D.lgs. 30 Giugno 2003 n. 196 Codice della privacy Il Codice della privacy - in vigore dal 1° gennaio 2004 - riunisce in un Testo Unico la nota legge 675/1996 ora abrogata - e gli altri decreti legislativi disciplinanti trattamenti di dati personali in particolari settori, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene altresì rilevanti innovazioni tenendo conto dei più importanti provvedimenti e decisioni adottati dall’Autorità Garante per la protezione dei dati personali e della direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Struttura del Codice della Privacy Il Codice è diviso in tre parti: la prima (artt. 1-45) dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato. Struttura del Codice della Privacy la seconda (artt. 46- 140) è la parte speciale dedicata a specifici settori: questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti debitori), completa anche la disciplina attesa da tempo per il settore degli organismi sanitari e quella dei controlli sui lavoratori. Struttura del Codice della Privacy la terza (artt. 141-186) affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all'Ufficio del Garante. Notificazione del trattamento (art. 37) Una delle principali semplificazioni riguarda l’adempimento della notificazione al Garante, ovvero dell’atto con cui l'impresa, il professionista o la pubblica amministrazione segnala all'Autorità i trattamenti di dati che si intendono effettuare. Mentre con l'originale impianto della legge 675/1996, e le successive modificazioni, dovevano notificare tutti i soggetti non esplicitamente esentati, nel testo unico si rovescia l'impostazione e si indicano solo i pochi casi nei quali la notifica va effettuata. Casi di notificazione obbligatoria Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; Casi di notificazione obbligatoria b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; Casi di notificazione obbligatoria c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; Casi di notificazione obbligatoria d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; Casi di notificazione obbligatoria e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. Altri casi di notificazione del trattamento (art. 17) Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, o per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, prescritti dal Garante nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare. Deroghe ai casi di notificazione obbligatoria (art. 37. co. 2) Il Garante può anche individuare, con proprio provvedimento pubblicato sulla G.U., casi che pur rientrando nell’elencazione tassativa di trattamenti di dati personali per cui è obbligatoria la notificazione non sono comunque suscettibili di recare un effettivo pregiudizio all’interessato, e può dunque disporre l’esonero dall’obbligo di notificazione. Modalità della Notificazione del trattamento La notificazione: 1. è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati; 2. è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate. Modalità della Notificazione del trattamento 3. la notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante, se è sottoscritta con firma digitale e corredata della conferma del ricevimento della notificazione. 4. una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima. Disciplina delle notificazioni già effettuate Tutti i soggetti tenuti alla notifica sono obbligati all'adempimento previsto sia nel caso che inizino il trattamento ora sia nel caso di trattamento già in essere alla data di entrata in vigore del Codice. Anche chi ha già effettuato in passato la notifica al garante (rispettando la vecchia legge 675/96) deve rifarla se si trova nelle condizioni previste dall'articolo 37 del Codice della privacy. Disciplina delle notificazioni già effettuate La notificazione va ripetuta utilizzando esclusivamente il modello telematico reperibile sul sito ufficiale del garante (www.garanteprivacy.it) da inviare, sottoscritto con firma digitale, in via telematica. Per i casi in cui la notificazione già effettuata va ripetuta in via telematica il termine ultimo è quello del 30 aprile 2004. Il costo degli adempimenti è di circa 150 euro per ogni notifica. . Acquisizione della firma digitale La sottoscrizione del modello di notificazione con firma digitale è obbligatoria. Chi non dispone della firma digitale la deve ottenere da un ente convenzionato con il Garante (attualmente le Poste) prima di cominciare il trattamento, onde evitare le sanzioni amministrative previste dal Codice per omessa o incompleta notifica. Chi invece dovesse rendere dichiarazioni false va incontro a sanzioni penali. Obblighi per soggetti non tenuti alla notificazione Il titolare del trattamento che non è tenuto alla notificazione deve comunque fornire tutte le informazioni richieste dal modello di notificazione a chiunque ne faccia richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Informativa agli Interessati (art. 13) 1.Rimane fermo l'adempimento dell'informativa agli interessati preventiva al trattamento dei dati personali. 2. Il Garante può individuare modalità semplificate per l’informativa all’interessato, in particolare quando essa è resa da call-center. Informativa agli Interessati (art. 13) 3. In attuazione di una specifica previsione della direttiva europea n. 95/46, quando l’informativa riguarda dati non raccolti presso l’interessato, essa deve contenere anche le "categorie di dati trattati". 4. Il Garante può prescrivere misure appropriate a garanzia dell’interessato quando l’informativa non è dovuta perché comporta un impiego di mezzi che il Garante stesso giudichi manifestamente sproporzionati o Consenso (art. 23) Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. Consenso (art. 23) Il consenso: 1. può riguardare l'intero trattamento ovvero una o più operazioni dello stesso; 2. è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13; 3. è manifestato in forma scritta quando il trattamento riguarda dati sensibili. Consenso (art. 23) Il Codice della Privacy sviluppa il principio del bilanciamento degli interessi con uno snellimento degli adempimenti a carico delle aziende. L'area del consenso viene sostanzialmente confermata per ipotesi già esistenti (artt. 11, 12 e 20 della legge 675/1996), con la previsione di alcune altre ipotesi di esonero con riferimento a settori specifici. Consenso (art. 23) L’utilizzo dei dati per perseguire un legittimo interesse del titolare con particolare riferimento all’attività dei gruppi bancari e per i trattamenti effettuati da associazioni no profit con riferimento a soci e aderenti può essere effettuato senza la richiesta preventiva di consenso. Consenso (art. 23) Per quanto riguarda i riguarda i dati comuni, il Codice chiarisce meglio che il consenso al trattamento dei dati personali deve essere “espresso liberamente e specificamente in riferimento al trattamento chiaramente individuato,” e non solo reso “in forma specifica”, in linea con quanto già richiesto dalla direttiva europea 95/46. Casi in cui il trattamento può essere effettuato senza consenso L’articolo 24 del Codice riunisce in una unica disposizione tutte le previgenti norme della L. 675/1996 che autorizzano il trattamento di dati personali anche in assenza del consenso, unificando i previgenti articoli 12 e 20 della legge n. 675/1996 e dettando una unica disciplina anche per quanto riguarda la comunicazione o diffusione dei dati personali non basata sul previo consenso. Deroghe al consenso di interesse per le imprese E’ stato meglio specificato il presupposto di liceità del trattamento in assenza di consenso relativo alla sussistenza di un obbligo legale, riferita ora correttamente alla necessità di adempiere comunque ad un obbligo previsto dalla legge, e non più solo al caso di "dati raccolti e detenuti" in base al medesimo obbligo. Deroghe al consenso di interesse per le imprese Si è chiarito che il trattamento è consentito quando è comunque necessario per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato e non solo per eseguire “misure” precontrattuali su richiesta del medesimo interessato. Quest'ultimo intervento è ripetuto in maniera speculare nell'articolo 43 (già 28 della legge n. 675/1996), in relazione al trasferimento di Deroghe al consenso di interesse per le imprese Si è esteso l'esonero dall'obbligo di acquisire il consenso ai trattamenti in ambito “interno” effettuati da organismi "noprofit" anche in relazione a dati comuni, in conformità a quanto già previsto per i dati sensibili, a condizione che le modalità di utilizzo dei dati siano esplicitate in un'apposita determinazione resa nota agli associati con l'informativa (analoga condizione è stata inserita per i trattamenti Titolare del Trattamento Per quanto riguarda i soggetti che effettuano il trattamento, rispetto alla normativa previgente, l'art. 28 chiarisce che nel caso in cui il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da altro ente, “titolare” è l'entità nel suo complesso, oppure l'unità periferica che esercita un potere decisionale autonomo sulle finalità del trattamento, anziché la persona fisica incardinata nell'organo o preposta all'ufficio. Responsabile del Trattamento L'art. 29, per fugare ogni possibile dubbio interpretativo emerso in qualche caso, chiarisce ancor più che la nomina del responsabile è meramente facoltativa e compete al solo titolare. Responsabile del Trattamento Inoltre: 1. se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 2. ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 3. i compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare. Incaricati del Trattamento L’art. 30 chiarisce che alla designazione espressa e specifica degli incaricati - da effettuarsi in ogni caso per iscritto e con riguardo a specifiche mansioni - è "parificata" la preposizione della persona fisica ad una unità organizzativa per la quale sia individuato per iscritto l'ambito del trattamento consentito agli addetti ivi preposti. Tale previsione rappresenta un’indubbia forma di semplificazione dell'adempimento per i titolari o Incaricati del Trattamento Inoltre: 1. le operazioni di trattamento possono essere effettuate solo da incaricati persone fisiche che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. la designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Violazioni Amministrative Art. 161 Omessa o inidonea informativa all'interessato Sanzione amministrativa da 3.000 a 18.000 Euro Sanzione amministrativa da 5.000 a 30.000 Euro per omessa informativa nei trattamenti di dati sensibili o giudiziari, per trattamenti che presentano rischi specifici o per grave pregiudizio dell’interessato. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore. Violazioni Amministrative Art. 163 Omessa o incompleta notificazione Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. Violazioni Amministrative Art. 164 Omessa informazione o esibizione al Garante Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattromila euro. Per tutte le violazioni amministrative menzionate dal Codice può applicarsi la sanzione accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali. Sanzioni Penali Art. 167 Trattamento illecito di dati Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione del Codice relativamente a: a) principi applicabili ai trattamenti di dati ordinari; b) norme sul consenso; Sanzioni Penali Art. 167 Trattamento illecito di dati c) norme sul trattamento di dati relativi al traffico telefonico o a servizi di comunicazione elettronica; d) norme su comunicazioni elettroniche non sollecitate; è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Sanzioni Penali Art. 167 Trattamento illecito di dati Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione del Codice relativamente a: Sanzioni Penali Art. 167 Trattamento illecito di dati a) principi applicabili ai trattamenti che presentano rischi specifici e requisiti dei dati; b) principi applicabili al trattamento di dati sensibili o giudiziari, incluse le operazioni di comunicazione o diffusione ; c) norme su trasferimenti all’estero dei dati personali, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Sanzioni Penali Art.168 Falsità nelle dichiarazioni e notificazioni al Garante Chiunque, nella notificazione o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni. Sanzioni Penali Art. 169 Misure di sicurezza Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. E’ comunque previsto un un termine per la regolarizzazione. Se risulta l'adempimento, l'autore del reato può pagare una somma pari al quarto del massimo dell'ammenda, estinguendo il reato. Sanzioni Penali Art.170 Inosservanza di provvedimenti del Garante Chiunque, essendovi tenuto, non osserva taluni provvedimenti adottati dal Garante è punito con la reclusione da tre mesi a due anni. Sanzioni per illecito trattamento dei dati dei lavoratori I trattamenti di dati personali dei lavoratori che costituiscono violazione degli articoli 8 (Divieto di indagini sulle opinioni dei lavoratori) e 4 (Controllo a distanza dei lavoratori)dello Statuto dei Lavoratori (L. 300/1970) è punita ai sensi dell’articolo 38 della medesima L. 300/1970. Sanzioni per illecito trattamento dei dati dei lavoratori In tali casi, il reato è punito, salvo che il fatto non costituisca più grave reato, con l'ammenda da € 51,16 ad € 516 o con l'arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente. Quando, per le condizioni economiche del reo, l'ammenda può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo. Responsabilità Civile Art. 15 Danni cagionati per effetto del trattamento Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione delle norme del Codice che fissano le prescrizioni in materia di modalità del trattamento e requisiti dei dati. Le norme del Codice sui rapporti di lavoro Titolo VII - Lavoro e Previdenza sociale. Capo I - Profili generali. Art.111 Codice di deontologia e di buona condotta. Art.112 Finalità di rilevante interesse pubblico. Capo II - Annunci di lavoro e dati riguardanti prestatori di lavoro. Art.113 Raccolta di dati e pertinenza. Le norme del Codice sui rapporti di lavoro Capo III - Divieto di controllo a distanza e telelavoro. Art.114 Controllo a distanza. Art.115 Telelavoro e lavoro a domicilio. Capo IV - Istituti di patronato e di assistenza sociale. Art.116 conoscibilità di dati su mandato dell'interessato. Il Codice Deontologico sul trattamento di dati nei rapporti di lavoro Il d.lgs 467/2001 prevede, tra gli altri, l’adozione di un codice deontologico relativo ai trattamenti di dati personali effettuati per finalità previdenziali o per la gestione del rapporto di lavoro, con previsione di specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalità di occupazione ed alla ricezione di curricula vitae contenenti dati personali anche Il Codice Deontologico sul trattamento di dati nei rapporti di lavoro Entro il 30 Giugno 2004 è prevista l’adozione di due codici: uno per le materie più specificamente lavoristiche, l’altro per i profili inerenti la previdenza sociale. I due codici deontologici di autoregolamentazione, alla cui stesura parteciperanno le organizzazioni rappresentative dei lavoratori e dei datori, completeranno l'architettura generale disegnata dal Codice della Privacy. Il Codice Deontologico sul trattamento di dati nei rapporti di lavoro Saranno confermate le tutele già previste dallo Statuto dei lavoratori in materia di riservatezza, potenziandole attraverso la disciplina di ulteriori ed attuali problematiche, quali ad esempio il trattamento dei dati dei terzi e il rapporto tra privacy e tutela giudiziaria. Principi del Codice deontologico 1. obbligatoria informativa ai dipendenti sull’installazione di apparecchiature di controllo; 2. negli annunci di lavoro dovrà essere inserito un facsimile per l'informativa e per la prestazione del consenso, o in alternativa dovrà essere indicato un sito Internet sul quale il facsimile sia agevolmente conoscibile; 3. semplificazione per la individuazione dei Controllo della e-mail dei lavoratori Il lavoratore deve usare l’e-mail aziendale come strumento per l’adempimento delle proprie mansioni e non per usi personali. I Garanti europei hanno segnalato l’opportunità di una policy aziendale che preveda l’assegnazione al lavoratore di due account di posta elettronica: uno aziendale (che è possibile per il datore di lavoro controllare) ed uno personale (con monitoraggio vietato). Monitoraggio uso di Internet ed intranet aziendali da parte del lavoratore Vale lo stesso principio: il lavoratore deve utilizzare le dotazioni aziendali nell’ambito e per gli scopi inerenti le proprie mansioni. La policy aziendale può essere tarata sulle Linee Guida Confindustria del 5 Luglio 2001. Trattamento di dati personali per scopi commerciali dell’azienda Principi generali L’indirizzo di posta elettronica è un dato personale soggetto al Codice della Privacy. Il Garante ha inoltre precisato che la pubblicità di alcuni indirizzi di posta elettronica, resi conoscibili attraverso i siti Internet, va collegata agli scopi per i quali questi indirizzi vengono resi noti dagli utenti. Trattamento di dati personali per scopi commerciali dell’azienda Principi generali Gli indirizzi di posta elettronica non sono sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque. La circostanza che l’indirizzo e-mail sia conoscibile di fatto, anche momentaneamente, da una pluralità di soggetti non lo rende, infatti, liberamente utilizzabile e non autorizza comunque l’invio di informazioni, di qualunque genere senza un preventivo consenso. Trattamento di dati personali per scopi commerciali dell’azienda Comunicazioni commerciali non sollecitate via e-mail (Consumatori - rapporti B2C) L’azienda deve ottenere il consenso preventivo del destinatario (sistema opt-in) inviando una prima e-mail neutra in cui si chiede l’autorizzazione ad inviare una seconda e-mail per la promozione di prodotti e/o servizi aziendali. Trattamento di dati personali per scopi commerciali dell’azienda Comunicazioni commerciali non sollecitate via e-mail (Consumatori - rapporti B2C) Se il destinatario dà il consenso, è possibile inviare l’e-mail promozionale, salvo sempre il diritto del destinatario di opporsi a successivi invii o di revocare il consenso. Riferimenti ulteriori: d.lgs 22 maggio 1999 n. 185 - art. 10. Trattamento di dati personali per scopi commerciali dell’azienda Comunicazioni commerciali non sollecitate via e-mail (Professionisti - rapporti B2B) Se il destinatario dell’e-mail promozionale non è un consumatore, non è necessario il consenso preventivo, ma sarà il destinatario a dover comunicare di non voler ricevere più messaggi promozionali (sistema opt-out). Riferimenti: d.lgs 14 Aprile 2003 n. 70 (recepimento Direttiva sul Commercio Elettronico). Comunicazioni commerciali indesiderate: art. 130 del Codice L'uso di sistemi automatizzati di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato è consentito con il consenso dell'interessato. Tale principio si applica anche alle comunicazioni elettroniche effettuate mediante e-mail, telefax, messaggi del tipo Mms o Sms o di altro tipo. Comunicazioni commerciali indesiderate: art. 130 del Codice Se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. Comunicazioni commerciali indesiderate: art. 130 del Codice L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente. Comunicazioni commerciali indesiderate: art. 130 del Codice E' vietato in ogni caso l'invio di comunicazioni commerciali o, comunque, a scopo promozionale, effettuato camuffando o celando l'identità del mittente o senza fornire un idoneo recapito presso il quale l'interessato possa esercitare i diritti di cui all'articolo 7 del Codice della Privacy. La violazione dell’art. 130 è sanzionata penalmente. Uso dei Cookies su siti web aziendali I cookies sono file che registrano tutti i movimenti dell'utente su Internet registrandone i movimenti corrispondenti ai siti visitati. Altre modalità di “tracciatura” della navigazione web (detta anche “clicktrail”) sono rappresentate dai cosiddetti “web beacons”. Si tratta di immagini elettroniche presenti all’interno di banner pubblicitari, messaggi di posta elettronica in formato HTML, etc che registrano la consultazione di determinate pagine web. Uso dei Cookies : art. 122 del Codice della privacy E’ vietato l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente. Uso dei Cookies : art. 122 del Codice della privacy Il codice di deontologia sul trattamento dei dati su reti di comunicazione elettronica individuerà i presupposti e i limiti entro i quali è consentito l'uso della rete per le finalità di cui alla precedente slide e per determinati scopi legittimi relativi alla memorizzazione tecnica dei dati per il tempo strettamente necessario alla trasmissione della comunicazione, o a fornire uno specifico servizio richiesto dall'abbonato o dall'utente. Uso dei Cookies : art. 122 del Codice della privacy L’abbonato o l'utente devono comunque esprimere il consenso sulla base di una previa informativa che indichi analiticamente, in modo chiaro e preciso, le finalità e la durata del trattamento finalizzato ad accedere a informazioni archiviate nell'apparecchio terminale, per archiviare informazioni o per monitorare le operazioni dell'utente o dell’abbonato. Utilizzo di impianti di videosorveglianza Art. 4 della L. 300/1970 (Statuto dei Lavoratori): divieto di controllo a distanza dei lavoratori. Articolo 134 del Codice della Privacy: il Garante promuove la sottoscrizione di un codice di deontologia per il trattamento dei dati personali effettuato con strumenti elettronici di rilevamento di immagini, prevedendo specifiche modalità di trattamento e forme semplificate di informativa all'interessato. Utilizzo di impianti di videosorveglianza Provvedimento del Garante 29 Novembre 2000: Decalogo sulla videosorveglianza. I dati personali sono rappresentati anche da immagini o da suoni, purchè atti a rendere indentificato od identificabile un soggetto. Trasferimento all’estero dei dati 1. Il trasferimento dei dati può avvenire verso Paesi appartenenti all’Unione Europea; 2. Il trasferimento dei dati può avvenire verso Paesi extra-UE; 3. Il trasferimento può essere temporaneo o definitivo e può avvenire in qualsiasi forma e con qualsiasi mezzo; Trasferimento all’estero dei dati 4. lo Stato di destinazione del trasferimento dei dati personali può essere: a) il Paese effettivamente destinatario dei dati; b) un Paese in cui i dati personali semplicemente transitano in vista del raggiungimento dello Stato destinatario finale. Trasferimento all’estero dei dati Riferimenti normativi Artt. 42-45 del Codice della Privacy. Autorizzazioni Generali del Garante al trasferimento verso determinati Paesi. Decisioni della Commissione UE sull’adozione delle clausole contrattuali standard per il trasferimento all’estero di dati personali. Trasferimento all’estero dei dati Clausole contrattuali standard Decisione della Commissione europea n. 2001/497/CE del 15 Giugno 2001 relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE. Trasferimento all’estero dei dati Clausole contrattuali standard Decisione della Commissione europea n. 2002/16/CE del 27 dicembre 2001 relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento residenti in paesi terzi, a norma della direttiva 95/46/CE. Trasferimento all’estero dei dati Clausole contrattuali standard Deliberazione del Garante italiano n. 35/2001 del 10 ottobre 2001 “Autorizzazione al trasferimento dei dati personali verso Paesi senza adeguato livello di protezione” che ha “attuato” la Decisione 2001/497/CEE. Trasferimento all’estero dei dati Clausole contrattuali standard Deliberazione del Garante italiano n. 3/2002 del 10 aprile 2002 “Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso responsabili del trattamento residenti in Paesi terzi, in conformità alla Decisione della Commissione europea del 27/12/2001, n. 2002/16/CE”. Avv. Alessandro del Ninno Responsabile del Dipartimento di Information & Communication Technology Studio Legale Tonucci Via Principessa Clotilde n. 700196 Roma e-mail: [email protected]