CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI D.Lgs. 30 giugno 2003 n. 196 Entrato in vigore il 1° gennaio 2004 sostituisce L. 675/96; Recepisce: 1) giurisprudenza del Garante per la protezione dei dati personali; 2) Direttive Parlamento Europeo n. 95/46/CE e n. 2002/58/CE FINALITA’ DELLA NORMAZIONE • FISSARE PRINCIPIO DI DIRITTO • QUALIFICARE I DATI (OGGETTO DELLA • • • NORMATIVA) INDIVIDUARE I SOGGETTI RESPONSABILI DEL TRATTAMENTO DEI DATI UNIFORMARE LE TIPOLOGIE DI TRATTAMENTO CREARE NUOVE FIGURE DI REATO LEGATE AL MANCATO RISPETTO DELLA LEGGE (NULLUM CRIMEN SINE LEGE) PRINCIPIO DI DIRITTO (art. 1) • DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI prerogativa fondamentale della persona introdotto nell’ordinamento in attuazione art. 8 Carta dei diritti fondamentali dell’Unione Europea del 7/12/00. Diritto del titolare di conoscere e controllare la circolazione delle informazioni che lo riguardano TIPOLOGIE DI DATI DATI PERSONALI Qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale DATI PERSONALI DATI IDENTIFICATIVI DATI SENSIBILI Informazioni personali non sensibili: es. nome, cognome, P.IVA, C.F., indirizzo, composizione familiare professione etc. etc. Idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o d’altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico o sindacale, nonché i dati idonei a rivelare lo stato di salute e la vita sessuale DATI SENSIBILI Idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o d’altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico o sindacale, nonché i dati idonei a rivelare lo stato di salute e la vita sessuale DATO ANONIMO Dato che in origine, o a seguito di trattamento, non può essere associato ad un interesse identificato o identificabile DATI GIUDIZIARI Tutte le informazioni idonee a rivelare i provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reato nonché dei carichi pendenti; La qualità di indagato o imputato I provvedimenti giudiziari ed amministrativi relativi all’espulsione dello straniero SOGGETTI SOTTOPOSTI NORMATIVA PRIVACY La norma non li elenca ma pone la propria operatività in modo molto ampio - Trattamento dati personali anche detenuti all’estero effettuato da chiunque soggetto alla sovranità dello stato italiano: - Solo per persone fisiche per fini esclusivamente personali si applica se dati destinati a comunicazione sistematica o diffusione SOGGETTI SOTTOPOSTI NORMATIVA PRIVACY - In ogni caso si applicano le disposizioni in materia di responsabilità e sicurezza dei dati (misure minime di sicurezza e responsabilità civile ex art. 2050 c.c.) IN BREVE TUTTI COLORO CHE “MANEGGIANO” UNO O PIU’ ARCHIVI PERSONALI PER MOTIVI DI LAVORO O COMUNQUE PER MOTIVI NON STRETTAMENTE PERSONALI, SONO SOGGETTI ALLA LEGGE E OBBLIGATI A RISPETTARNE I PRECETTI IN BREVE DAL SINGOLO PROFESSIONISTA CHE IN UN PICCOLO STUDIO GESTISCE UN ARCHIVIO CLIENTI CARTACEO COSTITUITO DA POCHI DATI, ALLA GRANDE AZIENDA OVVERO ALLA PUBBLICA AMMINISTRAZIONE CHE GESTISCE MIGLIAIA DI DATI ATTRAVERSO COMPLESSE RETI INFORMATICHE DI ENORMI DIMENSIONI TRATTAMENTO Qualunque operazione o complesso di operazioni, effettuate anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consulatzione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione TRATTAMENTO la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. La legge definisce alcuni soggetti sulla base del loro rapporto con i dati e con il trattamento TITOLARE PERSONA FISICA, GIURIDICA, P.A. O ALTRO ENTE CUI COMPETONO, ANCHE UNITAMENTE AD ALTRO TITOLARE, LE DECISIONI IN ORDINE ALLE FINALITA’ ALLE MODALITA’ DEL TRATTAMENTO DEI DATI PERSONALI E AGLI STRUMENTI UTILIZZATI SICUREZZA COMPRESA TITOLARE IL PROFESSIONISTA IL QUALE ASSUME IN PROPRIO LE DECISIONI CIRCA LA RACCOLTA E LA GESTIONE DEI DATI PERSONALI E’ COLUI SUL QUALE GRAVA PER INTERO LA RESPONSABILITA’ CIVILE, PENALE E AMMINISTRATIVA DERIVANTE DAL TRATTEMENTO MEDESIMO TITOLARE IL PROFESSIONISTA INSERITO NELLA P.A. O IN ALTRI ENTI O ASSOCIAZIONI E’ CONTITOLARE OVVERO RESPONSABILE DEL TRATTAMENTO A SECONDA DEL SUO GRADO DI DISCREZIONALITA’ IN ORDINE ALLE DECISIONI CIRCA FINALITA’ E MODALITA’ DEL TRATTAMENTO DEI DATI PERSONALI RESPONSABILE DEL TRATTAMENTO PERSONA FISICA, GIURIDICA, P.A. O ALTRO ENTE PREPOSTI DAL TITOLARE AL TRATTAMENTO DEI DATI PERSONALI IL RESPONSABILE DEVE ACCERTARSI SULLA BASE DELLE ISTRUZIONI IMPARTITE DAL TITOLARE CHE IL TRATTAMENTO DEI DATI AVVENGA NEL PIENO RISPETTO DELLE NORME RESPONSABILE DEL TRATTAMENTO NON OBBLIGATORIO NOMINA PER ISCRITTO ASSUNZIONE RESPONSABILITA’ INDICAZIONE NELL’INFORMATIVA INCARICATI PERSONE FISICHE AUTORIZZATE A COMPIERE OPERAZIONI DI TRATTAMENTO DAL TITOLARE O RESPONSABILE CHE PER LAVORO SI TROVINO IN QUOTIDIANO CONTATTO CON GLI ARCHIVI PERSONALI (SEGRETARI, LAVORATORI SUBORDINATI, COLLABORATORI, PRATICANTI) NOMINA PER ISCRITTO INTERESSATO PERSONA FISICA, GIURIDICA, ENTE O ASSOCIAZIONE CUI I DATI PERSONALI SI RIFERISCONO CLIENTE I CUI DATI, A SEGUITO DI UNA PRESTAZIONE PROFESSIONALE, VENGONO ARCHIVIATI NEL SISTEMA INFORMATICO O CARTACEO DELLO STUDIO PROFESSIONALE SANZIONI PENALI • Trattamento illecito dei dati al fine di trarne • • • profitto arrecando ad altri un danno; Falsità nelle dichiarazioni e notificazioni al Garante; Omissione nell’adozione delle misure di sicurezza; Inosservanza dei provvedimenti del Garante SANZIONI PENALI • Artt. 113 e 114 rimandano all’art. 38 L. 20/5/70 n. 300 (statuto dei lavoratori) circa i divieti di raccolta dati eccedenti il pertinente da parte del datore di lavoro e sul divieto di invadere la sfera privata nel lavoro a distanza o telelavoro SANZIONI AMMINISTRATIVE • Omessa o incompleta notificazione; • Omessa o inidonea informativa all’interessato; • Omessa informazione o esibizione al garante; • Cessione dei dati contro art. 16 comma 1 lett. b) SANZIONI CIVILI • TRATTAMENTO DATI PERSONALI EQUIPARATO AD ATTIVITA’ PERICOLOSA, RESPONSABILITA’ CIVILE EX ART. 2050 C.C.