Struttura del codice sulla privacy: I parte (Disposizioni generali) riguardanti le regole sostanziali della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, nonché le regole specifiche che si devono osservare per i trattamenti effettuati da soggetti pubblici e quelle che trovano applicazione per i trattamenti effettuati da soggetti privati e da enti pubblici economici (artt. da 1 a 45). II parte (Disposizioni per specifici settori) si applicano a particolari trattamenti, ad integrazione o eccezione delle disposizioni generali contenute nella I^ parte (artt. da 46 a 140). III parte (Tutele e sanzioni) contenente disposizioni relative alle azioni di tutela dell’interessato ed al sistema sanzionatorio (artt. da 141 a 172), nonché le norme di modifica, finali e di carattere transitorio (artt. da 173 a 186). Consult Italia Srl
Finalità del codice: - Il codice garantisce a chiunque il diritto alla protezione dei propri dati personali e assicura che il trattamento degli stessi si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, in particolare del diritto alla riservatezza. La tutela è riconosciuta non solo alle persone fisiche ma anche a quelle giuridiche; la sfera dei diritti fondamentali, eventualmente riconosciuti in altra sede dall’ordinamento alle persone fisiche, viene in tal modo ampliata anche a soggetti diversi dalle persone fisiche (art. 1). - Viene introdotto il “principio di semplificazione nell’elevata tutela” secondo il quale l’elevato grado di tutela dei diritti è assicurato nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità con le quali sono esercitati i medesimi diritti o devono essere adempiuti gli obblighi previsti a carico dei titolari del trattamento (art. 2).
Ambito di applicazione: Si applica - al trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato; - al trattamento di dati personali effettuato da qualunque soggetto stabilito in un Paese non appartenente all’U.E. che impieghi strumenti situati nel territorio dello Stato anche diversi da quelli elettronici. Non si applica - al trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali (salvo che i dati siano destinati ad una comunicazione sistematica o alla diffusione). In ogni caso trovano applicazione le norme generali in tema di responsabilità e di sicurezza dei dati Consult Italia Srl
“Dati identificativi” Definizioni: “Trattamento” qualunque operazione (o complesso di operazioni), effettuata anche senza l'ausilio di strumenti elettronici, concernente la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati [art. 4, lett. a)] “Dato personale” qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale [art. 4, lett. b)] “Dati identificativi” i dati personali che consentono di identificare direttamente l’interessato, (al contrario del “dato anonimo”, ovverosia quel dato che, in origine o a seguito di trattamento, non può essere associato ad un soggetto identificato o identificabile) [art. 4, lett. c) ed n)]
Definizioni: “Dati giudiziari” i dati idonei a rivelare l’esistenza di provvedimenti giudiziari penali di condanna definitivi, la qualità di imputato o di indagato, etc. [art. 4, lett. e)] “Titolare” la persona fisica o la persona giuridica, la P.A. e qualsiasi altro ente, associazione od organismo nel suo complesso, cui compete (anche unitamente ad altro titolare) un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento di dati personali e degli strumenti utilizzati, compreso il profilo della sicurezza [art. 4, lett. f) ed art. 28] “Responsabile” la persona fisica, la persona giuridica, la P.A. e qualsiasi altro ente, associazione od organismo, facoltativamente preposto dal titolare al trattamento di dati personali, individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto della disciplina in materia di trattamento [art. 4, lett. g) ed art. 29]
Definizioni: “Incaricati” le persone fisiche, autorizzate (per iscritto e con una puntuale individuazione dell’ambito del trattamento consentito) a compiere operazioni di trattamento dal titolare o dal responsabile, che operano sotto la diretta autorità di costoro [art. 4, lett. h) ed art. 30] “Interessato” la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali [art. 4, lett. i)] “Dati sensibili” i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale [art. 4, lett. d)]
I diritti dell’interessato: Diritto di ottenere - la conferma dell’esistenza di dati personali, anche se non ancora registrati, e la loro comunicazione in forma intelligibile - l’indicazione delle finalità e delle modalità del loro trattamento - la logica applicata in caso di trattamento con strumenti elettronici - gli estremi identificativi del titolare, del responsabile (e del rappresentante designato ai sensi dell’art. 5, comma 2) - i soggetti o le categorie di soggetti a cui possono essere comunicati i dati o che possono venirne a conoscenza in qualità di responsabile, di incaricato (o di rappresentante designato nel territorio dello Stato) - l’aggiornamento, la rettifica e l’integrazione dei dati, la loro cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge - l’attestazione che tali operazioni sono state portate a conoscenza degli eventuali soggetti cui i dati erano stati comunicati Diritto di opporsi - al trattamento dei dati personali che lo riguardano per motivi legittimi - al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario, di direct marketing o per il compimento di indagini di mercato Consult Italia Srl
Adempimenti: informativa il titolare ha l’obbligo di informare previamente, per iscritto od anche oralmente, l'interessato o la persona presso cui sono raccolti i dati personali circa le modalità ed i fini del loro utilizzo (art. 13) consenso il trattamento dei dati personali non può essere effettuato senza il consenso espresso dell’interessato (art. 23 e ss.) nomina del responsabile il titolare ha la facoltà di designare un responsabile che vigili sulla puntuale osservanza della disciplina sulla privacy (art. 29) nomina incaricati il trattamento dei dati può essere effettuato dai dipendenti solo se incaricati per iscritto e con puntuale individuazione del trattamento consentito (art. 30) notificazione in determinate ipotesi residuali il titolare ha l’obbligo di segnalare all’autorità i trattamenti di dati che intende effettuare (art. 37 e ss.)
1. L’informativa 1.1. Requisiti: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti (o le categorie di soggetti) a cui possono essere comunicati i dati personali o che possono venirne a conoscenza in qualità di membri della “filiera del trattamento” del titolare (responsabili e incaricati), nonché l’ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designato, del responsabile (e del rappresentante nel territorio dello Stato); - ulteriori elementi indicati dal codice in caso di determinati trattamenti.
1. L’informativa 1.2. Casi di esclusione: Nel caso in cui i dati personali non siano raccolti presso l’interessato, l’obbligo dell’informativa è escluso se: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento di investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l’informativa all’interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile. … diversamente l’informativa dovrà essere fornita all’interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione.
2. Il consenso 2.1. Requisiti: a) deve essere necessariamente espresso dall’interessato affinché il titolare possa procedere al trattamento di dati personali; b) può riguardare l’intero trattamento ovvero una o più operazioni dello stesso; c) è validamente prestato solo se: - è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato; - è documentato per iscritto (quando il trattamento riguarda dati sensibili deve essere manifestato per iscritto); - è stata resa all'interessato l’informativa di cui all'articolo 13.
2. Il consenso 2.2. Casi di esclusione: Oltre che nei casi previsti nella Parte II il consenso non è richiesto quando il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati; d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
2. Il consenso 2.2. Casi di esclusione: e) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo; f) è necessario ai fini dello svolgimento di investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria; g) è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate; h) è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo; i) è necessario, in conformità ai rispettivi codici di deontologia, per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici.
3. La nomina del responsabile 1) facoltatività della nomina (che deve essere effettuata per iscritto ed accettata dal soggetto cui è conferita la funzione, e può ricadere su una persona fisica o giuridica, anche non facente parte dell’organizzazione del titolare); 2) sua individuazione tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza; 3) possibilità di designare responsabili più soggetti, anche mediante suddivisione di compiti, per esigenze organizzative; 4) specificazione analitica dei compiti affidati al responsabile, che deve avvenire per iscritto; 5) svolgimento della funzione di responsabile in conformità alle istruzioni impartite dal titolare il quale vigila, anche tramite verifiche periodiche, sulla puntuale osservanza delle disposizioni in materia di trattamento dei dati e delle proprie istruzioni.
4. La nomina degli incaricati 1) le operazioni di trattamento possono essere effettuate (oltre che dal titolare e dal responsabile) anche da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite; 2) la designazione dell’incaricato deve essere effettuata: - per iscritto, con individuazione puntuale dell’ambito del trattamento consentito; - oppure tramite documentata preposizione della persona fisica ad un’unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima; 3) pur non essendo previsto dal codice, è opportuno che l’atto di nomina o quello di preposizione di una persona ad una determinata unità sia sottoscritto, per accettazione, dall’incaricato. Consult Italia Srl
Misure di sicurezza: 1. La regola generale Sono disciplinate sia nel testo del codice (artt. 31-36) che dal Disciplinare Tecnico contenuto nell’allegato B. 1. La regola generale Il Titolare del trattamento deve adottare idonee e preventive misure di sicurezza per ridurre al minimo i rischi di: a) distruzione/ perdita dei dati; b) accesso non autorizzato; c) trattamento non consentito o non conforme alla finalità della raccolta. Consult Italia Srl
Misure di sicurezza: 2. Le misure minime di sicurezza Di adozione obbligatoria, sono necessarie ma non sufficienti, nel senso che il titolare è comunque tenuto a garantire la sicurezza dei dati con strumenti idonei in relazione al caso concreto e ne risponde sia penalmente che civilmente. Le misure di sicurezza si distinguono a seconda che il trattamento sia effettuato o meno con l’ausilio di mezzi elettronici. Qualora siano trattati dati sensibili sono previste misure ulteriori. Consult Italia Srl
2.1. Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti, accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, ripristino della disponibilità di dati e sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza.
2.1. Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti Autenticazione è l’identificazione di chi effettua il trattamento. Credenziali per l’autenticazione sono i mezzi attraverso i quali è effettuata l’identificazione, che solitamente sono: a) la parola chiave, esclusiva, può essere conosciuta solo dall’incaricato e deve essere cambiata ogni sei mesi, tre mesi se sono trattati dati sensibili. Le modalità per accedere al computer in assenza dell’incaricato devono essere prestabilite dal titolare per iscritto e devono osservare determinate regole stabilite dall’Allegato B al codice; b) il codice identificativo personale, esclusivo. Profilo di autorizzazione è l’individuazione dei trattamenti consentiti a ciascun incaricato e dei dati che ne costituiscono l’oggetto, che deve essere fatta preventivamente al trattamento per iscritto, essere limitata ai dati il cui trattamento è necessario, e riverificata con cadenza almeno annuale.
2.1. Trattamento con strumenti elettronici Misure minime di sicurezza per tutti i trattamenti La protezione contro il rischio di intrusione di programmi pirata è da assicurarsi con programmi da aggiornarsi con cadenza almeno semestrale. I programmi volti a prevenire le vulnerabilità degli strumenti e a correggerne i difetti devono essere aggiornati con cadenza almeno annuale, semestrale se sono trattati dati sensibili. Deve essere assicurato il salvataggio dei dati con frequenza almeno settimanale. La tenuta di un aggiornato documento programmatico sulla sicurezza è ora prevista a carico di tutti i titolari di trattamenti di dati personali. Il Titolare deve riferire nella Relazione accompagnatoria del bilancio d’esercizio, se dovuta, l’intervenuta redazione o l’aggiornamento del documento programmatico sulla sicurezza.
2.1. Trattamento con strumenti elettronici Misure ulteriori per il trattamento di dati sensibili Oltre a tutte le misure elencate sopra, sono inoltre necessarie: a) tecniche di cifratura o codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari; b) redazione del documento programmatico sulla sicurezza entro il 31 marzo di ogni anno, contenente le informazioni elencate nell’allegato B al Codice (art. 19); c) idonei strumenti elettronici di protezione contro accessi abusivi; d) regole per la custodia e l’uso dei supporti rimovibili su cui sono memorizzati i dati; e) distruzione dei supporti non utilizzati o cancellazione in modo tecnicamente non ricostruibile dei dati ivi memorizzati; f) misure per assicurare il ripristino dell’accesso ai dati da parte degli interessati in caso di danneggiamento dei dati o degli strumenti in tempi compatibili con i diritti degli interessati e comunque non oltre sette giorni; g) ottemperanza a regole particolari dettate dall’allegato B art. 24 per i trattamenti effettuati da organismi sanitari ed esercenti professioni sanitarie.
2.2. Trattamento senza strumenti elettronici Misure minime di sicurezza a) aggiornamento periodico - almeno annuale - dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative. Agli incaricati devono essere impartite istruzioni scritte; b) previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti, in particolare quelli contenenti dati sensibili, in archivi ad accesso selezionato e disciplina delle modalità d’accesso finalizzata all’identificazione degli incaricati che lo effettuano. Nota bene: se per l’implementazione delle misure di sicurezza il titolare si avvale di un soggetto esterno, l’installatore dovrà descrivere per iscritto l’intervento e attestarne la conformità al disciplinare tecnico allegato al codice. Consult Italia Srl