mercoledì 24 marzo 2010

Domande e risposte sulla Privacy -"Il codice sulla Privacy"

Il Codice della Privacy


Che cosa tratta










1 - Quali finalità si propone il Codice?


Le norme del Codice della privacy, in aderenza alla disciplina dell'Unione Europea, intendono garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali (tutelati, in generale, dalla Costituzione della Repubblica), nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale.


La tutela si estende anche ai diritti delle persone giuridiche.










2- Che cos'è il trattamento dei dati personali ?


Il trattamento dei dati personali è qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di strumenti elettronici, che concerne le operazioni di:


-raccolta dei dati, -registrazione, -organizzazione, -conservazione, -consultazione, -elaborazione, -blocco, -modificazione, -utilizzo, -interconnessione, -comunicazione, -diffusione, -cancellazione, -distruzione, -selezione, -estrazione, -raffronto.










3- Quali sono i dati personali ?


I dati personali sono tutte le informazioni relative a persone fisiche o giuridiche, oppure ad enti e associazioni, che consentano l'identificazione diretta o indiretta di questi stessi soggetti.


Ad esempio, sono dati personali rientranti nelle previsioni del Codice, oltre ai dati anagrafici ed economici, anche le immagini, i suoni e i codici identificativi riconducibili a un individuo.


Esiste, inoltre, una categoria di dati - i cosiddetti dati sensibili - attinenti alla sfera personalissima dei singoli (informazioni sulle opinioni religiose o politiche, sulle abitudini sessuali, etc.), per i quali la legge prevede una tutela più forte rispetto agli altri.


Il trattamento di dati giudiziari, cioè i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale, è ammesso solo se autorizzato da espressa disposizione di legge o provvedimento del Garante, che ne specifichi le finalità, i tipi di dati e le operazioni autorizzate.










4 - Che cos'è una banca dati ?


Una banca dati è un insieme di informazioni personali, raccolte e conservate in una o più unità di supporto, dislocate in uno o più siti, organizzata secondo una pluralità di criteri determinati, tali da facilitarne il trattamento.










5 - Che cos'è una base dati ?


Raccolta di dati digitali o cartacei in formato omogeneo (ad es Database fatture in formato Access o cassetto contenente tutte le bolle dei clienti).










6 - Che cos’è un sistema di archiviazione?


Unità sia digitale (server) che analogica (armadio, cassetti e archivi), contenente una o più base dati.










7 - Quali sono i soggetti del trattamento ?


Il titolare: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni circa le finalità e le modalità del trattamento di dati personali, ivi compresa la sicurezza dei dati.


Il responsabile: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.


L'incaricato: colui che compie le operazioni del trattamento di dati personali, attenendosi alle istruzioni impartite dal titolare o dal responsabile.


L'interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.


Il rappresentante stabilito nel territorio dello Stato: Nel caso in cui il titolare risieda all’estero, deve essere nominato un rappresentante che sia stabilito nel territorio dello Stato italiano.










8 - Qual'è l'ambito di applicazione del Codice?


Il Codice si applica al trattamento di dati personali (anche se detenuti all'estero) da chiunque effettuato nel territorio dello Stato, con o senza mezzi elettronici, o comunque automatizzati.


Inoltre, il Codice si applica anche al trattamento di dati personali effettuato da chiunque sia stabilito in un qualunque Paese, anche extraeuropeo, ed impieghi per il trattamento mezzi situati nel territorio dello Stato, anche diversi da quelli elettronici o automatizzati, salvo che essi siano utilizzati a soli fini di transito nell’Unione Europea. In questi casi deve essere nominato il rappresentante stabilito nel territorio dello Stato italiano.


Non è soggetto alla legge il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali (agende, elenchi, raccolte), sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione.


Anche in questo caso, comunque, il titolare deve garantire la sicurezza dei dati ed è responsabile del danno eventualmente prodotto per effetto di una qualunque operazione di trattamento.










9 - Quali sono gli obblighi del titolare nei confronti dell'Autorità Garante per la protezione dei dati personali?


Il titolare che intenda procedere ad un trattamento di dati personali, rientranti tra quelli previsti dall’art. 37 del Codice, deve darne comunicazione, mediante notificazione, all'Autorità Garante per la protezione dei dati personali.


Il Garante è un'autorità pubblica, che opera in piena autonomia e con indipendenza di giudizio e di valutazione e che ha specifiche funzioni di controllo e vigilanza in materia di tutela dei dati personali.


Si tenga però presente che, in virtù delle novità introdotte dal D,lgs. 196/2003, che ha abrogato la legge 675/1996, l’adempimento della notificazione, prima obbligo generalizzato, sarà in futuro limitato ai soli casi previsti da un emanando regolamento.










10 - Cosa deve essere comunicato al Garante?


Al Garante deve essere comunicato il trattamento dei dati personali riguardante particolari settori, specificatamente elencati dall’art. 37. Inoltre, il Garante con proprio provvedimento potrà individuare altri trattamenti suscettibili di recare pregiudizio ai diritti ed alle libertà dell’interessato.


Le modifiche di cui sopra comportano un cambiamento anche nelle modalità di effettuazione della notifica, che può avvenire solo per via telematica.










11 - Quali sono gli obblighi relativi al trattamento ?


I dati personali devono essere:


a. trattati in modo lecito e corretto;


b. raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;


c. esatti e, se necessario, aggiornati;


d. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;


e. conservati in una forma che consenta l'identificazione dell'interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.










12 - Quali informazioni devono essere fornite agli interessati ?


Il soggetto interessato, o la persona presso la quale sono raccolti i dati personali devono essere preventivamente informati per iscritto, circa:


a. le finalità e le modalità del trattamento;


b. l'obbligo o la facoltà di conferire i dati;


c. le conseguenze giuridiche del rifiuto a rispondere;


d. i soggetti a cui i dati possono essere comunicati;


e. l'ambito di diffusione dei dati personali;


f. i diritti spettanti al soggetto interessato;


g. identificazione anagrafico-logistica del titolare del trattamento, del responsabile nel territorio dello Stato, di almeno un responsabile del trattamento, se designato; occorre indicare, inoltre, le modalità tramite cui reperire l’elenco completo ed aggiornato di tutti i responsabili del trattamento.


11 - E' necessario il consenso dell'interessato per il trattamento dei dati personali ?


Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso espresso dell'interessato, salve le eccezioi di cui al punto seguente. Il consenso è validamente prestato soltanto se è espresso liberamente.


Il consenso per il trattamento dei dati comuni può anche essere orale, purché documentato per iscritto, mentre quello per i dati sensibili deve essere prestato esclusivamente in forma scritta.














13 - Quando non è necessario il consenso dell'interessato ?


Il consenso dell'interessato non è richiesto quando il trattamento:


a. riguarda dati trattati per adempiere ad obblighi previsti da leggi, regolamenti o disposizioni comunitarie;


b. è necessario per l'esecuzione di un contratto di cui è parte l'interessato, o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo;


c. riguarda dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque;


d. riguarda dati relativi allo svolgimento di attività economiche;


e. è necessario per la salvaguardia dell'incolumità o della vita dell'interessato o di un terzo;


f. con l’esclusione della diffusione, è effettuato per lo svolgimento di investigazioni difensive;


g. con l’esclusione della diffusione, è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate;


h. con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il raggiungimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo;


i. è necessario, in conformità con i codici deontologici, per esclusivi scopi scientifici, statistici o storici.










14 - Quali sono i diritti dell'interessato ?


Il Codice prevede che, circa i suoi dati personali, l'interessato abbia diritto:


a. di conoscere, mediante l'accesso al registro dei trattamenti presso il Garante, l'esistenza di trattamenti che lo riguardino;


b. di essere informato dal titolare circa le finalità del trattamento;


c. di ottenere dal titolare la conferma, l'aggiornamento, la cancellazione, la rettifica dei dati trattati, o la loro trasformazione in forma anonima;


d. di opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati che lo riguardino.


e. di chiedere il blocco dei dati trattati in violazione di legge.










15 - Come possono essere fatti valere i propri diritti dall'interessato ?


L'interessato può e deve, in primo luogo, agire direttamente nei confronti del titolare, del responsabile, o tramite gli incaricati del trattamento, chiedendo che i suoi diritti, se violati, vengano ripristinati.


L'interessato, dopo aver fatto valere i suoi diritti nei confronti del titolare del trattamento, in mancanza di soddisfazione della richiesta, può far valere i propri diritti dinanzi all'Autorità giudiziaria o con ricorso al Garante.


Se si sceglie la strada della giustizia ordinaria non è più possibile proporre ricorso al Garante.














16 - Cosa è previsto per i dati sensibili ?


I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere trattati soltanto con il consenso scritto dell'interessato e con l'autorizzazione del Garante.


Per i soggetti pubblici il trattamento è consentito solo ed esclusivamente se è autorizzato da una legge, che specifichi quali sono i dati trattabili e le operazioni eseguibili, nonché le rilevanti finalità di interesse pubblico che si intendono perseguire.


In presenza di una previsione di legge che specifichi le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, i soggetti pubblici, con atto di natura regolamentare adottato in conformità col parere espresso dal Garante, devono identificare e rendere pubblici i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi.


Nel caso in cui il trattamento non è espressamente previsto da una disposizione di legge, i soggetti pubblici possono chiedere una speciale autorizzazione al Garante, rendendo altresì pubblici, nei modi di cui sopra, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi.


In tutti i casi, comunque, è necessario fornire all'interessato una completa informativa.














17 - Cosa è previsto per i dati inerenti alla salute ?


Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono, anche senza l'autorizzazione del Garante, trattare i dati personali idonei a rivelare lo stato di salute, limitatamente ai dati e le operazioni indispensabili per il perseguimento di finalità di tutela dell'incolumità fisica e della salute dell'interessato.


Se le finalità di tutela riguardano terzi o la collettività, in mancanza del consenso dell'interessato, il trattamento può avvenire soltanto previa autorizzazione del Garante.


Sono previste modalità semplificate per la raccolta del consenso.


E’ in ogni caso vietata la diffusione dei dati inerenti alla salute.














18 - Quali sono le garanzie di sicurezza dei dati personali previsti dal Codice?


L’Allegato B del Codice ("Disciplinare tecnico in materia di misure minime di sicurezza") ha individuato le misure minime di sicurezza che tutti i titolari del trattamento, siano essi soggetti privati o pubblici, devono adottare, pena l’arresto sino a due anni.


Le misure individuate sono graduate per classi di dati e per tipologie di trattamento. Occorre pertanto verificare accuratamente quali misure di sicurezza sono obbligatorie, in relazione ai singoli trattamenti.


I dati personali oggetto del trattamento devono, comunque, essere custoditi in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, nonché di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità di raccolta.


A tale scopo devono essere predisposte tutte le idonee misure di sicurezza in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento. Eventuali danni subiti dagli interessati dovranno ottenere risarcimento.














19 - Cosa è previsto per la comunicazione e la diffusione dei dati personali ?


La comunicazione e la diffusione sono consentite, come il trattamento, con il consenso dell’interessato, ovvero nel caso in cui ricorra un’ipotesi di esenzione.


In ogni caso, non possono essere comunicati o diffusi i dati per i quali è stata ordinata la cancellazione, ovvero quando è stato superato il periodo di tempo necessario al raggiungimento degli scopi, ovvero per scopi diversi da quelli indicati nella notificazione del trattamento al Garante, ove prescritta.














20 - Quali sono le regole per i dati trattati da soggetti pubblici ?


Il trattamento, la comunicazione e la diffusione di dati personali da parte di soggetti pubblici sono ammessi unicamente per lo svolgimento di funzioni istituzionali, anche in mancanza di una norma di legge o regolamento che lo preveda espressamente.


La comunicazione e la diffusione a soggetti pubblici sono ammesse soltanto quando siano previste da leggi o regolamenti, o risultino comunque necessarie per lo svolgimento di funzioni istituzionali: in quest'ultimo caso deve essere data comunicazione al Garante.


La comunicazione e la diffusione a soggetti privati o ad enti pubblici economici è ammessa soltanto se prevista da legge o regolamento.














21 - Quali sanzioni sono previste ?


Il Codice sanziona penalmente i comportamenti adottati in difformità dallo stesso, quali il trattamento illecito di dati personali, la omessa adozione delle misure di sicurezza, nonché l'omessa osservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni al Garante.


Sono, inoltre, previste sanzioni amministrative nei casi di omessa o incompleta notificazione del trattamento al Garante, di inosservanza delle richieste del Garante o per l'omessa informativa ai soggetti interessati.

Per ulteriori domande rivolgersi:

Professionista e Tecnico per la materia Privacy
Dott. De Santis A.
Tel. 347/8585975
Tortoreto/Giulianova (Teramo)
Regione Abruzzo

Nessun commento:

Posta un commento

Grazie per la vostra attenzione