono ricompresi, in particolare,
quelli effettuati al fine di:
a) applicare la normativa in materia di collocamento
obbligatorio e assumere personale anche
appartenente a categorie protette;
b) garantire le pari opportunità;
(segue)
77
- Lavoro e previdenza Art. 112 - Rilevanti finalità di interesse pubblico
c) accertare il possesso di particolari requisiti previsti
per l'accesso a specifici impieghi, anche in materia di
tutela delle minoranze linguistiche, ovvero la
sussistenza dei presupposti per la sospensione o la
cessazione dall'impiego o dal servizio, il
trasferimento di sede per incompatibilità e il
conferimento di speciali abilitazioni;
d) adempiere ad obblighi connessi alla definizione dello
stato giuridico ed economico, ivi compreso il
riconoscimento della causa di servizio o dell'equo
indennizzo, nonché ad obblighi retributivi, fiscali o
contabili, relativamente al personale in servizio o in
quiescenza, ivi compresa la corresponsione di premi
e benefìci assistenziali;
(segue)
78
- Lavoro e previdenza Art. 112 - Rilevanti finalità di interesse pubblico
e) adempiere a specifici obblighi o svolgere compiti
previsti dalla normativa in materia di igiene e
sicurezza del lavoro o di sicurezza o salute della
popolazione, nonché in materia sindacale;
f) applicare, anche da parte di enti previdenziali ed
assistenziali, la normativa in materia di previdenza
ed assistenza ivi compresa quella integrativa, anche
in applicazione del decreto legislativo 29 luglio 1947,
n. 804 del Capo provvisorio dello Stato, riguardo alla
comunicazione di dati, anche mediante reti di
comunicazione elettronica, agli istituti di patronato e
di assistenza sociale, alle associazioni di categoria e
agli ordini professionali che abbiano ottenuto il
consenso dell'interessato ai sensi dell'articolo 23 in
relazione a tipi di dati individuati specificamente;
(segue)
79
- Lavoro e previdenza Art. 112 - Rilevanti finalità di interesse pubblico
g) svolgere attività dirette all'accertamento della
responsabilità civile, disciplinare e contabile ed
esaminare i ricorsi amministrativi in conformità alle
norme che regolano le rispettive materie;
h) comparire in giudizio a mezzo di propri
rappresentanti o partecipare alle procedure di
arbitrato o di conciliazione nei casi previsti dalla
legge o dai contratti collettivi di lavoro;
i) salvaguardare la vita o l'incolumità fisica
dell'interessato o di terzi;
j) gestire l'anagrafe dei pubblici dipendenti e applicare
la normativa in materia di assunzione di incarichi da
parte di dipendenti pubblici, collaboratori e
consulenti;
(segue)
80
- Lavoro e previdenza Art. 112 - Rilevanti finalità di interesse pubblico
m) applicare la normativa in materia di
incompatibilità e rapporti di lavoro a tempo
parziale;
n) svolgere l'attività di indagine e ispezione
presso soggetti pubblici;
o) valutare la qualità dei servizi resi e dei
risultati conseguiti.
p) la diffusione dei dati di cui alle lettere m), n)
ed o) del comma 2 è consentita in forma
anonima e, comunque, tale da non consentire
l'individuazione dell'interessato.
81
- Videosorveglianza Art. 134 - Codice di deontologia e di
buona condotta
• Il Garante promuove, ai sensi dell'articolo 12, la
sottoscrizione di un codice di deontologia e di
buona condotta per il trattamento dei dati
personali effettuato con strumenti elettronici di
rilevamento di immagini, prevedendo specifiche
modalità di trattamento e forme semplificate di
informativa all'interessato per garantire la liceità
e la correttezza anche in riferimento a quanto
previsto dall'articolo 11.
82
- Tutela dinanzi al Garante Art. 141 - Forme di tutela
• Il cittadino che ritiene leso il
suo diritto può
intraprendere delle iniziative
per tutelare i propri diritti.
83
- Diritti dell’interessato -
Art. 7 – Diritto di accesso ai dati
personali e altri diritti
• Vi sono tre categorie di diritti
dell’interessato:
a) Il diritto ad ottenere l’informazione
sull’esistenza o meno di dati che lo
riguardano;
b) Il diritto all’esattezza dei dati trattati;
c) Il diritto di opposizione, per motivi legittimi, al
trattamento dei dati che lo riguardano;
84
- Diritti dell’interessato -
Art. 7 – Diritto di accesso ai dati
personali e altri diritti
Categoria sub a):
 Il Diritto ad ottenere la conferma dell’esistenza di
dati che lo riguardano e la loro comunicazione;
 Il diritto di ottenere l’indicazione:
a) dell’origine dei dati personali
b) delle finalità e modalità del trattamento
c) della modalità in caso di trattamento effettuato con
l’ausilio di strumenti elettronici
d) degli estremi identificativi del titolare e dei
responsabili
e) dei soggetti o delle categorie di soggetti ai quali i
dati personali possono essere comunicati o che
possono venirne a conoscenza.
85
- Diritti dell’interessato -
Art. 7 – Diritto di accesso ai dati
personali e altri diritti
Categoria sub b)
 Il diritto di ottenere un intervento sui dati
concernente:
a) l’aggiornamento, la rettificazione ovvero, quando vi
ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima
o il blocco dei dati trattati in violazione di legge,
compresi quelli di cui non è necessaria la
conservazione in relazione agli scopi per i quali i dati
sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle lettere a) e
b) sono state portate a conoscenza di coloro ai quali i
dati sono stati comunicati o diffusi, eccettuato il caso
in cui si rivela impossibile o comporta un impiego di
mezzi manifestamente sproporzionato rispetto al
diritto tutelato.
86
- Diritti dell’interessato -
Art. 7 – Diritto di accesso ai dati
personali e altri diritti
Categoria sub c)
 L’interessato ha il diritto di opposizione, in tutto o
in parte:
a) per motivi legittimi al trattamento dei dati personali
che lo riguardano, ancorché pertinenti allo scopo
della raccolta;
b) al trattamento di dati personali che lo riguardano a
fini di invio di materiale pubblicitario o di vendita
diretta o per il compimento di ricerche di mercato o
di comunicazione commerciale.
87
Le forme di tutela
dell’interessato
• Il Codice della Privacy prevede che per la
tutela dei suoi diritti l’interessato possa
rivolgersi:
• Al Garante;
• Oppure all’autorità giudiziaria ordinaria.
88

a)
b)
c)

a)
Le forme di tutela
dell’interessato
Innanzi al Garante:
Il reclamo, che costituisce il mezzo attraverso il
quale si rappresenta una violazione e si chiede
l’adozione di un provvedimento;
La segnalazione, se non è possibile presentare
un reclamo, al fine di sollecitare un controllo da
parte del Garante sulla disciplina medesima;
Il ricorso, se si intende attivare una procedura
simile a quella giurisdizionale, ma innanzi al
Garante, al fine di ottenere l’adozione di un
provvedimento.
Innanzi al Tribunale:
Il ricorso giurisdizionale.
89
Le forme di tutela
dell’interessato
 Innanzi al Garante:
• La segnalazione e il reclamo sono due rimedi
consentiti all’interessato per rappresentare una
violazione dei suoi diritti e chiedere il controllo e
l’intervento del Garante;
• Il ricorso è invece un rimedio con una connotazione
simile a quella giurisdizionale, in quanto si instaura
un procedimento disciplinato dalla legge
caratterizzato dal contraddittorio tra le parti.
• Con i rimedi innanzi al Garante di può richiedere la
cessazione del comportamento illegittimo e le misure
necessarie a tutela dei diritti dell’interessato.
• I rimedi innanzi al Garante possono altresì dare
impulso ad un procedimento di irrogazione di
sanzioni amministrative.
90
Le forme di tutela
dell’interessato
• Innanzi al Tribunale:
• il ricorso al Tribunale è invece un’azione
processuale con cui l’interessato può
chiedere la cessazione del
comportamento illegittimo, le misure
necessarie a tutela dei suoi diritti e il
risarcimento del danno.
91
Tutela dinanzi al Garante
Il Reclamo - art. 142
• Il reclamo contiene un'indicazione per quanto
possibile dettagliata dei fatti e delle circostanze
su cui si fonda, delle disposizioni che si
presumono violate e delle misure richieste,
nonchè gli estremi identificativi del titolare, del
responsabile, ove conosciuto, e dell'istante.
• Il reclamo è sottoscritto dall’interessato, o da
associazione che lo rappresenta, ed è presentato
al Garante senza particolari formalità. Al reclamo
si allega la documentazione utile per la sua
valutazione e l'eventuale procura.
92
Tutela dinanzi al Garante
Il procedimento per il Reclamo- art. 143
• Il Garante, se il reclamo non è manifestamente
infondato e sussistono i presupposti per adottare un
provvedimento:
• a) prima dell’adozione del provvedimento può
invitare il titolare, anche in contraddittorio con
l'interessato, ad effettuare il blocco
spontaneamente;
• b) prescrive al titolare le misure opportune o
necessarie per rendere il trattamento conforme alle
disposizioni vigenti;
(segue)
93
Tutela dinanzi al Garante
Il procedimento per il Reclamo- art. 143
• c) dispone il blocco o vieta, in tutto o in parte,
il trattamento che risulta illecito o non
corretto;
• d) può vietare in tutto o in parte il trattamento
di dati relativi a singoli soggetti o a categorie
di soggetti che si pone in contrasto con
rilevanti interessi della collettività.
• I provvedimenti del Garante a seguito di
reclamo sono impugnabili entro 30 giorni
dalla loro comunicazione con ricorso al
Tribunale.
94
Tutela dinanzi al Garante
La Segnalazione – Art. 144
• Se non è possibile presentare un reclamo
circostanziato e dettagliato, per mancanza di
informazioni precise, l’interessato può
presentare una segnalazione al fine di
sollecitare un controllo da parte del Garante;
• A seguito di segnalazione il Garante può
adottare gli stessi provvedimenti che adotta a
seguito di un reclamo (art. 143).
95
Tutela dinanzi al Garante
Il Ricorso al Garante - Art. 145
• L’interessato può far valere i suoi diritti anche
con ricorso al Garante.
• Il ricorso al Garante non può essere proposto
se, per lo stesso oggetto e tra le stesse parti, è
già stata adita l’autorità giudiziaria.
• Il ricorso la Garante rende improponibile
un’ulteriore domanda all’autorità giudiziaria, per
lo stesso oggetto e tra le stesse parti.
96
Tutela dinanzi al Garante
L’interpello preventivo – art. 146
• Il ricorso al Garante può essere proposto solo
dopo che sia stata avanzata una richiesta ai
sensi dell’art. 8 sulla medesima questione al
titolare o al responsabile del trattamento, il quale
non abbia risposto entro 15 gg. o abbia opposto
un diniego anche parziale.
• Tale disposizione non si applica se il decorso del
suddetto termine espone taluno a un pregiudizio
imminente e irreparabile.
97
Tutela dinanzi al Garante
Gli elementi del ricorso – art. 147, co. 1 e
2
•
•
•
•
Il ricorso deve indicare:
gli estremi del ricorrente e il domicilio eletto;
un recapito di e-mail, fax o telefono;
il titolare del trattamento dei dati contro cui è
proposto e del responsabile eventualmente
designato;
• la data della richiesta ai sensi dell’art. 8
presentata al titolare o al responsabile oppure il
pregiudizio imminente e irreparabile per cui è
stata omessa la suddetta richiesta;
• gli elementi posti a fondamento della domanda;
• il provvedimento richiesto al Garante;
98
Tutela dinanzi al Garante
Gli elementi del ricorso – art. 147 , co. 1 e 2
• il ricorso è sottoscritto dal ricorrente o dal
procuratore speciale;
• al ricorso si deve allegare:
– la copia della richiesta rivolta al titolare o al
responsabile ai sensi dell'articolo 8, comma 1;
– l'eventuale procura;
– la prova del versamento dei diritti di segreteria;
– la documentazione utile ai fini della valutazione
del ricorso.
99
Tutela dinanzi al Garante
Presentazione del ricorso – art. 147
• Il ricorso è validamente proposto solo se è
trasmesso:
• con plico raccomandato;
• per via telematica con le modalità relative
alla firma digitale e alla conferma del
ricevimento.
100
Tutela dinanzi al Garante
Inammissibilità del ricorso – art. 148
• Il ricorso è inammissibile:
• se proviene da un soggetto non legittimato;
• se è stata già presentata domanda all’autorità
giudiziaria;
• se l’interessato non ha proceduto all’interpello
preventivo ai sensi dell’art. 146;
• se è carente di taluno degli elementi previsti
dall’art. 147 commi 1 e 2, salvo che sia
regolarizzato entro 7 giorni dalla
presentazione o dal ricevimento dell’invito in
tal senso da parte del Garante.
101
Tutela dinanzi al Garante
regolarizzazione del ricorso
• Con delibera n. 16 del 23/12/2004, il Garante ha
stabilito i casi in cui è possibile la regolarizzazione dei
ricorsi ai sensi dell’art. 148:
– Quando il ricorso è sottoscritto da persona fisica o
giuridica diversa dal ricorrente o dal procuratore
speciale;
– Quando il ricorso è trasmesso con modalità diversa
dalla raccomandata o dall’invio telematico
autorizzato;
– Qualora il ricorso difetti di uno o più dei dati
identificativi delle parti;
– Qualora manchi la data della richiesta (interpello
preventivo) presentata al titolare ovvero l’indicazione
del pregiudizio imminente e irreparabile;
(segue)
102
Tutela dinanzi al Garante
regolarizzazione del ricorso
• Qualora manchi l’indicazione degli elementi
posti a fondamento della domanda;
• Quando il ricorso non indica il provvedimento
richiesto al Garante;
• Quando manca il domicilio eletto;
• Qualora non siano allegati al ricorso la procura o
la copia della preventiva richiesta la titolare;
• Qualora manchi la prova del versamento dei
diritti di segreteria.
103
Tutela dinanzi al Garante
Procedimento relativo al Ricorso – art. 149
• Salvo che sia dichiarato inammissibile o
manifestamente infondato, il ricorso è
comunicato al titolare entro tre giorni a cura
dell’Ufficio del Garante;
• Con la comunicazione del ricorso il Garante
invita il titolare ad esercitare entro 10 gg. la
propria eventuale adesione spontanea;
• In caso di adesione spontanea è dichiarato
non luogo a provvedere;
• Nel procedimento le parti (interessato, titolare
e responsabile) hanno diritto di essere sentiti
e di presentare memorie e documenti;(segue)
104
Tutela dinanzi al Garante
Procedimento relativo al Ricorso – art. 149
• Nel corso del procedimento il ricorrente
può precisare la domanda nei limiti di
quanto richiesto con il ricorso o a seguito
di eccezioni formulate da controparte;
• Il Garante può disporre su richiesta delle
parti o anche d’ufficio una o più perizie;
105
Tutela dinanzi al Garante
Provvedimenti a seguito del ricorso – art. 150
• Il Garante può adottare provvedimenti
provvisori nelle more del procedimento, di
blocco dei dati o di immediata sospensione
delle operazioni di trattamento;
• Il Garante, se ritiene fondato il ricorso, ordina
al titolare, con decisione motivata, la
cessazione del comportamento illegittimo,
indicando le misure necessarie a tutela dei
diritti dell’interessato e assegnando un
termine per la loro adozione;
• La mancata pronuncia della decisione entro
60 gg. dalla presentazione del ricorso
106
equivale a rigetto.
Tutela dinanzi al Garante
Provv.ti a seguito del ricorso – art. 150
• Se è stato richiesto da taluna delle parti, la
decisione del Garante determina in misura
forfettaria l’ammontare delle spese e dei diritti
inerenti al ricorso che possono essere posti a
carico della parte soccombente;
• Il Garante può anche compensare le spese;
• Il provvedimento del Garante, anche se
provvisorio, è comunicato alle parti entro dieci
giorni presso il domicilio eletto.
107
Tutela dinanzi al Garante
Provv.ti a seguito del ricorso – art. 150
• In caso di mancata opposizione al
provvedimento del Garante che determina
anche le spese e diritti, o in caso di rigetto
dell’opposizione, il provvedimento costituisce
titolo esecutivo ai sensi degli artt. 474 e 475
cpc;
• La decisione del Garante sul ricorso può
essere impugnata con ricorso al Tribunale
entro trenta giorni:
• dalla sua comunicazione;
• o dalla data in cui si è formato il silenzio
rigetto, nel caso in cui non sia stata decisione
108
espressa.
Tutela giurisdizionale
Il Giudice Ordinario Art. 152
• Tutte le controversie che riguardano
l’applicazione delle norme del Codice sono di
competenza dell’autorità giudiziaria ordinaria
(G.O.);
• E’ possibile impugnare anche un
provvedimento del Garante adottato a seguito
di reclamo o di ricorso;
• L’azione si propone con ricorso depositato
nella cancelleria del Tribunale del luogo ove
risiede il titolare del trattamento dei dati;
• Il Tribunale decide in composizione
109
monocratica.
Tutela giurisdizionale
Impugn. di un atto del Garante art. 152
• Se il Ricorso è contro un provvedimento del
Garante deve essere proposto a pena
d’inammissibilità entro trenta giorni dalla
comunicazione o dalla data del rigetto tacito;
• Se il Ricorso non è contro un provvedimento del
Garante si applica il termine di prescrizione
ordinaria.
• L’ordinanza del G.O. che lo dichiara
inammissibile è ricorribile in Cassazione;
• Il ricorso non sospende l’esecuzione;
110
Tutela giurisdizionale
Il Ricorso al G.O. – art. 152
• Fase cautelare:
• Quando sussiste un pericolo imminente di un
danno grave e irreparabile il Giudice può
emanare i provvedimenti necessari con decreto
motivato inaudita altera partem;
• In tal caso il Giudice fissa l’udienza di
comparizione delle parti entro 15 gg.;
• A tale udienza il Giudice, con ordinanza,
conferma, modifica o revoca i provvedimenti
emanati con decreto;
111
Tutela giurisdizionale
Il Ricorso al G.O. – art. 152
• Fase istruttoria:
• Dopo la presentazione del ricorso il giudice fissa
l’udienza di comparizione delle parti con decreto
e assegna la ricorrente un termine perentorio
per notificarlo alle altre parti e al Garante;
• Se alla 1° udienza il ricorrente non compare,
senza un legittimo impedimento, il Giudice
dispone la cancellazione della causa dal ruolo,
dichiara l’estinzione del processo e pone a
carico del ricorrente le spese del giudizio;
(segue)
112
Tutela giurisdizionale
Il Ricorso al G.O. – art. 152
• Fase istruttoria:
• Nel corso del giudizio il Giudice dispone,
anche d’ufficio, i mezzi di prova che ritiene
necessari e può disporre anche la
citazione dei testimoni senza formulazione
dei capitoli di prova;
113
Tutela giurisdizionale
Il Ricorso al G.O. – art. 152
• Terminata l’istruttoria il giudice:
• invita le parti a precisare le conclusioni e a
discutere nella stessa udienza la causa;
• oppure può concedere alla parti termine fino a
10 gg. per il deposito di note difensive e rinviare
ad una successiva udienza per la discussione;
• dopo la discussione, pronuncia immediatamente
il dispositivo;
• entro 30 gg. deposita le motivazioni in
cancelleria.
114
Tutela giurisdizionale
Il Ricorso al G.O. – art. 152
• La sentenza:
• Accoglie o rigetta, in tutto o in parte, il ricorso;
• Prescrive le misure necessarie;
• Anche in deroga all’art. 4, Allegato E), della L. n.
2248 del 20/03/1865, può revocare o modificare
l’atto amministrativo del soggetto pubblico titolare
o del responsabile o del Garante;
• Dispone sul risarcimento del danno, ove
richiesto;
• Pone le spese del giudizio a carico della parte
soccombente;
• E’ ricorribile solo per Cassazione;
115
Il risarcimento del danno
• Art. 15-Danni cagionati per effetto del
trattamento
• Il trattamento di dati personali è considerato
attività pericolosa e segue dunque la
disciplina della responsabilità
extracontrattuale per l’esercizio di attività
pericolose, 2050 c.c.
• L’art. 2050 c.c. stabilisce che chiunque
cagiona un danno ad altri nello svolgimento di
un’attività pericolosa è tenuto al risarcimento
se non prova di avere adottato tutte le misure
idonee a evitare il danno.
116
Il risarcimento del danno
• Art. 15 - Danni cagionati per effetto del
trattamento
• In caso di danno conseguente al trattamento
di dati personali vi è dunque una presunzione
di responsabilità che può essere superata
solo con una prova particolarmente rigorosa.
• E’ posto, infatti, a carico dell’esercente
dell’attività pericolosa l’onere di dimostrare di
aver adottato tutte le misure idonee ad
evitare il danno, non essendo sufficiente la
prova negativa di non aver commesso alcuna
violazione di legge, ma occorre quella
positiva di aver impiegato ogni cura o misura
atta ad impedire l’evento dannoso.
117
Violazioni Amministrative
• Il Codice prevede che il Garante possa
irrogare sanzioni amministrative;
• Il garante deve seguire il procedimento
sanzionatorio previsto dalla L. n. 689/1981
che si compone di:
• Una 1° fase relativa all’accertamento e alla
contestazione dell’infrazione;
• E una 2° fase relativa all’applicazione della
sanzione che si conclude con l’ordinanza di
applicazione della sanzione amministrativa
ovvero con l’ordinanza di archiviazione degli
atti.
118
Violazioni Amministrative
Omessa o inidonea informativa art. 161
• L’art. 13 prevede l’obbligo del titolare del
trattamento di informare l’interessato circa:
– le finalità e modalità di trattamento;
– la natura obbligatoria o facoltativa del
conferimento dei dati;
– le conseguenze di un eventuale rifiuto di
rispondere;
– i diritti dell’interessato ai sensi dell’art. 7;
– i soggetti ai quali i dati possono essere
comunicati;
– l’identificazione del titolare e del responsabile;
Anche il Comune deve informare l’interessato
del trattamento, ma non deve richiedere il suo
119
consenso.
Violazioni Amministrative
Omessa o inidonea informativa art. 161
L’art. 161 prevede che la violazione dell’art. 13
è punita con la sanzione amministrativa da €
3.000 a € 18.000;
• In caso di dati sensibili o giudiziari o di
trattamenti che presentano rischi specifici per
i diritti e le libertà fondamentali o per la
dignità dell’interessato, la sanzione è da €
5.000 a € 30.000.
• La sanzione può essere aumentata fino al
triplo quando risulta inefficace in ragione delle
condizioni economiche del contravventore;
120
Violazioni Amministrative
Omessa o inidonea informativa art. 161
• L’art. 161 punisce dunque la violazione del
dovere, in capo al titolare del trattamento dei
dati, di informare l’interessato sul trattamento dei
dati che lo riguardano.
• La pena pecuniaria è più severa quando si tratta
di omessa o inidonea informativa relativa al
trattamento di dati sensibili e giudiziari.
• Tale sanzione è dunque connessa al diritto
dell’interessato ad essere informato sul
trattamento dei suoi dati.
121
Violazioni Amministrative
Altre fattispecie – art. 162
• L’art. 16 comma 1 lett. b) prevede che in caso di
fine del trattamento i dati possono essere ceduti ad
altro titolare, purchè destinati ad un trattamento in
termini compatibili agli scopi per i quali sono stati
raccolti;
• L’art. 162 prevede che la cessione dei dati in
violazione di quanto previsto dall’art. 16, comma 1,
lett. b), è punita con la sanzione amministrativa di
una somma da € 5.000 a € 35.000.
• E’ quindi sanzionato il titolare che dopo aver
cessato il trattamento dei dati, li trasferisce ad altro
titolare per un trattamento che non è compatibile
con lo scopo per cui i dati sono stati raccolti.
122
Violazioni Amministrative
Omessa o incompleta notificazione – art.
163
• L’art. 37 prevede l’obbligo di notifica al
Garante del trattamento di dati
particolari:
– dati genetici, biometrici, sullo stato di
salute, sulla vita sessuale, dati relativi al
profilo della personalità, le abitudini e le
scelte di consumo;
– Non pare che tale tipologia di dati sia
trattata dal comune;
– L’art. 38 stabilisce le modalità di
notificazione per via telematica.
123
Violazioni Amministrative
Omessa o incompleta notificazione – art.
163
• In relazione a una serie di dati che il
legislatore ritiene particolarmente “delicati”
non basta che il trattamento sia previsto da
una legge, ma è necessario che il titolare
notifichi al Garante l’intenzione di procedere
al trattamento;
• L’art. 163 prevede che chiunque essendovi
tenuto non provvede tempestivamente alla
notificazione ai sensi degli artt. 37 e 38
ovvero indica in essa notizie incomplete è
punito con la sanzione da € 10.000 a €
60.000.
124
Violazioni Amministrative
Omessa informazione o esibizione la
Garante Art. 164
• L’art. 150, comma 2, nel disciplinare la procedura
di ricorso innanzi al Garante, stabilisce che
quest’ultimo richieda le necessarie informazioni
al titolare del trattamento;
• L’art. 157 stabilisce che il Garante nell’ambito dei
suoi poteri di accertamento e controllo possa
richiedere di fornire informazioni e di esibire
documenti.
• L’art. 164 prevede che chiunque omette di fornire
le informazioni o di esibire i documenti richiesti
dal Garante ai sensi degli artt. 150, comma 2, e
157 è punito con la sanzione da € 4.000 a €
24.000;
125
Violazioni Amministrative
Omessa informazione o esibizione la
Garante Art. 164
• L’art. 164 punisce dunque coloro che
nell’ambito di una procedura di ricorso
innanzi al Garante o nell’ambito di un
accertamento del Garante non
forniscono a quest’ultimo le informazioni
o i documenti richiesti.
126
Violazioni Amministrative
Sintesi delle violazioni amm.
• 1. Art. 161 – punisce l’omessa o inidonea
informativa sul trattamento dei dati;
• 2. Art. 162 – punisce la cessione di dati in
violazione delle norme del codice;
• 3. Art. 163 – punisce il trattamento di dati
“particolari” senza la preventiva notificazione
al Garante;
• 4. Art. 163 – punisce coloro che non
forniscono informazioni o documenti al
Garante nell’ambito di un ricorso o di un
accertamento.
127
Illeciti penali
• Il Codice della Privacy, oltre alle sanzioni
amministrative, individua anche ipotesi di
reato in materia di trattamento di dati
personali.
128
Illeciti penali
Trattamento illecito di dati
art. 167, comma 1
Gli artt. 18 e 19 stabiliscono che:
• il trattamento di dati personali da parte di
soggetti pubblici è consentito solo per lo
svolgimento delle funzioni istituzionali anche in
mancanza di una norma di legge o di
regolamento che lo preveda espressamente;
• la comunicazione dei dati:
– ad altri soggetti pubblici è ammessa solo se
prevista da legge o regolamento (anche
comunale) o se necessaria per fini istituzionali;
– a soggetti privati è ammessa solo se prevista
da legge o regolamento.
129
Illeciti penali
Trattamento illecito di dati
art.
167
comma
1
• L’art. 167, comma 1, prevede che
chiunque, al fine di trarre per se o per altri
profitto o di recare ad altri un danno
procede al trattamento di dati personali in
violazione degli artt. 18, 19, 23, 123, 126 e
130 o in applicazione dell’art. 129 è punito,
se dal fatto deriva nocumento, con la
reclusione dal 6 a 18 mesi o, se il fatto
consiste nella comunicazione o diffusione,
con la reclusione da 6 a 24 mesi.
130
Illeciti penali
Trattamento illecito di dati
art. 167 comma 1
• Ne consegue che il titolare, il responsabile o
l’incaricato del Comune che tratta dati:
– non per lo svolgimento di funzioni istituzionali;
– al fine di trarre per sé o per altri profitto o di recare
ad altri un danno;
– cagionando un danno;
• è punito con la reclusione da 6 a 18 mesi;
• La pena è invece da 6 a 24 mesi se il fatto
consiste, invece che nel trattamento, nella
comunicazione o diffusione.
131
Illeciti penali
Trattamento illecito di dati
art. 167 comma 2
• Art. 17. Trattamento che presenta rischi specifici
• Il trattamento dei dati diversi da quelli sensibili e
giudiziari che presenta rischi specifici per i diritti
e le libertà fondamentali, nonché per la dignità
dell'interessato, è ammesso nel rispetto di
misure
ed
accorgimenti
a
garanzia
dell'interessato, ove prescritti.
• Le misure e gli accorgimenti di cui al comma 1
sono prescritti dal Garante.
132
Illeciti penali
Trattamento illecito di dati
art. 167 comma 2
• Artt. 20 e 21- Trattamento di dati sensibili e giudiziari da
parte di soggetti pubblici
• E’ consentito solo se vi è un’espressa previsione di
legge o una indicazione del Garante su richiesta
dell’ente.
• Nei casi in cui una disposizione di legge stabilisca la
finalità di rilevante interesse pubblico, ma non i tipi di dati
sensibili e giudiziari e di operazioni eseguibili, il
trattamento è consentito solo in riferimento ai tipi di dati
e di operazioni identificati e resi pubblici a cura dei
soggetti che ne effettuano il trattamento, con atto di
natura regolamentare.
133
Illeciti penali
Trattamento illecito di dati
art. 167 comma 2
• Art. 22 - Principi applicabili al trattamento dei
dati sensibili e giudiziari
• Comma 8: i dati idonei a rivelare lo stato di
salute non possono essere diffusi;
• Comma 11: la diffusione di dati sensibili e
giudiziari è ammessa solo se prevista da
espressa disposizione di legge.
134
Illeciti penali
Trattamento illecito di dati art. 167
• L’art. 167 prevede che chiunque, al fine di
trarre per sé o per altri profitto o di recare ad
altri un danno, procede al trattamento di dati
personali in violazione degli artt. 17, 20, 21,
22, commi 8 e 11, è punito se dal fatto deriva
nocumento con la reclusione da 1 a 3 anni.
• Il reato del 167, comma 2, prevede una pena
più grave rispetto al comma 1, perché si
riferisce al trattamento di:
– Dati che presentano rischi specifici (art. 17);
– Dati sensibili e giudiziari (artt. 20, 21 e 22).
135
Illeciti penali
Falsità nelle dichiarazioni e
notificazioni al Garante art. 168
• L’art. 168 stabilisce che chiunque in
comunicazioni, atti, documenti o
dichiarazioni resi o esibiti in un
procedimento dinanzi al Garante o nel
corso di accertamenti, dichiara o attesta
falsamente notizie o circostanze o
produce atti o documenti falsi, è punito,
salvo che il fatto costituisca più grave
reato, con la reclusione da 6 mesi a 3
136
anni.
Illeciti penali
Misure di sicurezza – art. 169
• Art. 33 stabilisce che nel quadro dei
più generali obblighi di sicurezza
previsti nel codice, i titolari del
trattamento sono comunque tenuti
ad adottare le misure minime di
protezione dei dati personali dagli
artt. 34 35 e 36.
137
Illeciti penali
Misure di sicurezza – art. 169
• L’art. 169 prevede che chiunque, essendovi tenuto,
omette di adottare le misure minime previste
dall'articolo 33 è punito con l'arresto sino a due anni o
con l'ammenda da € 10.000 a € 50.000.
• All'autore del reato è impartita una prescrizione
fissando un termine per la regolarizzazione.
• Nei sessanta giorni successivi allo scadere del
termine, se risulta l'adempimento alla prescrizione,
l'autore del reato è ammesso dal Garante a pagare
una somma pari al quarto del massimo dell'ammenda.
• L'adempimento e il pagamento estinguono il reato.
138