1 - Quali finalità si propone il Codice?
Le norme
del Codice della privacy, in aderenza alla disciplina dell'Unione
Europea, intendono garantire che il trattamento dei dati personali si
svolga nel rispetto dei diritti e delle libertà fondamentali (tutelati,
in generale, dalla Costituzione della Repubblica), nonché della dignità
delle persone fisiche, con particolare riferimento alla riservatezza e
all'identità personale.
La tutela si estende anche ai diritti delle persone giuridiche.
2- Che cos'è il
trattamento dei dati personali ?
Il trattamento dei dati personali è qualunque operazione o complesso di
operazioni svolte con o senza l'ausilio di strumenti elettronici, che
concerne le operazioni di:
-raccolta dei dati, -registrazione, -organizzazione, -conservazione,
-consultazione, -elaborazione, -blocco, -modificazione, -utilizzo,
-interconnessione, -comunicazione, -diffusione, -cancellazione,
-distruzione, -selezione, -estrazione, -raffronto.
3- Quali sono i dati
personali ?
I dati personali sono tutte le informazioni relative a persone fisiche o
giuridiche, oppure ad enti e associazioni, che consentano
l'identificazione diretta o indiretta di questi stessi soggetti.
Ad esempio, sono dati personali rientranti nelle previsioni del Codice,
oltre ai dati anagrafici ed economici, anche le immagini, i suoni e i
codici identificativi riconducibili a un individuo.
Esiste, inoltre, una categoria di dati - i cosiddetti dati sensibili -
attinenti alla sfera personalissima dei singoli (informazioni sulle
opinioni religiose o politiche, sulle abitudini sessuali, etc.), per i
quali la legge prevede una tutela più forte rispetto agli altri.
Il trattamento di dati giudiziari, cioè i dati personali idonei a
rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a
o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di
casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di
imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale, è ammesso solo se autorizzato da espressa disposizione
di legge o provvedimento del Garante, che ne specifichi le finalità, i
tipi di dati e le operazioni autorizzate.
4 - Che cos'è una banca
dati ?
Una banca dati è un insieme di informazioni personali, raccolte e
conservate in una o più unità di supporto, dislocate in uno o più siti,
organizzata secondo una pluralità di criteri determinati, tali da
facilitarne il trattamento.
5 - Che cos'è una base dati ?
Raccolta di dati digitali o cartacei in formato omogeneo (ad es Database
fatture in formato Access o cassetto contenente tutte le bolle dei
clienti).
6 - Che cos’è un sistema di
archiviazione?
Unità sia digitale (server) che analogica (armadio, cassetti e archivi),
contenente una o più base dati.
7 - Quali sono i soggetti del
trattamento ?
Il titolare: la persona fisica o giuridica, la pubblica
amministrazione o qualsiasi altro ente, associazione o organismo cui
competono le decisioni circa le finalità e le modalità del trattamento
di dati personali, ivi compresa la sicurezza dei dati.
Il responsabile: la persona fisica o giuridica, la pubblica
amministrazione o qualsiasi altro ente, associazione od organismo
preposti dal titolare al trattamento di dati personali.
L'incaricato: colui che compie le operazioni del trattamento di dati
personali, attenendosi alle istruzioni impartite dal titolare o dal
responsabile.
L'interessato: la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali.
Il rappresentante stabilito nel territorio dello Stato: Nel caso in cui
il titolare risieda all’estero, deve essere nominato un rappresentante
che sia stabilito nel territorio dello Stato italiano.
8 - Qual'è l'ambito di applicazione
del Codice?
Il Codice si applica al trattamento di dati personali (anche se
detenuti all'estero) da chiunque effettuato nel territorio dello Stato,
con o senza mezzi elettronici, o comunque automatizzati.
Inoltre, il Codice si applica anche al trattamento di dati personali
effettuato da chiunque sia stabilito in un qualunque Paese, anche
extraeuropeo, ed impieghi per il trattamento mezzi situati nel
territorio dello Stato, anche diversi da quelli elettronici o
automatizzati, salvo che essi siano utilizzati a soli fini di transito
nell’Unione Europea. In questi casi deve essere nominato il
rappresentante stabilito nel territorio dello Stato italiano.
Non è soggetto alla legge il trattamento di dati personali effettuato da
persone fisiche per fini esclusivamente personali (agende, elenchi,
raccolte), sempre che i dati non siano destinati ad una comunicazione
sistematica o alla diffusione.
Anche in questo caso, comunque, il titolare deve garantire la sicurezza
dei dati ed è responsabile del danno eventualmente prodotto per effetto
di una qualunque operazione di trattamento.
9 - Quali sono gli obblighi del
titolare nei confronti dell'Autorità Garante per la protezione dei dati
personali?
Il titolare che intenda procedere ad un trattamento di dati
personali, rientranti tra quelli previsti dall’art. 37 del Codice, deve
darne comunicazione, mediante notificazione, all'Autorità Garante per la
protezione dei dati personali.
Il Garante è un'autorità pubblica, che opera in piena autonomia e con
indipendenza di giudizio e di valutazione e che ha specifiche funzioni
di controllo e vigilanza in materia di tutela dei dati personali.
Si tenga però presente che, in virtù delle novità introdotte dal D,lgs.
196/2003, che ha abrogato la legge 675/1996, l’adempimento della
notificazione, prima obbligo generalizzato, sarà in futuro limitato ai
soli casi previsti da un emanando regolamento.
10 - Cosa deve essere comunicato al
Garante?
Al Garante deve essere comunicato il trattamento dei dati personali
riguardante particolari settori, specificatamente elencati dall’art. 37.
Inoltre, il Garante con proprio provvedimento potrà individuare altri
trattamenti suscettibili di recare pregiudizio ai diritti ed alle
libertà dell’interessato.
Le modifiche di cui sopra comportano un cambiamento anche nelle modalità
di effettuazione della notifica, che può avvenire solo per via
telematica.
11 - Quali sono gli obblighi relativi
al trattamento ?
I dati personali devono essere:
a. trattati in modo lecito e corretto;
b. raccolti e registrati per scopi determinati, espliciti e legittimi ed
utilizzati in altre operazioni del trattamento in termini non
incompatibili con tali scopi;
c. esatti e, se necessario, aggiornati;
d. pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono stati raccolti o successivamente trattati;
e. conservati in una forma che consenta l'identificazione
dell'interessato, per un periodo di tempo non superiore a quello
necessario agli scopi per cui sono stati raccolti o trattati.
12 - Quali informazioni
devono essere fornite agli interessati ?
Il soggetto interessato, o la persona presso la quale sono raccolti
i dati personali devono essere preventivamente informati per iscritto,
circa:
a. le finalità e le modalità del trattamento;
b. l'obbligo o la facoltà di conferire i dati;
c. le conseguenze giuridiche del rifiuto a rispondere;
d. i soggetti a cui i dati possono essere comunicati;
e. l'ambito di diffusione dei dati personali;
f. i diritti spettanti al soggetto interessato;
g. identificazione anagrafico-logistica del titolare del trattamento,
del responsabile nel territorio dello Stato, di almeno un responsabile
del trattamento, se designato; occorre indicare, inoltre, le modalità
tramite cui reperire l’elenco completo ed aggiornato di tutti i
responsabili del trattamento.
11 - E' necessario il consenso dell'interessato per il trattamento dei
dati personali ?
Il trattamento di dati personali da parte di privati o di enti pubblici
economici è ammesso soltanto con il consenso espresso dell'interessato,
salve le eccezioi di cui al punto seguente. Il consenso è validamente
prestato soltanto se è espresso liberamente.
Il consenso per il trattamento dei dati comuni può anche essere orale,
purché documentato per iscritto, mentre quello per i dati sensibili deve
essere prestato esclusivamente in forma scritta.
13 - Quando non è necessario il consenso dell'interessato
?
Il
consenso dell'interessato non è richiesto quando il trattamento:
a. riguarda dati trattati per adempiere ad obblighi previsti da leggi,
regolamenti o disposizioni comunitarie;
b. è necessario per l'esecuzione di un contratto di cui è parte
l'interessato, o per l’esecuzione di misure precontrattuali adottate su
richiesta di quest’ultimo;
c. riguarda dati provenienti da pubblici registri, elenchi o documenti
conoscibili da chiunque;
d. riguarda dati relativi allo svolgimento di attività economiche;
e. è necessario per la salvaguardia dell'incolumità o della vita
dell'interessato o di un terzo;
f. con l’esclusione della diffusione, è effettuato per lo svolgimento di
investigazioni difensive;
g. con l’esclusione della diffusione, è necessario, nei casi individuati
dal Garante, per perseguire un legittimo interesse del titolare o di un
terzo destinatario, anche in riferimento all’attività di gruppi bancari
e di società controllate o collegate;
h. con esclusione della comunicazione all’esterno e della diffusione, è
effettuato da associazioni, enti o organismi senza scopo di lucro, anche
non riconosciuti, in riferimento a soggetti che hanno con essi contatti
regolari o ad aderenti, per il raggiungimento di scopi determinati e
legittimi individuati dall’atto costitutivo, dallo statuto o dal
contratto collettivo;
i. è necessario, in conformità con i codici deontologici, per esclusivi
scopi scientifici, statistici o storici.
14 - Quali sono i diritti
dell'interessato ?
Il Codice prevede che, circa i suoi dati personali, l'interessato
abbia diritto:
a. di conoscere, mediante l'accesso al registro dei trattamenti presso
il Garante, l'esistenza di trattamenti che lo riguardino;
b. di essere informato dal titolare circa le finalità del trattamento;
c. di ottenere dal titolare la conferma, l'aggiornamento, la
cancellazione, la rettifica dei dati trattati, o la loro trasformazione
in forma anonima;
d. di opporsi in tutto o in parte, per motivi legittimi, al trattamento
di dati che lo riguardino.
e. di chiedere il blocco dei dati trattati in violazione di legge.
15 - Come possono essere fatti valere
i propri diritti dall'interessato ?
L'interessato può e deve, in primo luogo, agire direttamente nei
confronti del titolare, del responsabile, o tramite gli incaricati del
trattamento, chiedendo che i suoi diritti, se violati, vengano
ripristinati.
L'interessato, dopo aver fatto valere i suoi diritti nei confronti del
titolare del trattamento, in mancanza di soddisfazione della richiesta,
può far valere i propri diritti dinanzi all'Autorità giudiziaria o con
ricorso al Garante.
Se si sceglie la strada della giustizia ordinaria non è più possibile
proporre ricorso al Garante.
16 - Cosa è previsto per i dati sensibili ?
I dati
personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a
carattere religioso, politico, filosofico o sindacale, nonché i dati
personali idonei a rivelare lo stato di salute e la vita sessuale,
possono essere trattati soltanto con il consenso scritto
dell'interessato e con l'autorizzazione del Garante.
Per i soggetti pubblici il trattamento è consentito solo ed
esclusivamente se è autorizzato da una legge, che specifichi quali sono
i dati trattabili e le operazioni eseguibili, nonché le rilevanti
finalità di interesse pubblico che si intendono perseguire.
In presenza di una previsione di legge che specifichi le finalità di
rilevante interesse pubblico, ma non i tipi di dati sensibili e di
operazioni eseguibili, i soggetti pubblici, con atto di natura
regolamentare adottato in conformità col parere espresso dal Garante,
devono identificare e rendere pubblici i tipi di dati e di operazioni
strettamente pertinenti e necessari in relazione alle finalità
perseguite nei singoli casi.
Nel caso in cui il trattamento non è espressamente previsto da una
disposizione di legge, i soggetti pubblici possono chiedere una speciale
autorizzazione al Garante, rendendo altresì pubblici, nei modi di cui
sopra, i tipi di dati e di operazioni strettamente pertinenti e
necessari in relazione alle finalità perseguite nei singoli casi.
In tutti i casi, comunque, è necessario fornire all'interessato una
completa informativa.
17 - Cosa è previsto per i dati inerenti alla salute ?
Gli
esercenti le professioni sanitarie e gli organismi sanitari pubblici
possono, anche senza l'autorizzazione del Garante, trattare i dati
personali idonei a rivelare lo stato di salute, limitatamente ai dati e
le operazioni indispensabili per il perseguimento di finalità di tutela
dell'incolumità fisica e della salute dell'interessato.
Se le finalità di tutela riguardano terzi o la collettività, in mancanza
del consenso dell'interessato, il trattamento può avvenire soltanto
previa autorizzazione del Garante.
Sono previste modalità semplificate per la raccolta del consenso.
E’ in ogni caso vietata la diffusione dei dati inerenti alla salute.
18 - Quali sono le garanzie di sicurezza dei dati
personali previsti dal Codice?
L’Allegato
B del Codice ("Disciplinare tecnico in materia di misure minime di
sicurezza") ha individuato le misure minime di sicurezza che tutti i
titolari del trattamento, siano essi soggetti privati o pubblici, devono
adottare, pena l’arresto sino a due anni.
Le misure individuate sono graduate per classi di dati e per tipologie
di trattamento. Occorre pertanto verificare accuratamente quali misure
di sicurezza sono obbligatorie, in relazione ai singoli trattamenti.
I dati personali oggetto del trattamento devono, comunque, essere
custoditi in modo da ridurre al minimo i rischi di distruzione o
perdita, anche accidentale, nonché di accesso non autorizzato o di
trattamento non consentito e non conforme alle finalità di raccolta.
A tale scopo devono essere predisposte tutte le idonee misure di
sicurezza in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento. Eventuali danni subiti dagli interessati dovranno ottenere
risarcimento.
19 - Cosa è previsto per la comunicazione e la diffusione
dei dati personali ?
La
comunicazione e la diffusione sono consentite, come il trattamento, con
il consenso dell’interessato, ovvero nel caso in cui ricorra un’ipotesi
di esenzione.
In ogni caso, non possono essere comunicati o diffusi i dati per i quali
è stata ordinata la cancellazione, ovvero quando è stato superato il
periodo di tempo necessario al raggiungimento degli scopi, ovvero per
scopi diversi da quelli indicati nella notificazione del trattamento al
Garante, ove prescritta.
20 - Quali sono le regole per i dati trattati da soggetti
pubblici ?
Il
trattamento, la comunicazione e la diffusione di dati personali da parte
di soggetti pubblici sono ammessi unicamente per lo svolgimento di
funzioni istituzionali, anche in mancanza di una norma di legge o
regolamento che lo preveda espressamente.
La comunicazione e la diffusione a soggetti pubblici sono ammesse
soltanto quando siano previste da leggi o regolamenti, o risultino
comunque necessarie per lo svolgimento di funzioni istituzionali: in
quest'ultimo caso deve essere data comunicazione al Garante.
La comunicazione e la diffusione a soggetti privati o ad enti pubblici
economici è ammessa soltanto se prevista da legge o regolamento.
21 - Quali sanzioni sono previste ?
Il Codice
sanziona penalmente i comportamenti adottati in difformità dallo stesso,
quali il trattamento illecito di dati personali, la omessa adozione
delle misure di sicurezza, nonché l'omessa osservanza dei provvedimenti
del Garante, la falsità nelle dichiarazioni al Garante.
Sono, inoltre, previste sanzioni amministrative nei casi di omessa o
incompleta notificazione del trattamento al Garante, di inosservanza
delle richieste del Garante o per l'omessa informativa ai soggetti
interessati. |