Struttura del codice sulla privacy:
I parte
(Disposizioni
generali)
II parte
(Disposizioni per
specifici settori)
riguardanti le regole sostanziali della disciplina del trattamento
dei dati personali, applicabili a tutti i trattamenti, nonché le
regole specifiche che si devono osservare per i trattamenti
effettuati da soggetti pubblici e quelle che trovano applicazione
per i trattamenti effettuati da soggetti privati e da enti pubblici
economici (artt. da 1 a 45).
si applicano a particolari trattamenti, ad integrazione o
eccezione delle disposizioni generali contenute nella I^ parte
(artt. da 46 a 140).
contenente disposizioni relative alle azioni di tutela
III parte
dell’interessato ed al sistema sanzionatorio (artt. da 141 a 172),
(Tutele e sanzioni) nonché le norme di modifica, finali e di carattere transitorio (artt.
da 173 a 186).
Finalità del codice:
- Il codice garantisce a chiunque il diritto alla protezione dei propri
dati personali e assicura che il trattamento degli stessi si svolga nel
rispetto dei diritti e delle libertà fondamentali, nonché della dignità
dell'interessato, in particolare del diritto alla riservatezza. La tutela è
riconosciuta non solo alle persone fisiche ma anche a quelle giuridiche;
la sfera dei diritti fondamentali, eventualmente riconosciuti in altra sede
dall’ordinamento alle persone fisiche, viene in tal modo ampliata anche a
soggetti diversi dalle persone fisiche (art. 1).
- Viene introdotto il “principio di semplificazione nell’elevata tutela”
secondo il quale l’elevato grado di tutela dei diritti è assicurato nel
rispetto dei principi di semplificazione, armonizzazione ed efficacia delle
modalità con le quali sono esercitati i medesimi diritti o devono essere
adempiuti gli obblighi previsti a carico dei titolari del trattamento (art. 2).
Ambito di applicazione:
- al trattamento di dati personali, anche detenuti all’estero,
effettuato da chiunque è stabilito nel territorio dello Stato o in
un luogo comunque soggetto alla sovranità dello Stato;
Si applica
- al trattamento di dati personali effettuato da qualunque soggetto
stabilito in un Paese non appartenente all’U.E. che impieghi
strumenti situati nel territorio dello Stato anche diversi da quelli
elettronici.
- al trattamento di dati personali effettuato da persone fisiche
Non si applica
per fini esclusivamente personali (salvo che i dati siano destinati
ad una comunicazione sistematica o alla diffusione).
In ogni caso trovano applicazione le norme generali in tema di
responsabilità e di sicurezza dei dati
Definizioni:
qualunque operazione (o complesso di operazioni), effettuata anche
senza l'ausilio di strumenti elettronici, concernente la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione,
“Trattamento” l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione,
la cancellazione e la distruzione di dati, anche se non registrati in una
banca di dati [art. 4, lett. a)]
“Dato
personale”
qualunque informazione relativa a persona fisica, persona
giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale [art. 4, lett. b)]
i dati personali che consentono di identificare direttamente
“Dati
l’interessato, (al contrario del “dato anonimo”, ovverosia quel dato
identificativi” che, in origine o a seguito di trattamento, non può essere associato
ad un soggetto identificato o identificabile) [art. 4, lett. c) ed n)]
Definizioni:
“Dati
giudiziari”
i dati idonei a rivelare l’esistenza di provvedimenti giudiziari
penali di condanna definitivi, la qualità di imputato o di indagato,
etc. [art. 4, lett. e)]
“Titolare”
la persona fisica o la persona giuridica, la P.A. e qualsiasi altro ente,
associazione od organismo nel suo complesso, cui compete (anche
unitamente ad altro titolare) un potere decisionale del tutto
autonomo sulle finalità e sulle modalità del trattamento di dati
personali e degli strumenti utilizzati, compreso il profilo della
sicurezza [art. 4, lett. f) ed art. 28]
la persona fisica, la persona giuridica, la P.A. e qualsiasi altro ente,
associazione od organismo, facoltativamente preposto dal
titolare al trattamento di dati personali, individuato tra soggetti
“Responsabile”
che per esperienza, capacità ed affidabilità forniscano idonea
garanzia del pieno rispetto della disciplina in materia di trattamento
[art. 4, lett. g) ed art. 29]
Definizioni:
“Incaricati”
le persone fisiche, autorizzate (per iscritto e con una puntuale
individuazione dell’ambito del trattamento consentito) a compiere
operazioni di trattamento dal titolare o dal responsabile, che
operano sotto la diretta autorità di costoro [art. 4, lett. h) ed art. 30]
“Interessato”
la persona fisica, la persona giuridica, l’ente o l’associazione cui si
riferiscono i dati personali [art. 4, lett. i)]
i dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od
“Dati sensibili”
organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché i dati personali idonei a rivelare lo stato di
salute e la vita sessuale [art. 4, lett. d)]
I diritti dell’interessato:
- la conferma dell’esistenza di dati personali, anche se non ancora
Diritto di
ottenere
Diritto di
opporsi
registrati, e la loro comunicazione in forma intelligibile
- l’indicazione delle finalità e delle modalità del loro trattamento
- la logica applicata in caso di trattamento con strumenti elettronici
- gli estremi identificativi del titolare, del responsabile (e del
rappresentante designato ai sensi dell’art. 5, comma 2)
- i soggetti o le categorie di soggetti a cui possono essere comunicati i dati
o che possono venirne a conoscenza in qualità di responsabile, di
incaricato (o di rappresentante designato nel territorio dello Stato)
- l’aggiornamento, la rettifica e l’integrazione dei dati, la loro cancellazione,
la trasformazione in forma anonima o il blocco dei dati trattati in violazione
di legge
- l’attestazione che tali operazioni sono state portate a conoscenza degli
eventuali soggetti cui i dati erano stati comunicati
- al trattamento dei dati personali che lo riguardano per motivi legittimi
- al trattamento di dati personali che lo riguardano a fini di invio di
materiale pubblicitario, di direct marketing o per il compimento di indagini
di mercato
Adempimenti:
informativa
il titolare ha l’obbligo di informare previamente, per iscritto od
anche oralmente, l'interessato o la persona presso cui sono raccolti
i dati personali circa le modalità ed i fini del loro utilizzo (art. 13)
consenso
il trattamento dei dati personali non può essere effettuato senza il
consenso espresso dell’interessato (art. 23 e ss.)
nomina del
il titolare ha la facoltà di designare un responsabile che vigili sulla
responsabile puntuale osservanza della disciplina sulla privacy (art. 29)
nomina
incaricati
il trattamento dei dati può essere effettuato dai dipendenti solo se
incaricati per iscritto e con puntuale individuazione del trattamento
consentito (art. 30)
notificazione
in determinate ipotesi residuali il titolare ha l’obbligo di segnalare
all’autorità i trattamenti di dati che intende effettuare (art. 37 e ss.)
1. L’informativa
1.1. Requisiti:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti (o le categorie di soggetti) a cui possono essere comunicati
i dati personali o che possono venirne a conoscenza in qualità di membri
della “filiera del trattamento” del titolare (responsabili e incaricati),
nonché l’ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designato, del responsabile (e
del rappresentante nel territorio dello Stato);
-
ulteriori elementi indicati dal codice in caso di determinati trattamenti.
1. L’informativa
1.2. Casi di esclusione:
Nel caso in cui i dati personali non siano raccolti presso l’interessato,
l’obbligo dell’informativa è escluso se:
a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento
o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento di investigazioni difensive, o, comunque,
per far valere o difendere un diritto in sede giudiziaria, sempre che i dati
siano trattati esclusivamente per tali finalità e per il periodo strettamente
necessario al loro perseguimento;
c) l’informativa all’interessato comporta un impiego di mezzi che il Garante dichiari
manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a
giudizio del Garante, impossibile.
… diversamente
l’informativa dovrà essere fornita all’interessato all’atto
della registrazione dei dati o, quando è prevista la loro
comunicazione, non oltre la prima comunicazione.
2. Il consenso
2.1. Requisiti:
a)
deve essere necessariamente espresso dall’interessato affinché il
titolare possa procedere al trattamento di dati personali;
b)
può riguardare l’intero trattamento ovvero una o più operazioni
dello stesso;
c)
è validamente prestato solo se:
- è espresso liberamente e specificamente in riferimento ad un
trattamento chiaramente individuato;
- è documentato per iscritto (quando il trattamento riguarda dati
sensibili deve essere manifestato per iscritto);
- è stata resa all'interessato l’informativa di cui all'articolo 13.
2. Il consenso
2.2. Casi di esclusione:
Oltre che nei casi previsti nella Parte II il consenso non è
richiesto quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è
parte l'interessato o per adempiere, prima della conclusione del contratto, a
specifiche richieste dell’interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque, fermi restando i limiti e le modalità che le
leggi, i regolamenti o la normativa comunitaria stabiliscono per la
conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel
rispetto della vigente normativa in materia di segreto aziendale e
industriale;
2. Il consenso
2.2. Casi di esclusione:
e) è necessario per la salvaguardia della vita o dell’incolumità fisica di un
f)
g)
h)
i)
terzo;
è necessario ai fini dello svolgimento di investigazioni difensive, o,
comunque, per far valere o difendere un diritto in sede giudiziaria;
è necessario, nei casi individuati dal Garante, per perseguire un legittimo
interesse del titolare o di un terzo destinatario dei dati, anche in riferimento
all’attività di gruppi bancari e di società controllate o collegate;
è effettuato da associazioni, enti od organismi senza scopo di lucro, anche
non riconosciuti, in riferimento a soggetti che hanno con essi contatti
regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi
individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo;
è necessario, in conformità ai rispettivi codici di deontologia, per esclusivi
scopi scientifici o statistici, ovvero per esclusivi scopi storici.
3. La nomina del responsabile
1) facoltatività della nomina (che deve essere effettuata per iscritto ed accettata
2)
3)
4)
5)
dal soggetto cui è conferita la funzione, e può ricadere su una persona fisica o
giuridica, anche non facente parte dell’organizzazione del titolare);
sua individuazione tra soggetti che per esperienza, capacità ed affidabilità
forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
possibilità di designare responsabili più soggetti, anche mediante suddivisione
di compiti, per esigenze organizzative;
specificazione analitica dei compiti affidati al responsabile, che deve avvenire
per iscritto;
svolgimento della funzione di responsabile in conformità alle istruzioni
impartite dal titolare il quale vigila, anche tramite verifiche periodiche, sulla
puntuale osservanza delle disposizioni in materia di trattamento dei dati e
delle proprie istruzioni.
4. La nomina degli incaricati
1) le operazioni di trattamento possono essere effettuate (oltre che dal
titolare e dal responsabile) anche da incaricati che operano sotto la
diretta autorità del titolare o del responsabile, attenendosi alle
istruzioni impartite;
2) la designazione dell’incaricato deve essere effettuata:
- per iscritto, con individuazione puntuale dell’ambito del trattamento
consentito;
- oppure tramite documentata preposizione della persona fisica ad un’unità
per la quale è individuato, per iscritto, l’ambito del trattamento consentito
agli addetti all’unità medesima;
3) pur non essendo previsto dal codice, è opportuno che l’atto di nomina
o quello di preposizione di una persona ad una determinata unità sia
sottoscritto, per accettazione, dall’incaricato.
Misure di sicurezza:
Sono disciplinate sia nel testo del codice (artt. 31-36)
che dal Disciplinare Tecnico contenuto nell’allegato B.
1. La regola generale
Il Titolare del trattamento deve adottare idonee e preventive
misure di sicurezza per ridurre al minimo i rischi di:
a) distruzione/ perdita dei dati;
b) accesso non autorizzato;
c) trattamento non consentito o non conforme alla finalità della raccolta.
Misure di sicurezza:
2. Le misure minime di sicurezza
Di adozione obbligatoria, sono necessarie ma non sufficienti, nel
senso che il titolare è comunque tenuto a garantire la sicurezza
dei dati con strumenti idonei in relazione al caso concreto e ne
risponde sia penalmente che civilmente.
Le misure di sicurezza si distinguono a seconda che il trattamento
sia effettuato o meno con l’ausilio di mezzi elettronici.
Qualora siano trattati dati sensibili sono previste misure ulteriori.
2.1. Trattamento con strumenti elettronici
Misure minime di sicurezza per tutti i trattamenti
a)
b)
c)
d)
e)
f)
g)
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell’individuazione dell’ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti
illeciti, accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, ripristino
della disponibilità di dati e sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza.
2.1. Trattamento con strumenti elettronici
Misure minime di sicurezza per tutti i trattamenti
Autenticazione è l’identificazione di chi effettua il trattamento.
Credenziali per l’autenticazione sono i mezzi attraverso i quali è effettuata
l’identificazione, che solitamente sono:
a) la parola chiave, esclusiva, può essere conosciuta solo dall’incaricato e
deve essere cambiata ogni sei mesi, tre mesi se sono trattati dati sensibili.
Le modalità per accedere al computer in assenza dell’incaricato devono
essere prestabilite dal titolare per iscritto e devono osservare determinate
regole stabilite dall’Allegato B al codice;
b) il codice identificativo personale, esclusivo.
Profilo di autorizzazione è l’individuazione dei trattamenti consentiti a ciascun
incaricato e dei dati che ne costituiscono l’oggetto, che deve essere fatta
preventivamente al trattamento per iscritto, essere limitata ai dati il cui
trattamento è necessario, e riverificata con cadenza almeno annuale.
2.1. Trattamento con strumenti elettronici
Misure minime di sicurezza per tutti i trattamenti
La protezione contro il rischio di intrusione di programmi pirata è da
assicurarsi con programmi da aggiornarsi con cadenza almeno semestrale.
I programmi volti a prevenire le vulnerabilità degli strumenti e a correggerne i
difetti devono essere aggiornati con cadenza almeno annuale, semestrale se
sono trattati dati sensibili.
Deve essere assicurato il salvataggio dei dati con frequenza almeno
settimanale.
La tenuta di un aggiornato documento programmatico sulla sicurezza è ora
prevista a carico di tutti i titolari di trattamenti di dati personali. Il Titolare deve
riferire nella Relazione accompagnatoria del bilancio d’esercizio, se dovuta,
l’intervenuta redazione o l’aggiornamento del documento programmatico sulla
sicurezza.
2.1. Trattamento con strumenti elettronici
Misure ulteriori per il trattamento di dati sensibili
Oltre a tutte le misure elencate sopra, sono inoltre necessarie:
a) tecniche di cifratura o codici identificativi per determinati trattamenti di dati idonei
a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari;
b) redazione del documento programmatico sulla sicurezza entro il 31 marzo di ogni
anno, contenente le informazioni elencate nell’allegato B al Codice (art. 19);
c) idonei strumenti elettronici di protezione contro accessi abusivi;
d) regole per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati;
e) distruzione dei supporti non utilizzati o cancellazione in modo tecnicamente non
ricostruibile dei dati ivi memorizzati;
f) misure per assicurare il ripristino dell’accesso ai dati da parte degli interessati in
caso di danneggiamento dei dati o degli strumenti in tempi compatibili con i diritti
degli interessati e comunque non oltre sette giorni;
g) ottemperanza a regole particolari dettate dall’allegato B art. 24 per i trattamenti
effettuati da organismi sanitari ed esercenti professioni sanitarie.
2.2. Trattamento senza strumenti elettronici
Misure minime di sicurezza
a)
b)
c)
aggiornamento periodico - almeno annuale - dell’individuazione
dell’ambito del trattamento consentito ai singoli incaricati o alle unità
organizzative. Agli incaricati devono essere impartite istruzioni scritte;
previsione di procedure per un’idonea custodia di atti e documenti
affidati agli incaricati per lo svolgimento dei relativi compiti;
previsione di procedure per la conservazione di determinati atti, in
particolare quelli contenenti dati sensibili, in archivi ad accesso
selezionato e disciplina delle modalità d’accesso finalizzata
all’identificazione degli incaricati che lo effettuano.
Nota bene:
se per l’implementazione delle misure di sicurezza il titolare si
avvale di un soggetto esterno, l’installatore dovrà descrivere per
iscritto l’intervento e attestarne la conformità al disciplinare tecnico
allegato al codice.