Definizioni giuridiche inerenti la Privacy
Dato personale: qualunque informazione relativa a persone fisiche o persone giuridiche, identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Dati identificativi: informazioni che riconducono alla identità di una persona.
Dati sensibili: informazioni idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché a rivelare lo stato di salute e la vita sessuale.
Dati quasi sensibili: dati il cui trattamento presenta comunque rischi specifici per i diritti, le libertà fondamentali e la dignità dell’interessato.
Dati giudiziari: informazioni relative a provvedimenti in genere emessi dell’autorità giudiziaria nei confronti di una persona.
Dati comuni o non sensibili: categoria residuale, sono tutti i dati non sensibili, non semi sensibili, non giudiziari.
Trattamento: qualunque operazione relativa ad un dato personale.
Titolare: la persona fisica o giuridica cui competono le decisioni in ordine alle finalità e alle modalità del trattamento dei dati.
Responsabile: la persona fisica o giuridica preposta dal titolare al trattamento.
Incaricato: la persona fisica autorizzata a compiere operazioni di trattamento.
Interessato: la persona fisica o giuridica cui si riferiscono i dati personali.
Comunicazione: dare conoscenza, in qualunque forma, a uno o più soggetti determinati o determinabili diversi dal titolare, dal responsabile o dagli incaricati
Diffusione: dare conoscenza dei dati personali, in qualunque forma, a soggetti indeterminati.
Strumenti elettronici: qualsiasi strumento digitale o elettronico utilizzato per il trattamento dei dati (software o hardware).
Autenticazione informatica : procedura per la verifica dell’identità di chi tratta i dati (es. immissione di una password).
Credenziali di autenticazione: dati e dispositivi in possesso di una persona per l’autenticazione informatica (es: password, PIN, tessere, chiavi, impronte digitali o altri sistemi di verifica dell’identità).
_______________________
Non sono pertanto dati sensibili quelli relativi alla condizione economica, allo status professionale o sociale, a requisiti culturali, intellettuali o morali.
2 Non si verifica comunicazione se i dati vengono trasmessi ad un responsabile o ad un incaricato esterno appositamente nominato.
Diritti dell’interessato
(artt. 7 – 10 c. pv.)
L’interessato ha diritto di accesso e tutela sui propri dati e in particolare quello di:
– avere conferma o smentita dell’esistenza di dati personali presso il titolare;
– ottenere la comunicazione dei dati in forma intelligibile;
– ottenere conoscenza dell’origine dei dati;
– delle finalità e modalità del trattamento;
– della logica applicata in caso di utilizzo di sistemi elettronici;
– degli estremi identificativi del titolare, dei responsabili, dei soggetti o delle categorie dei soggetti incaricati;
– ottenere l’aggiornamento, la rettificazione o l’integrazione dei dati ;
– ottenere la cancellazione o il blocco dei dati trattati illegittimamente;
– ottenere l’attestazione che l’informazione sull’origine dei dati e sulle finalità e modalità di trattamento sono state portate a conoscenza a coloro ai quali i dati sono stati comunicati o diffusi;
– opporsi al trattamento dei dati per fini pubblicitari in genere o di ricerche di mercato.
La richiesta di accesso
· La richiesta di accesso o modifica dei dati è rivolta al Titolare o al Responsabile, è esercitata senza formalità, liberamente e senza costrizioni.
· Può essere spedita con raccomandata, posta elettronica o formulata oralmente, in questo caso è annotata dall’incaricato o dal responsabile e può essere rinnovata con un intervallo non minore di 90 giorni.
· Deve essere verificata l’identità dell’interessato, se non vi sono oggettivi elementi di valutazione dell’identità, si chiede copia di un documento di riconoscimento.
La risposta all’interessato (o riscontro)
· La risposta può essere fornita anche oralmente, offerta in visione o, su richiesta, trascritta su carta o inviata tramite e mail; non può in ogni caso riguardare dati personali di terzi.
· La risposta all’interessato deve essere intelligibile ed esaustiva, deve essere fornita entro il tempo massimo di 15 giorni
· Se a seguito della richiesta non risulta confermata l’esistenza di dati relativi all’interessato, può essere chiesto un contributo non eccedente i costi effettivamente sopportati per la ricerca.
· I diritti di accesso e di tutela possono essere fatti valere dinanzi all’autorità giudiziaria o al Garante con ricorso alternativo – electa una via non datur recursus ad alteram – (art. 145 c. pv.) .
· Il ricorso può essere proposto solo dopo che alla richiesta di accesso o modifica dei dati sia seguito un diniego o il silenzio per un periodo superiore a 15 giorni o a 30 giorni nel caso di ritardo motivato (art. 146 c. pv.).
Principi sul trattamento dei dati
Per il trattamento dei dati non sensibili è obbligatorio acquisire comunque il consenso preventivo.
Per il trattamento dei dati sensibili è obbligatorio acquisire il consenso preventivo scritto e l’autorizzazione del Garante
Per i dati giudiziari è necessaria una specifica disposizione di legge o un provvedimento del Garante che ne autorizzi il trattamento.
I dati personali (sensibili e non sensibili) devono essere (art. 11 c. pv.) :
· trattati in modo lecito e secondo correttezza;
· raccolti e registrati per scopi determinati, espliciti e legittimi;
· esatti, completi, pertinenti, non eccedenti con le finalità di raccolta e aggiornati;
· conservati per un tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti.
I dati trattati in violazione dei principi e della disciplina sulla privacy non possono essere utilizzati.
Il Consenso per i dati non sensibili
· Il trattamento dei dati comuni o non sensibili è ammesso solo previo consenso
· Il consenso deve essere espresso, libero e specifico;
· Il consenso deve essere documentato per iscritto;
· Il consenso deve essere preceduto, a pena di invalidità, da idonea informativa;
(art. 23 c. pv)
Il consenso non deve essere richiesto quando il trattamento:
· è necessario per adempiere un obbligo previsto da una legge o un regolamento;
· è necessario per eseguire obblighi derivanti da contratto o specifiche richieste dell’interessato nei rapporti precontrattuali;
· riguarda informazioni provenienti da registri, documenti o elenchi pubblici;
· riguarda dati relativi allo svolgimento di attività economiche e comprende gli accertamenti, i giudizi e le stime sulle attività finanziarie, produttive, commerciali, professionali, con particolare riferimento alle valutazioni sulla affidabilità e solvibilità;
· è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo;
· è necessario ai fini delle investigazioni difensive o per far valere un diritto in sede giudiziaria;
· è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del Titolare;
· è effettuato da associazioni senza scopo di lucro, per il perseguimento degli scopi sociali, nei confronti dei loro aderenti, soci o abituali interlocutori;
· per esclusivi scopi scientifici, statistici o storici presso archivi di notevole interesse storico.
Il Consenso per i dati sensibili
· Il trattamento dei dati sensibili è ammesso solo con il consenso scritto dell’interessato, previa autorizzazione del Garante;
· non sono richiesti né il consenso né l’autorizzazione del Garante per i dati relativi agli aderenti o abituali frequentatori di comunità o gruppi religiosi o di organizzazioni di carattere sindacale o di categoria;
· non è necessario il consenso dei dati sensibili quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità di un terzo, per lo svolgimento delle investigazioni difensive o per far valere un diritto in sede giudiziaria;
· non è richiesto il consenso, ma l’autorizzazione del Garante, per il trattamento dei dati di aderenti o abituali frequentatori di associazioni a carattere politico, filosofico, religioso o sindacale;
· non è richiesto il consenso per adempiere a obblighi di legge o di regolamenti;
· non è richiesto il consenso, ma è richiesta l’autorizzazione, per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza ;
· i dati non devono in ogni caso essere diffusi.
Informativa
L’informativa, di regola fornita per iscritto, deve contenere:
· le finalità e le modalità del trattamento;
· la natura obbligatoria o facoltativa del trattamento dei dati;
· le conseguenze di un eventuale rifiuto a fornire i dati;
· i soggetti o le categorie di soggetti cui i dati possono essere comunicati, compresi i responsabili e gli incaricati e l’ambito di diffusione;
· i diritti dell’interessato;
· gli estremi del Titolare e del Responsabile.
L’informativa è consegnata personalmente all’interessato all’atto della registrazione o comunque non oltre la prima comunicazione.
***
Il Garante in occasione della pronuncia del 13 gennaio 2000 ha ritenuto insufficienti e inidonee tutte le informative che non comprendevano esattamente i punti richiesti e tutte le volte che le informazioni erano fornite in maniera superficiale o incompleta.
L’informativa non deve essere fornita quando:
· i dati sono trattati in base ad un obbligo di legge o di un regolamento;
· i dati sono trattati ai fini dello svolgimento di investigazioni difensive o per far valere un diritto in giudizio;
· la comunicazione dell’informativa comporta un impiego di mezzi sproporzionato o si riveli impossibile.
La responsabilità civile
(art. 15 c. pv.)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali, anche in caso di violazione dei principi generali dettati dall’art. 11 c. pv., è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile.
art. 2050 c.c. : (Responsabilità per l’esercizio di attività pericolose) “Chiunque cagiona danni ad altri nello svolgimento di un’attività pericolosa , per la sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno.”
· E’ una forma di responsabilità indipendente dall’elemento soggettivo (dolo o colpa) e dalle cause che hanno cagionato il danno che possono rimanere ignote.
· L’onere della prova (di avere adottato tutte le misure idonee) è a carico del titolare dei trattamento dei dati.
· I danni comprendono sia quelli di natura patrimoniale diretta sia quelli di natura non patrimoniale.
La responsabilità penale
art. 167 c. pv. Trattamento illecito di dati
· (comma I ) E’ punito con la reclusione da sei a diciotto mesi chiunque, al fine di trarne un profitto o di recare ad altri un danno, se dal fatto ne deriva un nocumento , procede al trattamento dei dati in violazione degli artt.:
– 18 e 19 ( trattamento dei dati da parte dei soggetti pubblici);
– 23 (necessità del consenso);
– 123 (dati relativi al traffico riguardanti una rete di comunicazioni);
– 126 ( dati relativi all’ubicazione riferiti a utenti o abbonati di reti di comunicazioni);
– 130 ( comunicazioni indesiderate);
– 129 (inserimento in elenco abbonati);
La reclusione prevista è aumentata da sei a ventiquattro mesi, se il fatto consiste nella illecita comunicazione o diffusione dei dati.
· (comma II) E’ punito con la reclusione da uno a tre anni chiunque al fine di trarne un profitto o di recare ad altri un danno, se dal fatto ne deriva nocumento, procede al trattamento dei dati in violazione degli artt.:
– 17 (trattamento dati quasi sensibili);
– 20, 21, 22 (trattamento dei dati sensibili e giudiziari da parte di pubbliche amministrazioni);
– 25 (divieto di comunicazione o diffusione);
– 26, 27 ( trattamenti di dati sensibili e giudiziari da parte di privati);
– 45 (trasferimenti di dati verso un paese non appartenente all’Unione Europea).
art. 168 c. pv. Falsità nelle dichiarazioni e notificazioni al Garante
· Chiunque in occasione della notificazione o con comunicazioni, produce atti o documenti falsi o attesta dichiarazioni non vere al Garante è punito con la reclusione da sei mesi a tre anni.
art. 169 c. pv. Omessa adozione delle misure minime di sicurezza
· Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza è punito con l’arresto sino a due anni o con l’ammenda da diecimila a cinquantamila euro.
Per tale fattispecie è però prevista una speciale causa di estinzione: l’adempimento infatti, in un tempo non superiore a sei mesi, delle prescrizioni del Garante impartite al momento dell’accertamento per adottare le misure minime di sicurezza e il pagamento dell’oblazione di €. 12.500 estinguono il reato.
art. 170 c. pv. Inosservanza dei provvedimenti del Garante
· Chiunque, essendovi tenuto, non osserva i provvedimenti adottati dal Garante è punito con la reclusione da tre mesi a due anni quando i provvedimenti riguardano gli artt.:
– 26 comma II (autorizzazione al trattamento di dati sensibili);
– 90 (autorizzazione al trattamento di dati genetici);
– 150, 143, comma I, lett. c (decisioni su ricorso per la tutela dei diritti degli interessati, compresi i provvedimenti relativi al blocco o alla sospensione);
art. 171 c. pv. Altre fattispecie
E’ punita con le sanzioni previste dall’art. 38 l. 300/1970 la violazione degli art. :
– 113 (che rimanda all’art. 8 l. 300/70 – raccolta dati in annunci di lavoro e riguardanti prestatori di lavoro);
– 114 (che rimanda all’art. 4 l. 300/70 – relativo al divieto del controllo a distanza dei dipendenti);
Da notare che la condanna per uno dei reati previsti dal Codice della Privacy comporta obbligatoriamente la pena accessoria della pubblicazione della sentenza.
Le sanzioni amministrative
art. 161 c. pv. Omessa informativa all’interessato
· L’omessa o l’incompleta informativa comporta la sanzione amministrativa di una somma di danaro che varia da un minimo di €. 3000 a un massimo di 18.000. Se si tratta di dati sensibili, giudiziari o semi sensibili la sanzione varia da 5.000 a trentamila euro, con la possibilità di essere aumentata fino al triplo se dovesse risultare inefficace in ragione delle condizioni economiche del contravventore.
art. 162 c. pv. Altre fattispecie
· La violazione dell’art. 16 in materia di cessazione del trattamento dei dati comporta una sanzione amministrativa ( 5.000 ai 30.000 euro), lo stesso dicasi per la violazione dell’art. 84 in tema di comunicazione di dati sanitari (500 – 3000 euro).
art. 163 c. pv. Omessa o incompleta notificazione
· E’ prevista una sanzione amministrativa che può variare dai 10.000 ai 60.000 euro, alla quale si aggiunge la pubblicazione dell’ordinanza ingiunzione, per chi omette o ritarda la notificazione richiesta dagli artt. 37 e 37 c. pv o, effettuando la notificazione, indica notizie incomplete o infedeli.
art. 164 c. pv. Omessa informazione o esibizione di documenti al Garante
· E’ soggetto alla sanzione amministrativa di una somma che va dai 4.000 ai 24.000 euro chiunque omette di fornire informazioni o di esibire documenti richiesti dal Garante in occasione di un ricorso (art. 150 comma II) o a seguito di accertamenti e controlli disposti dal Garante ( art. 157)
L’organo competente a irrogare le sanzioni è il Garante che può facoltativamente disporre la pubblicazione della ordinanza ingiunzione di condanna.
Le misure minime di sicurezza
· E’ principio generale, in tema di sicurezza, il principio di necessità fissato dall’art. 3 che tende a ridurre al minimo l’abbinamento delle informazioni con l’identità delle persone cui le informazioni si riferiscono.
· I titolari sono tenuti ad adottare le misure minime di sicurezza la cui inosservanza può dare luogo alle sanzioni previste dall’art. 169 c. pv. (artt. 33, 34, 35).
· La scadenza per adottare le misure minime di sicurezza, dopo varie proroghe, è stata definitivamente fissata dall’art. 6 bis del D.L. 30/12/2004 n. 314 al 31 dicembre 2005.
· L’art. 180 dispone la possibilità di una temporanea ed eccezionale proroga ulteriore di non più di tre mesi nei casi di strumenti elettronici obsoleti o inadeguati.
· Le misure minime di sicurezza sono adottate nei trattamenti di dati con strumenti elettronici e nei trattamenti di dati senza l’ausilio di strumenti elettronici.
Le misure minime di sicurezza da adottare nei casi di trattamento dei dati con strumenti elettronici
Art. 34 c. pv e allegato “B”
Le misure minime di sicurezza relative alla gestione di strumenti elettronici sono adottate nei modi previsti dal disciplinare tecnico (all. “B”) e riguardano:
· l’autenticazione informatica;
· procedure di gestione delle credenziali di autenticazione;
· utilizzazione di un sistema di autorizzazione;
· aggiornamento periodico del trattamento consentito agli addetti alla gestione o alla manutenzione di strumenti elettronici;
· protezione degli strumenti elettronici e dei dati adozione di procedure per la custodia di copie di sicurezza e ripristino dei dati o dei sistemi;
· formalizzazione di un documento programmatico sulla sicurezza e suo aggiornamento periodico;
· adozione di tecniche di cifratura o di codici per i dati sensibili trattati da organismi sanitari;
I primi undici punti dell’allegato “B” definiscono il processo di autenticazione , individuano gli ambiti e le responsabilità degli incaricati e fissano i compiti del titolare nelle procedure di gestione delle credenziali.
Il sistema di autorizzazione e la gestione dei profili di autorizzazione sono trattati dai punti 12 – 15 dell’allegato “B” , in particolare ribadisce il principio dell’accesso necessario, l’obbligo di verifica e aggiornamento periodici (almeno annuale) e di redigere la lista degli incaricati per classi omogenee
Di seguito l’allegato “B” determina quelli che sono gli obblighi per la protezione degli strumenti e dei dati (punti 16,17 e 20-22).
In particolare dispone la necessità di aggiornamento periodico degli strumenti elettronici utilizzati e l’aggiornamento periodico dei sistemi operativi, dei software contro eventuali intrusioni esterne (da internet) o interne da operatori.
Infine (punti 18, 21 e 23) l’allegato detta delle indicazioni per evitare il rischio di perdere i dati a causa di eventi imprevedibili 5 e ordina di adottare idonee misure per garantire, il ripristino dell’accesso ai dati. 6
Il documento Programmatico sulla Sicurezza D.P.S.
Punto 19.1-19.5 allegato “B”
E’ tenuto a redigerlo qualsiasi titolare che tratti dati sensibili
Il D.P.S. va redatto ogni anno entro il 31 marzo e rappresenta lo strumento per aumentare il livello di sicurezza del trattamento dei dati fino a renderlo idoneo ai sensi della normativa che fissa la responsabilità civile (art. 15 c. pv e art. 2050 c.c.); deve necessariamente riguardare:
· l’elenco dei trattamenti dei dati effettuati dal titolare ;
· la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (nomina dei responsabili – nomina degli incaricati – ambiti di responsabilità) ;
· l’analisi dei rischi e le misure da adottare (protocollo per l’uso delle risorse dell’azienda, computer, internet, accesso ai locali e agli archivi) ;
· la modalità di ripristino dei dati .
Il documento Programmatico sulla Sicurezza D.P.S.
Punto 19.6 allegato “B”
Il D.P.S. deve necessariamente contenere un piano di formazione per gli incaricati che riguardi :
· i rischi che incombono sui dati;
· le misure preventive disponibili;
· una preparazione sulla normativa in vigore;
· le responsabilità personali e dell’azienda che derivano dal trattamento dei dati;
· processi di autoformazione specie in tema di misure minime di sicurezza;
La formazione per un incaricato del trattamento dei dati deve essere garantita fin dal momento della sua assunzione.
Fra le competenze di un’azienda di piccole-medie dimensioni dove potersi attivare un ufficio incaricato di aggiornarsi sulla normativa relativa alla privacy e formare i dipendenti incaricati del trattamento.
Il documento Programmatico sulla Sicurezza D.P.S.
Punto 19.7 allegato “B”
Il D.P.S. deve necessariamente contenere la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all’esterno della struttura.
Si tratta di razionalizzare e standardizzare i rapporti con terzi collaboratori o consulenti che trattano dati comunicati loro dall’azienda.
A questo proposito è necessario:
· nominare gli operatori esterni responsabili o incaricati esterni del trattamento dei dati ;
· garantirsi con un protocollo comune che il terzo incaricato abbia adottato le misure minime e idonee di sicurezza
Il trattamento dei dati su carta
Art. 35 c. pv. e punti 27,28,29 allegato “B”
Il trattamento dei dati su carta è consentito solo se sono adottate le seguenti misure:
· aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative 1;
· procedura per una idonea custodia degli atti e dei documenti 2;
· procedura per un’idonea conservazione degli atti e dei documenti in archivi ad accesso selezionato;
· se gli atti o i documenti contengono dati sensibili gli incaricati che li trattano dovranno essere muniti di una specifica autorizzazione, dovranno restituire i documenti al termine delle operazioni loro affidate;
· gli archivi contenenti dati sensibili devono trovarsi in locali appositamente dedicati con controllo automatico o manuale all’accesso3;
· agli archivi che contengono dati sensibili potranno accedere solo le persone autorizzate mentre fuori dell’orario di servizio gli accessi dovranno essere registrati con obbligo di identificazione.
Definizioni giuridiche inerenti la Privacy
Dato personale: qualunque informazione relativa a persone fisiche o persone giuridiche, identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Dati identificativi: informazioni che riconducono alla identità di una persona.
Dati sensibili: informazioni idonee a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione ai partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché a rivelare lo stato di salute e la vita sessuale.
Dati quasi sensibili: dati il cui trattamento presenta comunque rischi specifici per i diritti, le libertà fondamentali e la dignità dell’interessato.
Dati giudiziari: informazioni relative a provvedimenti in genere emessi dell’autorità giudiziaria nei confronti di una persona.
Dati comuni o non sensibili: categoria residuale, sono tutti i dati non sensibili, non semi sensibili, non giudiziari.
Trattamento: qualunque operazione relativa ad un dato personale.
Titolare: la persona fisica o giuridica cui competono le decisioni in ordine alle finalità e alle modalità del trattamento dei dati.
Responsabile: la persona fisica o giuridica preposta dal titolare al trattamento.
Incaricato: la persona fisica autorizzata a compiere operazioni di trattamento.
Interessato: la persona fisica o giuridica cui si riferiscono i dati personali.
Comunicazione: dare conoscenza, in qualunque forma, a uno o più soggetti determinati o determinabili diversi dal titolare, dal responsabile o dagli incaricati
Diffusione: dare conoscenza dei dati personali, in qualunque forma, a soggetti indeterminati.
Strumenti elettronici: qualsiasi strumento digitale o elettronico utilizzato per il trattamento dei dati (software o hardware).
Autenticazione informatica : procedura per la verifica dell’identità di chi tratta i dati (es. immissione di una password).
Credenziali di autenticazione: dati e dispositivi in possesso di una persona per l’autenticazione informatica (es: password, PIN, tessere, chiavi, impronte digitali o altri sistemi di verifica dell’identità).
_______________________
Non sono pertanto dati sensibili quelli relativi alla condizione economica, allo status professionale o sociale, a requisiti culturali, intellettuali o morali.
2 Non si verifica comunicazione se i dati vengono trasmessi ad un responsabile o ad un incaricato esterno appositamente nominato.
Diritti dell’interessato
(artt. 7 – 10 c. pv.)
L’interessato ha diritto di accesso e tutela sui propri dati e in particolare quello di:
– avere conferma o smentita dell’esistenza di dati personali presso il titolare;
– ottenere la comunicazione dei dati in forma intelligibile;
– ottenere conoscenza dell’origine dei dati;
– delle finalità e modalità del trattamento;
– della logica applicata in caso di utilizzo di sistemi elettronici;
– degli estremi identificativi del titolare, dei responsabili, dei soggetti o delle categorie dei soggetti incaricati;
– ottenere l’aggiornamento, la rettificazione o l’integrazione dei dati ;
– ottenere la cancellazione o il blocco dei dati trattati illegittimamente;
– ottenere l’attestazione che l’informazione sull’origine dei dati e sulle finalità e modalità di trattamento sono state portate a conoscenza a coloro ai quali i dati sono stati comunicati o diffusi;
– opporsi al trattamento dei dati per fini pubblicitari in genere o di ricerche di mercato.
La richiesta di accesso
· La richiesta di accesso o modifica dei dati è rivolta al Titolare o al Responsabile, è esercitata senza formalità, liberamente e senza costrizioni.
· Può essere spedita con raccomandata, posta elettronica o formulata oralmente, in questo caso è annotata dall’incaricato o dal responsabile e può essere rinnovata con un intervallo non minore di 90 giorni.
· Deve essere verificata l’identità dell’interessato, se non vi sono oggettivi elementi di valutazione dell’identità, si chiede copia di un documento di riconoscimento.
La risposta all’interessato (o riscontro)
· La risposta può essere fornita anche oralmente, offerta in visione o, su richiesta, trascritta su carta o inviata tramite e mail; non può in ogni caso riguardare dati personali di terzi.
· La risposta all’interessato deve essere intelligibile ed esaustiva, deve essere fornita entro il tempo massimo di 15 giorni
· Se a seguito della richiesta non risulta confermata l’esistenza di dati relativi all’interessato, può essere chiesto un contributo non eccedente i costi effettivamente sopportati per la ricerca.
· I diritti di accesso e di tutela possono essere fatti valere dinanzi all’autorità giudiziaria o al Garante con ricorso alternativo – electa una via non datur recursus ad alteram – (art. 145 c. pv.) .
· Il ricorso può essere proposto solo dopo che alla richiesta di accesso o modifica dei dati sia seguito un diniego o il silenzio per un periodo superiore a 15 giorni o a 30 giorni nel caso di ritardo motivato (art. 146 c. pv.).
Principi sul trattamento dei dati
Per il trattamento dei dati non sensibili è obbligatorio acquisire comunque il consenso preventivo.
Per il trattamento dei dati sensibili è obbligatorio acquisire il consenso preventivo scritto e l’autorizzazione del Garante
Per i dati giudiziari è necessaria una specifica disposizione di legge o un provvedimento del Garante che ne autorizzi il trattamento.
I dati personali (sensibili e non sensibili) devono essere (art. 11 c. pv.) :
· trattati in modo lecito e secondo correttezza;
· raccolti e registrati per scopi determinati, espliciti e legittimi;
· esatti, completi, pertinenti, non eccedenti con le finalità di raccolta e aggiornati;
· conservati per un tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti.
I dati trattati in violazione dei principi e della disciplina sulla privacy non possono essere utilizzati.
Il Consenso per i dati non sensibili
· Il trattamento dei dati comuni o non sensibili è ammesso solo previo consenso
· Il consenso deve essere espresso, libero e specifico;
· Il consenso deve essere documentato per iscritto;
· Il consenso deve essere preceduto, a pena di invalidità, da idonea informativa;
(art. 23 c. pv)
Il consenso non deve essere richiesto quando il trattamento:
· è necessario per adempiere un obbligo previsto da una legge o un regolamento;
· è necessario per eseguire obblighi derivanti da contratto o specifiche richieste dell’interessato nei rapporti precontrattuali;
· riguarda informazioni provenienti da registri, documenti o elenchi pubblici;
· riguarda dati relativi allo svolgimento di attività economiche e comprende gli accertamenti, i giudizi e le stime sulle attività finanziarie, produttive, commerciali, professionali, con particolare riferimento alle valutazioni sulla affidabilità e solvibilità;
· è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo;
· è necessario ai fini delle investigazioni difensive o per far valere un diritto in sede giudiziaria;
· è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del Titolare;
· è effettuato da associazioni senza scopo di lucro, per il perseguimento degli scopi sociali, nei confronti dei loro aderenti, soci o abituali interlocutori;
· per esclusivi scopi scientifici, statistici o storici presso archivi di notevole interesse storico.
Il Consenso per i dati sensibili
· Il trattamento dei dati sensibili è ammesso solo con il consenso scritto dell’interessato, previa autorizzazione del Garante;
· non sono richiesti né il consenso né l’autorizzazione del Garante per i dati relativi agli aderenti o abituali frequentatori di comunità o gruppi religiosi o di organizzazioni di carattere sindacale o di categoria;
· non è necessario il consenso dei dati sensibili quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità di un terzo, per lo svolgimento delle investigazioni difensive o per far valere un diritto in sede giudiziaria;
· non è richiesto il consenso, ma l’autorizzazione del Garante, per il trattamento dei dati di aderenti o abituali frequentatori di associazioni a carattere politico, filosofico, religioso o sindacale;
· non è richiesto il consenso per adempiere a obblighi di legge o di regolamenti;
· non è richiesto il consenso, ma è richiesta l’autorizzazione, per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza ;
· i dati non devono in ogni caso essere diffusi.
Informativa
L’informativa, di regola fornita per iscritto, deve contenere:
· le finalità e le modalità del trattamento;
· la natura obbligatoria o facoltativa del trattamento dei dati;
· le conseguenze di un eventuale rifiuto a fornire i dati;
· i soggetti o le categorie di soggetti cui i dati possono essere comunicati, compresi i responsabili e gli incaricati e l’ambito di diffusione;
· i diritti dell’interessato;
· gli estremi del Titolare e del Responsabile.
L’informativa è consegnata personalmente all’interessato all’atto della registrazione o comunque non oltre la prima comunicazione.
***
Il Garante in occasione della pronuncia del 13 gennaio 2000 ha ritenuto insufficienti e inidonee tutte le informative che non comprendevano esattamente i punti richiesti e tutte le volte che le informazioni erano fornite in maniera superficiale o incompleta.
L’informativa non deve essere fornita quando:
· i dati sono trattati in base ad un obbligo di legge o di un regolamento;
· i dati sono trattati ai fini dello svolgimento di investigazioni difensive o per far valere un diritto in giudizio;
· la comunicazione dell’informativa comporta un impiego di mezzi sproporzionato o si riveli impossibile.
La responsabilità civile
(art. 15 c. pv.)
Chiunque cagiona danno ad altri per effetto del trattamento di dati personali, anche in caso di violazione dei principi generali dettati dall’art. 11 c. pv., è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile.
art. 2050 c.c. : (Responsabilità per l’esercizio di attività pericolose) “Chiunque cagiona danni ad altri nello svolgimento di un’attività pericolosa , per la sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee ad evitare il danno.”
· E’ una forma di responsabilità indipendente dall’elemento soggettivo (dolo o colpa) e dalle cause che hanno cagionato il danno che possono rimanere ignote.
· L’onere della prova (di avere adottato tutte le misure idonee) è a carico del titolare dei trattamento dei dati.
· I danni comprendono sia quelli di natura patrimoniale diretta sia quelli di natura non patrimoniale.
La responsabilità penale
art. 167 c. pv. Trattamento illecito di dati
· (comma I ) E’ punito con la reclusione da sei a diciotto mesi chiunque, al fine di trarne un profitto o di recare ad altri un danno, se dal fatto ne deriva un nocumento , procede al trattamento dei dati in violazione degli artt.:
– 18 e 19 ( trattamento dei dati da parte dei soggetti pubblici);
– 23 (necessità del consenso);
– 123 (dati relativi al traffico riguardanti una rete di comunicazioni);
– 126 ( dati relativi all’ubicazione riferiti a utenti o abbonati di reti di comunicazioni);
– 130 ( comunicazioni indesiderate);
– 129 (inserimento in elenco abbonati);
La reclusione prevista è aumentata da sei a ventiquattro mesi, se il fatto consiste nella illecita comunicazione o diffusione dei dati.
· (comma II) E’ punito con la reclusione da uno a tre anni chiunque al fine di trarne un profitto o di recare ad altri un danno, se dal fatto ne deriva nocumento, procede al trattamento dei dati in violazione degli artt.:
– 17 (trattamento dati quasi sensibili);
– 20, 21, 22 (trattamento dei dati sensibili e giudiziari da parte di pubbliche amministrazioni);
– 25 (divieto di comunicazione o diffusione);
– 26, 27 ( trattamenti di dati sensibili e giudiziari da parte di privati);
– 45 (trasferimenti di dati verso un paese non appartenente all’Unione Europea).
art. 168 c. pv. Falsità nelle dichiarazioni e notificazioni al Garante
· Chiunque in occasione della notificazione o con comunicazioni, produce atti o documenti falsi o attesta dichiarazioni non vere al Garante è punito con la reclusione da sei mesi a tre anni.
art. 169 c. pv. Omessa adozione delle misure minime di sicurezza
· Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza è punito con l’arresto sino a due anni o con l’ammenda da diecimila a cinquantamila euro.
Per tale fattispecie è però prevista una speciale causa di estinzione: l’adempimento infatti, in un tempo non superiore a sei mesi, delle prescrizioni del Garante impartite al momento dell’accertamento per adottare le misure minime di sicurezza e il pagamento dell’oblazione di €. 12.500 estinguono il reato.
art. 170 c. pv. Inosservanza dei provvedimenti del Garante
· Chiunque, essendovi tenuto, non osserva i provvedimenti adottati dal Garante è punito con la reclusione da tre mesi a due anni quando i provvedimenti riguardano gli artt.:
– 26 comma II (autorizzazione al trattamento di dati sensibili);
– 90 (autorizzazione al trattamento di dati genetici);
– 150, 143, comma I, lett. c (decisioni su ricorso per la tutela dei diritti degli interessati, compresi i provvedimenti relativi al blocco o alla sospensione);
art. 171 c. pv. Altre fattispecie
E’ punita con le sanzioni previste dall’art. 38 l. 300/1970 la violazione degli art. :
– 113 (che rimanda all’art. 8 l. 300/70 – raccolta dati in annunci di lavoro e riguardanti prestatori di lavoro);
– 114 (che rimanda all’art. 4 l. 300/70 – relativo al divieto del controllo a distanza dei dipendenti);
Da notare che la condanna per uno dei reati previsti dal Codice della Privacy comporta obbligatoriamente la pena accessoria della pubblicazione della sentenza.
Le sanzioni amministrative
art. 161 c. pv. Omessa informativa all’interessato
· L’omessa o l’incompleta informativa comporta la sanzione amministrativa di una somma di danaro che varia da un minimo di €. 3000 a un massimo di 18.000. Se si tratta di dati sensibili, giudiziari o semi sensibili la sanzione varia da 5.000 a trentamila euro, con la possibilità di essere aumentata fino al triplo se dovesse risultare inefficace in ragione delle condizioni economiche del contravventore.
art. 162 c. pv. Altre fattispecie
· La violazione dell’art. 16 in materia di cessazione del trattamento dei dati comporta una sanzione amministrativa ( 5.000 ai 30.000 euro), lo stesso dicasi per la violazione dell’art. 84 in tema di comunicazione di dati sanitari (500 – 3000 euro).
art. 163 c. pv. Omessa o incompleta notificazione
· E’ prevista una sanzione amministrativa che può variare dai 10.000 ai 60.000 euro, alla quale si aggiunge la pubblicazione dell’ordinanza ingiunzione, per chi omette o ritarda la notificazione richiesta dagli artt. 37 e 37 c. pv o, effettuando la notificazione, indica notizie incomplete o infedeli.
art. 164 c. pv. Omessa informazione o esibizione di documenti al Garante
· E’ soggetto alla sanzione amministrativa di una somma che va dai 4.000 ai 24.000 euro chiunque omette di fornire informazioni o di esibire documenti richiesti dal Garante in occasione di un ricorso (art. 150 comma II) o a seguito di accertamenti e controlli disposti dal Garante ( art. 157)
L’organo competente a irrogare le sanzioni è il Garante che può facoltativamente disporre la pubblicazione della ordinanza ingiunzione di condanna.
Le misure minime di sicurezza
· E’ principio generale, in tema di sicurezza, il principio di necessità fissato dall’art. 3 che tende a ridurre al minimo l’abbinamento delle informazioni con l’identità delle persone cui le informazioni si riferiscono.
· I titolari sono tenuti ad adottare le misure minime di sicurezza la cui inosservanza può dare luogo alle sanzioni previste dall’art. 169 c. pv. (artt. 33, 34, 35).
· La scadenza per adottare le misure minime di sicurezza, dopo varie proroghe, è stata definitivamente fissata dall’art. 6 bis del D.L. 30/12/2004 n. 314 al 31 dicembre 2005.
· L’art. 180 dispone la possibilità di una temporanea ed eccezionale proroga ulteriore di non più di tre mesi nei casi di strumenti elettronici obsoleti o inadeguati.
· Le misure minime di sicurezza sono adottate nei trattamenti di dati con strumenti elettronici e nei trattamenti di dati senza l’ausilio di strumenti elettronici.
Le misure minime di sicurezza da adottare nei casi di trattamento dei dati con strumenti elettronici
Art. 34 c. pv e allegato “B”
Le misure minime di sicurezza relative alla gestione di strumenti elettronici sono adottate nei modi previsti dal disciplinare tecnico (all. “B”) e riguardano:
· l’autenticazione informatica;
· procedure di gestione delle credenziali di autenticazione;
· utilizzazione di un sistema di autorizzazione;
· aggiornamento periodico del trattamento consentito agli addetti alla gestione o alla manutenzione di strumenti elettronici;
· protezione degli strumenti elettronici e dei dati adozione di procedure per la custodia di copie di sicurezza e ripristino dei dati o dei sistemi;
· formalizzazione di un documento programmatico sulla sicurezza e suo aggiornamento periodico;
· adozione di tecniche di cifratura o di codici per i dati sensibili trattati da organismi sanitari;
I primi undici punti dell’allegato “B” definiscono il processo di autenticazione , individuano gli ambiti e le responsabilità degli incaricati e fissano i compiti del titolare nelle procedure di gestione delle credenziali.
Il sistema di autorizzazione e la gestione dei profili di autorizzazione sono trattati dai punti 12 – 15 dell’allegato “B” , in particolare ribadisce il principio dell’accesso necessario, l’obbligo di verifica e aggiornamento periodici (almeno annuale) e di redigere la lista degli incaricati per classi omogenee
Di seguito l’allegato “B” determina quelli che sono gli obblighi per la protezione degli strumenti e dei dati (punti 16,17 e 20-22).
In particolare dispone la necessità di aggiornamento periodico degli strumenti elettronici utilizzati e l’aggiornamento periodico dei sistemi operativi, dei software contro eventuali intrusioni esterne (da internet) o interne da operatori.
Infine (punti 18, 21 e 23) l’allegato detta delle indicazioni per evitare il rischio di perdere i dati a causa di eventi imprevedibili 5 e ordina di adottare idonee misure per garantire, il ripristino dell’accesso ai dati. 6
Il documento Programmatico sulla Sicurezza D.P.S.
Punto 19.1-19.5 allegato “B”
E’ tenuto a redigerlo qualsiasi titolare che tratti dati sensibili
Il D.P.S. va redatto ogni anno entro il 31 marzo e rappresenta lo strumento per aumentare il livello di sicurezza del trattamento dei dati fino a renderlo idoneo ai sensi della normativa che fissa la responsabilità civile (art. 15 c. pv e art. 2050 c.c.); deve necessariamente riguardare:
· l’elenco dei trattamenti dei dati effettuati dal titolare ;
· la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati (nomina dei responsabili – nomina degli incaricati – ambiti di responsabilità) ;
· l’analisi dei rischi e le misure da adottare (protocollo per l’uso delle risorse dell’azienda, computer, internet, accesso ai locali e agli archivi) ;
· la modalità di ripristino dei dati .
Il documento Programmatico sulla Sicurezza D.P.S.
Punto 19.6 allegato “B”
Il D.P.S. deve necessariamente contenere un piano di formazione per gli incaricati che riguardi :
· i rischi che incombono sui dati;
· le misure preventive disponibili;
· una preparazione sulla normativa in vigore;
· le responsabilità personali e dell’azienda che derivano dal trattamento dei dati;
· processi di autoformazione specie in tema di misure minime di sicurezza;
La formazione per un incaricato del trattamento dei dati deve essere garantita fin dal momento della sua assunzione.
Fra le competenze di un’azienda di piccole-medie dimensioni dove potersi attivare un ufficio incaricato di aggiornarsi sulla normativa relativa alla privacy e formare i dipendenti incaricati del trattamento.
Il documento Programmatico sulla Sicurezza D.P.S.
Punto 19.7 allegato “B”
Il D.P.S. deve necessariamente contenere la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati all’esterno della struttura.
Si tratta di razionalizzare e standardizzare i rapporti con terzi collaboratori o consulenti che trattano dati comunicati loro dall’azienda.
A questo proposito è necessario:
· nominare gli operatori esterni responsabili o incaricati esterni del trattamento dei dati ;
· garantirsi con un protocollo comune che il terzo incaricato abbia adottato le misure minime e idonee di sicurezza
Il trattamento dei dati su carta
Art. 35 c. pv. e punti 27,28,29 allegato “B”
Il trattamento dei dati su carta è consentito solo se sono adottate le seguenti misure:
· aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative 1;
· procedura per una idonea custodia degli atti e dei documenti 2;
· procedura per un’idonea conservazione degli atti e dei documenti in archivi ad accesso selezionato;
· se gli atti o i documenti contengono dati sensibili gli incaricati che li trattano dovranno essere muniti di una specifica autorizzazione, dovranno restituire i documenti al termine delle operazioni loro affidate;
· gli archivi contenenti dati sensibili devono trovarsi in locali appositamente dedicati con controllo automatico o manuale all’accesso3;
· agli archivi che contengono dati sensibili potranno accedere solo le persone autorizzate mentre fuori dell’orario di servizio gli accessi dovranno essere registrati con obbligo di identificazione.