 |
Confederazione Generale
Italiana dei Trasporti e della Logistica
00198 Roma - via Panama
62 - tel. 06/8559151 - fax 06/8415576
e-mail: confetra@tin.it
- http://www.confetra.com
|
Roma, 29 aprile 2004
Circolare n. 39/2004
Oggetto: Privacy – Archivi informatici – Scadenza del 30
giugno 2004 – D.Lgvo 30.6.2003, n.196,
su S.O. alla G.U. n.174 del 29.7.2003.
Entro il prossimo 30
giugno gli archivi informatici dei dati personali dovranno essere adeguati a
nuovi standard di sicurezza.
E’ questa la novità
sostanziale introdotta dal decreto legislativo n.196/2003,
il Codice della privacy nel quale sono state raccolte le disposizioni sulla
protezione dei dati personali.
Com’è noto, già oggi
per prevenire il rischio di accesso non autorizzato agli archivi informatici
dei dati personali era necessario adottare le misure minime di sicurezza
stabilite dal DPR 318/1999. In base alle nuove disposizioni del Codice della
privacy (articoli da 31 a 36 e allegato B recante il “Disciplinare tecnico in
materia di misure minime di sicurezza”) le misure di sicurezza sono state
rafforzate, prevedendo in particolare l’obbligo di istituire un sistema di autenticazione informatica per
il riconoscimento degli incaricati alla gestione degli archivi. I nuovi
standard di sicurezza sono obbligatori indipendentemente dalla circostanza che
gli archivi siano gestiti con computer singoli o con computer in rete.
Nel caso di dati
personali sensibili (es. quelli che rientrano nell’ambito dell’elaborazione
delle paghe quali l’appartenenza del dipendente al sindacato, il suo credo
politico e religioso, le informazioni sulla sua salute) è stato inoltre previsto
l’obbligo di redigere annualmente un documento
programmatico sulla sicurezza contenente le informazioni indicate al punto
19 del citato Disciplinare tecnico. Quest’anno il documento dovrà essere redatto entro il
prossimo 30 giugno, mentre successivamente il termine è il 31 marzo.
Circa gli altri
adempimenti previsti dal Codice della privacy - quali la notifica al Garante,
la richiesta del consenso e l’informativa all’interessato, l’autorizzazione del
Garante per il trattamento dei dati sensibili – non si segnalano novità
rispetto alla previgente normativa. In particolare,
si rammenta che i dati personali gestiti dalle imprese nello svolgimento della
loro attività (es. archivi clienti e fornitori, dati dei dipendenti, mailing
list, ecc.) non comportano l’obbligo di notifica al Garante, né l’obbligo di
richiedere il consenso al loro trattamento in quanto trattasi generalmente di
dati già presenti in elenchi pubblici (es. registro imprese, elenchi
telefonici, ecc.). La richiesta del consenso resta ferma nel caso dei dati
sensibili dei dipendenti: a tal fine, come già suggerito a suo tempo, è
opportuno inserire un’apposita dicitura sulle buste paga.
Con riguardo alle
associazioni di categoria, si rammenta che i dati idonei a rivelare l’adesione
di associazioni sindacali o di categoria ad altre associazioni, organizzazioni
o confederazioni (ad es. l’adesione delle federazioni nazionali alla Confetra)
non rientrano nella categoria dei dati sensibili e quindi possono essere
gestiti senza specifica autorizzazione del Garante e senza richiedere il
consenso agli interessati (articolo 26 comma 3 lettera b del Codice).
Viceversa, le
informazioni concernenti l’adesione delle imprese alle associazioni di
categoria continuano ad essere dati sensibili il cui trattamento è subordinato
ad un’autorizzazione generale del Garante (v. da ultimo autorizzazione n.3/2002 e delibera del 24 giugno 2003). Per quanto concerne
il consenso da parte delle imprese aderenti, l’articolo 26 del Codice della
privacy ha confermato l’esclusione dall’obbligo di richiesta del consenso, a
condizione peraltro che i dati non siano diffusi all’esterno e che le imprese
interessate siano informate sulle modalità di utilizzo dei dati stessi.
|
f.to
dr. Piero M. Luzzati |
Per
riferimenti confronta circ.re conf.le
n.30/2002 |
|
|
Allegato due |
|
|
Il testo completo del Codice della privacy è consultabile: |
|
|
D/d |
|
© CONFETRA – La riproduzione totale o parziale è
consentita esclusivamente alle organizzazioni aderenti alla Confetra. |
|
S.O.
alla G.U. n.174 del 29.7.2003 (fonte Guritel)
DECRETO LEGISLATIVO 30 giugno
2003, n. 196
Codice in materia di protezione dei dati personali. IL PRESIDENTE DELLA REPUBBLICA EMANA il seguente decreto legislativo: PARTE I
DISPOSIZIONI
GENERALI
Titolo I
PRINCIPI GENERALI
Art. 1 (Diritto alla protezione dei dati personali) 1. Chiunque ha diritto alla protezione dei dati personali che loriguardano. Art. 2 (Finalita) 1. Il presente testo unico, di seguito denominato "codice",garantisce che il trattamento dei dati personali si svolga nelrispetto dei diritti e delle liberta' fondamentali, nonche' delladignita' dell'interessato, con particolare riferimento alla
riservatezza, all'identita' personale e al diritto alla protezionedei dati personali. 2. Il trattamento dei dati personali e' disciplinato assicurandoun elevato livello di tutela dei diritti e delle liberta' di cui alcomma 1 nel rispetto dei principi di semplificazione, armonizzazioneed efficacia delle modalita' previste per il loro esercizio da partedegli interessati, nonche' per l'adempimento degli obblighi da partedei titolari del trattamento. Art. 3 (Principio di necessita' nel trattamento dei dati) 1. I sistemi informativi e i programmi informatici sonoconfigurati riducendo al minimo l'utilizzazione di dati personali edi dati identificativi, in modo da escluderne il trattamento quandole finalita' perseguite nei singoli casi possono essere realizzatemediante, rispettivamente, dati anonimi od opportune modalita' chepermettano di identificare l'interessato solo in caso di necessita'. Art. 4 (Definizioni) 1. Ai fini del presente codice si intende per: a) "trattamento", qualunque operazione o complesso di operazioni,effettuati anche senza l'ausilio di strumenti elettronici,concernenti la raccolta, la registrazione, l'organizzazione, laconservazione, la consultazione, l'elaborazione, la modificazione, laselezione, l'estrazione, il raffronto, l'utilizzo,l'interconnessione, il blocco, la comunicazione, la diffusione, lacancellazione e la distruzione di dati, anche se non registrati inuna banca di dati; b) "dato personale", qualunque informazione relativa a personafisica, persona giuridica, ente od associazione, identificati oidentificabili, anche indirettamente, mediante riferimento aqualsiasi altra informazione, ivi compreso un numero diidentificazione personale; c) "dati identificativi", i dati personali che permettonol'identificazione diretta dell'interessato; d) "dati sensibili", i dati personali idonei a rivelare l'originerazziale ed etnica, le convinzioni religiose, filosofiche o di altrogenere, le opinioni politiche, l'adesione a partiti, sindacati,associazioni od organizzazioni a carattere religioso, filosofico,politico o sindacale, nonche' i dati personali idonei a rivelare lostato di salute e la vita sessuale; e) "dati giudiziari", i dati personali idonei a rivelareprovvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e dar) a u), del d.P.R. 14 novembre 2002, n. 313, in materia dicasellario giudiziale, di anagrafe delle sanzioni amministrativedipendenti da reato e dei relativi carichi pendenti, o la qualita' diimputato o di indagato ai sensi degli articoli 60 e 61 del codice diprocedura penale; f) "titolare", la persona fisica, la persona giuridica, lapubblica amministrazione e qualsiasi altro ente, associazione odorganismo cui competono, anche unitamente ad altro titolare, ledecisioni in ordine alle finalita', alle modalita' del trattamento didati personali e agli strumenti utilizzati, ivi compreso il profilodella sicurezza; g) "responsabile", la persona fisica, la persona giuridica, lapubblica amministrazione e qualsiasi altro ente, associazione odorganismo preposti dal titolare al trattamento di dati personali; h) "incaricati", le persone fisiche autorizzate a compiereoperazioni di trattamento dal titolare o dal responsabile; i) "interessato", la persona fisica, la persona giuridica, l'enteo l'associazione cui si riferiscono i dati personali; l) "comunicazione", il dare conoscenza dei dati personali a uno opiu' soggetti determinati diversi dall'interessato, dal
rappresentante del titolare nel territorio dello Stato, dalresponsabile e dagli incaricati, in qualunque forma, anche mediantela loro messa a disposizione o consultazione; m) "diffusione", il dare conoscenza dei dati personali a soggettiindeterminati, in qualunque forma, anche mediante la loro messa adisposizione o consultazione; n) "dato anonimo", il dato che in origine, o a seguito ditrattamento, non puo' essere associato ad un interessato identificatoo identificabile; o) "blocco", la conservazione di dati personali con sospensionetemporanea di ogni altra operazione del trattamento; p) "banca di dati", qualsiasi complesso organizzato di datipersonali, ripartito in una o piu' unita' dislocate in uno o piu'siti; q) "Garante", l'autorita' di cui all'articolo 153, istituita dallalegge 31 dicembre 1996, n. 675, 2. Ai fini del presente codice si intende, inoltre, per: a) "comunicazione elettronica", ogni informazione scambiata otrasmessa tra un numero finito di soggetti tramite un servizio dicomunicazione elettronica accessibile al pubblico. Sono escluse leinformazioni trasmesse al pubblico tramite una rete di comunicazioneelettronica, come parte di un servizio di radiodiffusione, salvo chele stesse informazioni siano collegate ad un abbonato o utentericevente, identificato o identificabile; b) "chiamata", la connessione istituita da un servizio telefonicoaccessibile al pubblico, che consente la comunicazione bidirezionalein tempo reale; c) "reti di comunicazione elettronica", i sistemi di trasmissione,le apparecchiature di commutazione o di instradamento e altre risorseche consentono di trasmettere segnali via cavo, via radio, a mezzo difibre ottiche o con altri mezzi elettromagnetici, incluse le retisatellitari, le reti terrestri mobili e fisse a commutazione dicircuito e a commutazione di pacchetto, compresa Internet, le retiutilizzate per la diffusione circolare dei programmi sonori etelevisivi, i sistemi per il trasporto della corrente elettrica,nella misura in cui sono utilizzati per trasmettere i segnali, lereti televisive via cavo, indipendentemente dal tipo di informazionetrasportato; d) "rete pubblica di comunicazioni", una rete di comunicazionielettroniche utilizzata interamente o prevalentemente per fornireservizi di comunicazione elettronica accessibili al pubblico; e) "servizio di comunicazione elettronica", i servizi consistentiesclusivamente o prevalentemente nella trasmissione di segnali sureti di comunicazioni elettroniche, compresi i servizi ditelecomunicazioni e i servizi di trasmissione nelle reti utilizzateper la diffusione circolare radiotelevisiva, nei limiti previstidall'articolo 2, lettera c), della direttiva 2002/21/CE delParlamento europeo e del Consiglio, del 7 marzo 2002; f) "abbonato", qualunque persona fisica, persona giuridica, ente oassociazione parte di un contratto con un fornitore di servizi dicomunicazione elettronica accessibili al pubblico per la fornitura ditali servizi, o comunque destinatario di tali servizi tramite schedeprepagate;
g) "utente", qualsiasi persona fisica che utilizza un servizio dicomunicazione elettronica accessibile al pubblico, per motivi privatio commerciali, senza esservi necessariamente abbonata; h) "dati relativi al traffico", qualsiasi dato sottoposto atrattamento ai fini della trasmissione di una comunicazione su unarete di comunicazione elettronica o della relativa fatturazione; i) "dati relativi all'ubicazione", ogni dato trattato in una retedi comunicazione elettronica che indica la posizione geograficadell'apparecchiatura terminale dell'utente di un servizio dicomunicazione elettronica accessibile al pubblico; l) "servizio a valore aggiunto", il servizio che richiede iltrattamento dei dati relativi al traffico o dei dati relativiall'ubicazione diversi dai dati relativi al traffico, oltre a quantoe' necessario per la trasmissione di una comunicazione o dellarelativa fatturazione; m) "posta elettronica", messaggi contenenti testi, voci, suoni oimmagini trasmessi attraverso una rete pubblica di comunicazione, chepossono essere archiviati in rete o nell'apparecchiatura terminalericevente, fino a che il ricevente non ne ha preso conoscenza. 3. Ai fini del presente codice si intende, altresi', per: a) "misure minime", il complesso delle misure tecniche,informatiche, organizzative, logistiche e procedurali di sicurezzache configurano il livello minimo di protezione richiesto inrelazione ai rischi previsti nell'articolo 31; b) "strumenti elettronici", gli elaboratori, i programmi perelaboratori e qualunque dispositivo elettronico o comunqueautomatizzato con cui si effettua il trattamento; c) "autenticazione informatica", l'insieme degli strumentielettronici e delle procedure per la verifica anche indirettadell'identita'; d) "credenziali di autenticazione", i dati ed i dispositivi, inpossesso di una persona, da questa conosciuti o ad essa univocamentecorrelati, utilizzati per l'autenticazione informatica; e) "parola chiave", componente di una credenziale diautenticazione associata ad una persona ed a questa nota, costituitada una sequenza di caratteri o altri dati in forma elettronica; f) "profilo di autorizzazione", l'insieme delle informazioni,univocamente associate ad una persona, che consente di individuare aquali dati essa puo' accedere, nonche' i trattamenti ad essaconsentiti; g) "sistema di autorizzazione", l'insieme degli strumenti e delleprocedure che abilitano l'accesso ai dati e alle modalita' ditrattamento degli stessi, in funzione del profilo di autorizzazionedel richiedente. 4. Ai fini del presente codice si intende per: a) "scopi storici", le finalita' di studio, indagine, ricerca edocumentazione di figure, fatti e circostanze del passato; b) "scopi statistici", le finalita' di indagine statistica o diproduzione di risultati statistici, anche a mezzo di sistemiinformativi statistici; c) "scopi scientifici", le finalita' di studio e di indaginesistematica finalizzata allo sviluppo delle conoscenze scientifichein uno specifico settore. Art. 5(Oggetto ed ambito di applicazione)
1. Il presente codice disciplina il trattamento di dati personali,anche detenuti all'estero, effettuato da chiunque e' stabilito nelterritorio dello Stato o in un luogo comunque soggetto allasovranita' dello Stato.
2. Il presente codice si applica anche al trattamento di datipersonali effettuato da chiunque e' stabilito nel territorio di unPaese non appartenente all'Unione europea e impiega, per iltrattamento, strumenti situati nel territorio dello Stato anchediversi da quelli elettronici, salvo che essi siano utilizzati soloai fini di transito nel territorio dell'Unione europea. In caso diapplicazione del presente codice, il titolare del trattamento designaun proprio rappresentante stabilito nel territorio dello Stato aifini dell'applicazione della disciplina sul trattamento dei datipersonali. 3. Il trattamento di dati personali effettuato da persone fisicheper fini esclusivamente personali e' soggetto all'applicazione delpresente codice solo se i dati sono destinati ad una comunicazionesistematica o alla diffusione. Si applicano in ogni caso ledisposizioni in tema di responsabilita' e di sicurezza dei dati dicui agli articoli 15 e 31. Art. 6 (Disciplina del trattamento) 1. Le disposizioni contenute nella presente Parte si applicano atutti i trattamenti di dati, salvo quanto previsto, in relazione adalcuni trattamenti, dalle disposizioni integrative o modificativedella Parte II.
Titolo II
DIRITTI DELL'INTERESSATO
Art. 7 (Diritto di accesso ai dati personali ed altri diritti) 1. L'interessato ha diritto di ottenere la conferma dell'esistenzao meno di dati personali che lo riguardano, anche se non ancoraregistrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere a) dell'origine dei dati personali; b) delle finalita' e modalita' del trattamento; c) della logica applicata in caso di trattamento effettuato conl'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare, dei responsabili edel rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i datipersonali possono essere comunicati o che possono venirne aconoscenza in qualita' di rappresentante designato nel territoriodello Stato, di responsabili o incaricati. 3. L'interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi hainteresse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o ilblocco dei dati trattati in violazione di legge, compresi quelli dicui non e' necessaria la conservazione in relazione agli scopi per iquali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b)sono state portate a conoscenza, anche per quanto riguarda il lorocontenuto, di coloro ai quali i dati sono stati comunicati o diffusi,eccettuato il caso in cui tale adempimento si rivela impossibile ocomporta un impiego di mezzi manifestamente sproporzionato rispettoal diritto tutelato. 4. L'interessato ha diritto di opporsi, in tutto o in parte: a) per motivi legittimi al trattamento dei dati personali che loriguardano, ancorche' pertinenti allo scopo della raccolta; b) al trattamento di dati personali che lo riguardano a fini diinvio di materiale pubblicitario o di vendita diretta o per ilcompimento di ricerche di mercato o di comunicazione commerciale. Art. 8 (Esercizio dei diritti) 1. I diritti di cui all'articolo 7 sono esercitati con richiestarivolta senza formalita' al titolare o al responsabile, anche per iltramite di un incaricato, alla quale e' fornito idoneo riscontrosenza ritardo. 2. I diritti di cui all'articolo 7 non possono essere esercitaticon richiesta al titolare o al responsabile o con ricorso ai sensidell'articolo 145, se i trattamenti di dati personali sonoeffettuati: a) in base alle disposizioni del decreto-legge 3 maggio 1991, n.143, convertito, con modificazioni, dalla legge luglio 1991, n. 197,e successive modificazioni, in materia di riciclaggio; b) in base alle disposizioni del decreto-legge 31 dicembre 1991,n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992,n. 172, e successive modificazioni, in materia di sostegno allevittime di richieste estorsive; c) da Commissioni parlamentari d'inchiesta istituite ai sensidell'articolo 82 della Costituzione; d) da un soggetto pubblico, diverso dagli enti pubblici economici,in base ad espressa disposizione di legge, per esclusive finalita'inerenti alla politica monetaria e valutaria, al sistema deipagamenti, al controllo degli intermediari e dei mercati creditizi efinanziari, nonche' alla tutela della loro stabilita'; e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamenteal periodo durante il quale potrebbe derivarne un pregiudizioeffettivo e concreto per lo svolgimento delle investigazionidifensive o per l'esercizio del diritto in sede giudiziaria; f) da fornitori di servizi di comunicazione elettronicaaccessibili al pubblico relativamente a comunicazioni telefoniche inentrata, salvo che possa derivarne un pregiudizio effettivo econcreto per lo svolgimento delle investigazioni difensive di cuialla legge 7 dicembre 2000, n. 397; g) per ragioni di giustizia, presso uffici giudiziari di ogniordine e grado o il Consiglio superiore della magistratura o altriorgani di autogoverno o il Ministero della giustizia; h) ai sensi dell'articolo 53, fermo restando quanto previsto dallalegge 1 aprile 1981, n. 121. 3. Il Garante, anche su segnalazione dell'interessato, nei casi dicui al comma 2, lettere a), b), d), e) ed f) provvede nei modi di cuiagli articoli 157, 158 e 159 e, nei casi di cui alle lettere c), g)ed h) del medesimo comma, provvede nei modi di cui all'articolo 160. 4. L'esercizio dei diritti di cui all'articolo 7, quando nonriguarda dati di carattere oggettivo, puo' avere luogo salvo checoncerna la rettificazione o l'integrazione di dati personali di tipovalutativo, relativi a giudizi, opinioni o ad altri apprezzamenti ditipo soggettivo, nonche' l'indicazione di condotte da tenersi o didecisioni in via di assunzione da parte del titolare del trattamento. Art. 9 (Modalita' di esercizio) 1. La richiesta rivolta al titolare o al responsabile puo' esseretrasmessa anche mediante lettera raccomandata, telefax o postaelettronica. Il Garante puo' individuare altro idoneo sistema inriferimento a nuove soluzioni tecnologiche. Quando riguardal'esercizio dei diritti di cui all'articolo 7, commi 1 e 2, larichiesta puo' essere formulata anche oralmente e in tal caso e'annotata sinteticamente a cura dell'incaricato o del responsabile. 2. Nell'esercizio dei diritti di cui all'articolo 7 l'interessatopuo' conferire, per iscritto, delega o procura a persone fisiche,
enti, associazioni od organismi. L'interessato puo', altresi', farsiassistere da una persona di fiducia. 3. I diritti di cui all'articolo 7 riferiti a dati personaliconcernenti persone decedute possono essere esercitati da chi ha uninteresse proprio, o agisce a tutela dell'interessato o per ragionifamiliari meritevoli di protezione. 4. L'identita' dell'interessato e' verificata sulla base di idoneielementi di valutazione, anche mediante atti o documenti disponibilio esibizione o allegazione di copia di un documento diriconoscimento. La persona che agisce per conto dell'interessatoesibisce o allega copia della procura, ovvero della delegasottoscritta in presenza di un incaricato o sottoscritta e presentataunitamente a copia fotostatica non autenticata di un documento diriconoscimento dell'interessato. Se l'interessato e' una personagiuridica, un ente o un'associazione, la richiesta e' avanzata dallapersona fisica legittimata in base ai rispettivi statuti odordinamenti. 5. La richiesta di cui all'articolo 7, commi 1 e 2, e' formulataliberamente e senza costrizioni e puo' essere rinnovata, salval'esistenza di giustificati motivi, con intervallo non minore dinovanta giorni. Art. 10 (Riscontro all'interessato) 1. Per garantire l'effettivo esercizio dei diritti di cuiall'articolo 7 il titolare del trattamento e' tenuto ad adottareidonee misure volte, in particolare: a) ad agevolare l'accesso ai dati personali da partedell'interessato, anche attraverso l'impiego di appositi programmiper elaboratore finalizzati ad un'accurata selezione dei dati cheriguardano singoli interessati identificati o identificabili; b) a semplificare le modalita' e a ridurre i tempi per ilriscontro al richiedente, anche nell'ambito di uffici o servizipreposti alle relazioni con il pubblico. 2. I dati sono estratti a cura del responsabile o degli incaricatie possono essere comunicati al richiedente anche oralmente, ovveroofferti in visione mediante strumenti elettronici, sempre che in talicasi la comprensione dei dati sia agevole, considerata anche laqualita' e la quantita' delle informazioni. Se vi e' richiesta, si
provvede alla trasposizione dei dati su supporto cartaceo oinformatico, ovvero alla loro trasmissione per via telematica. 3. Salvo che la richiesta sia riferita ad un particolaretrattamento o a specifici dati personali o categorie di datipersonali, il riscontro all'interessato comprende tutti i datipersonali che riguardano l'interessato comunque trattati daltitolare. Se la richiesta e' rivolta ad un esercente una professionesanitaria o ad un organismo sanitario si osserva la disposizione dicui all'articolo 84, comma 1. 4. Quando l'estrazione dei dati risulta particolarmentedifficoltosa il riscontro alla richiesta dell'interessato puo'avvenire anche attraverso l'esibizione o la consegna in copia di attie documenti contenenti i dati personali richiesti. 5. Il diritto di ottenere la comunicazione in forma intelligibiledei dati non riguarda dati personali relativi a terzi, salvo che lascomposizione dei dati trattati o la privazione di alcuni elementirenda incomprensibili i dati personali relativi all'interessato. 6. La comunicazione dei dati e' effettuata in forma intelligibileanche attraverso l'utilizzo di una grafia comprensibile. In caso dicomunicazione di codici o sigle sono forniti, anche mediante gliincaricati, i parametri per la comprensione del relativo significato. 7. Quando, a seguito della richiesta di cui all'articolo 7, commi1 e 2, lettere a), b) e c) non risulta confermata l'esistenza di datiche riguardano l'interessato, puo' essere chiesto un contributo spesenon eccedente i costi effettivamente sopportati per la ricercaeffettuata nel caso specifico. 8. Il contributo di cui al comma 7 non puo' comunque superarel'importo determinato dal Garante con provvedimento di caratteregenerale, che puo' individuarlo forfettariamente in relazione al casoin cui i dati sono trattati con strumenti elettronici e la rispostae' fornita oralmente. Con il medesimo provvedimento il Garante puo'prevedere che il contributo possa essere chiesto quando i datipersonali figurano su uno speciale supporto del quale e' richiestaspecificamente la riproduzione, oppure quando, presso uno o piu'titolari, si determina un notevole impiego di mezzi in relazione allacomplessita' o all'entita' delle richieste ed e' confermata
l'esistenza di dati che riguardano l'interessato. 9. Il contributo di cui ai commi 7 e 8 e' corrisposto anchemediante versamento postale o bancario, ovvero mediante carta dipagamento o di credito, ove possibile all'atto della ricezione delriscontro e comunque non oltre quindici giorni da tale riscontro.
Titolo III
REGOLE GENERALI PER IL
TRATTAMENTO DEI DATI
CAPO I
REGOLE PER TUTTI I
TRATTAMENTI
Art. 11 (Modalita' del trattamento e requisiti dei dati) 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti elegittimi, ed utilizzati in altre operazioni del trattamento intermini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita'per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazionedell'interessato per un periodo di tempo non superiore a quellonecessario agli scopi per i quali essi sono stati raccolti osuccessivamente trattati. 2. I dati personali trattati in violazione della disciplinarilevante in materia di trattamento dei dati personali non possonoessere utilizzati. Art. 12 (Codici di deontologia e di buona condotta) 1. Il Garante promuove nell'ambito delle categorie interessate,nell'osservanza del principio di rappresentativita' e tenendo contodei criteri direttivi delle raccomandazioni del Consiglio d'Europasul trattamento di dati personali, la sottoscrizione di codici dideontologia e di buona condotta per determinati settori, ne verificala conformita' alle leggi e ai regolamenti anche attraverso l'esamedi osservazioni di soggetti interessati e contribuisce a garantirnela diffusione e il rispetto. 2. I codici sono pubblicati nella Gazzetta Ufficiale dellaRepubblica italiana a cura del Garante e, con decreto del Ministrodella giustizia, sono riportati nell'allegato A) del presente codice. 3. Il rispetto delle disposizioni contenute nei codici di cui alcomma 1 costituisce condizione essenziale per la liceita' ecorrettezza del trattamento dei dati personali effettuato da soggettiprivati e pubblici. 4. Le disposizioni del presente articolo si applicano anche alcodice di deontologia per i trattamenti di dati per finalita'giornalistiche promosso dal Garante nei modi di cui al comma 1 eall'articolo 139. Art. 13 (Informativa) 1. L'interessato o la persona presso la quale sono raccolti i datipersonali sono previamente informati oralmente o per iscritto circa: a) le finalita' e le modalita' del trattamento cui sono destinatii dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personalipossono essere comunicati o che possono venirne a conoscenza inqualita' di responsabili o incaricati, e l'ambito di diffusione dei
dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, delrappresentante nel territorio dello Stato ai sensi dell'articolo 5 edel responsabile. Quando il titolare ha designato piu' responsabilie' indicato almeno uno di essi, indicando il sito della rete dicomunicazione o le modalita' attraverso le quali e' conoscibile inmodo agevole l'elenco aggiornato dei responsabili. Quando e' statodesignato un responsabile per il riscontro all'interessato in caso diesercizio dei diritti di cui all'articolo 7, e' indicato taleresponsabile. 2. L'informativa di cui al comma 1 contiene anche gli elementiprevisti da specifiche disposizioni del presente codice e puo' noncomprendere gli elementi gia' noti alla persona che fornisce i dati ola cui conoscenza puo' ostacolare in concreto l'espletamento, daparte di un soggetto pubblico, di funzioni ispettive o di controllosvolte per finalita' di difesa o sicurezza dello Stato oppure diprevenzione, accertamento o repressione di reati. 3. Il Garante puo' individuare con proprio provvedimento modalita'semplificate per l'informativa fornita in particolare da servizitelefonici di assistenza e informazione al pubblico. 4. Se i dati personali non sono raccolti presso l'interessato,l'informativa di cui al comma 1, comprensiva delle categorie di datitrattati, e' data al medesimo interessato all'atto dellaregistrazione dei dati o, quando e' prevista la loro comunicazione,non oltre la prima comunicazione. 5. La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dallalegge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delleinvestigazioni difensive di cui alla legge 7 dicembre 2000, n. 397,o, comunque, per far valere o difendere un diritto in sedegiudiziaria, sempre che i dati siano trattati esclusivamente per talifinalita' e per il periodo strettamente necessario al loro
perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi cheil Garante, prescrivendo eventuali misure appropriate. dichiarimanifestamente sproporzionati rispetto al diritto tutelato, ovvero siriveli, a giudizio del Garante, impossibile. Art. 14 (Definizione di profili e della personalita' dell'interessato) 1. Nessun atto o provvedimento giudiziario o amministrativo cheimplichi una valutazione del comportamento umano puo' essere fondatounicamente su un trattamento automatizzato di dati personali volto adefinire il profilo o la personalita' dell'interessato. 2. L'interessato puo' opporsi ad ogni altro tipo di determinazioneadottata sulla base del trattamento di cui al comma 1, ai sensidell'articolo 7, comma 4, lettera a), salvo che la determinazione siastata adottata in occasione della conclusione o dell'esecuzione di uncontratto, in accoglimento di una proposta dell'interessato o sullabase di adeguate garanzie individuate dal presente codice o da unprovvedimento del Garante ai sensi dell'articolo 17. Art. 15(Danni cagionati per effetto del trattamento)
1. Chiunque cagiona danno ad altri per effetto del trattamento didati personali e' tenuto al risarcimento ai sensi dell'articolo 2050del codice civile. 2. Il danno non patrimoniale e' risarcibile anche in caso diviolazione dell'articolo 11. Art. 16 (Cessazione del trattamento) 1. In caso di cessazione, per qualsiasi causa, di un trattamento idati sono: a) distrutti; b) ceduti ad altro titolare, purche' destinati ad un trattamentoin termini compatibili agli scopi per i quali i dati sono raccolti; c) conservati per fini esclusivamente personali e non destinati aduna comunicazione sistematica o alla diffusione; d) conservati o ceduti ad altro titolare, per scopi storici,statistici o scientifici, in conformita' alla legge, ai regolamenti,alla normativa comunitaria e ai codici di deontologia e di buonacondotta sottoscritti ai sensi dell'articolo 12. 2. La cessione dei dati in violazione di quanto previsto dal comma1, lettera b), o di altre disposizioni rilevanti in materia ditrattamento dei dati personali e' priva di effetti. Art. 17 (Trattamento che presenta rischi specifici) 1. Il trattamento dei dati diversi da quelli sensibili egiudiziari che presenta rischi specifici per i diritti e le liberta'fondamentali, nonche' per la dignita' dell'interessato, in relazionealla natura dei dati o alle modalita' del trattamento o agli effettiche puo' determinare, e' ammesso nel rispetto di misure edaccorgimenti a garanzia dell'interessato, ove prescritti. 2. Le misure e gli accorgimenti di cui al comma 1 sono prescrittidal Garante in applicazione dei principi sanciti dal presente codice,nell'ambito di una verifica preliminare all'inizio del trattamento,effettuata anche in relazione a determinate categorie di titolari odi trattamenti, anche a seguito di un interpello del titolare. CAPO II
REGOLE ULTERIORI PER I
SOGGETTI PUBBLICI
Art. 18(Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici) 1. Le disposizioni del presente capo riguardano tutti i soggettipubblici, esclusi gli enti pubblici economici. 2. Qualunque trattamento di dati personali da parte di soggettipubblici e' consentito soltanto per lo svolgimento delle funzioniistituzionali. 3. Nel trattare i dati il soggetto pubblico osserva i presuppostie i limiti stabiliti dal presente codice, anche in relazione alladiversa natura dei dati, nonche' dalla legge e dai regolamenti. 4. Salvo quanto previsto nella Parte II per gli esercenti leprofessioni sanitarie e gli organismi sanitari pubblici, i soggettipubblici non devono richiedere il consenso dell'interessato. 5. Si osservano le disposizioni di cui all'articolo 25 in tema dicomunicazione e diffusione. Art. 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari) 1. Il trattamento da parte di un soggetto pubblico riguardantedati diversi da quelli sensibili e giudiziari e' consentito, fermorestando quanto previsto dall'articolo 18, comma 2, anche in mancanzadi una norma di legge o di regolamento che lo preveda espressamente. 2. La comunicazione da parte di un soggetto pubblico ad altrisoggetti pubblici e' ammessa quando e' prevista da una norma di leggeo di regolamento. In mancanza di tale norma la comunicazione e'ammessa quando e' comunque necessaria per lo svolgimento di funzioniistituzionali e puo' essere iniziata se e' decorso il termine di cuiall'articolo 39, comma 2, e non e' stata adottata la diversadeterminazione ivi indicata. 3. La comunicazione da parte di un soggetto pubblico a privati o aenti pubblici economici e la diffusione da parte di un soggettopubblico sono ammesse unicamente quando sono previste da una norma dilegge o di regolamento. Art. 20 (Principi applicabili al trattamento di dati sensibili) 1. Il trattamento dei dati sensibili da parte di soggetti pubblicie' consentito solo se autorizzato da espressa disposizione di leggenella quale sono specificati i tipi di' dati che possono esseretrattati e di operazioni eseguibili e le finalita' di rilevanteinteresse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica lafinalita' di rilevante interesse pubblico, ma non i tipi di dati
sensibili e di operazioni eseguibili, il trattamento e' consentitosolo in riferimento ai tipi di dati e di operazioni identificati eresi pubblici a cura dei soggetti che ne effettuano il trattamento,in relazione alle specifiche finalita' perseguite nei singoli casi enel rispetto dei principi di cui all'articolo 22, con atto di naturaregolamentare adottato in conformita' al parere espresso dal Garanteai sensi dell'articolo 154, comma 1, lettera g), anche su schemitipo. 3. Se il trattamento non e' previsto espressamente da unadisposizione di legge i soggetti pubblici possono richiedere alGarante l'individuazione delle attivita', tra quelle demandate aimedesimi soggetti dalla legge, che perseguono finalita' di rilevanteinteresse pubblico e per le quali e' conseguentemente autorizzato, aisensi dell'articolo 26, comma 2, il trattamento dei dati sensibili.Il trattamento e' consentito solo se il soggetto pubblico provvedealtresi' a identificare e rendere pubblici i tipi di dati e di
operazioni nei modi di cui al comma 2. 4. L'identificazione dei tipi di dati e di operazioni di cui aicommi 2 e 3 e' aggiornata e integrata periodicamente. Art. 21 (Principi applicabili al trattamento di dati giudiziari) 1. Il trattamento di dati giudiziari da parte di soggetti pubblicie' consentito solo se autorizzato da espressa disposizione di legge oprovvedimento del Garante che specifichino le finalita' di rilevanteinteresse pubblico del trattamento, i tipi di dati trattati e dioperazioni eseguibili. 2. Le disposizioni di cui all'articolo 20, commi 2 e 4, siapplicano anche al trattamento dei dati giudiziart. Art. 22(Principi applicabili al trattamento di dati sensibili e giudiziari) 1. I soggetti pubblici conformano il trattamento dei datisensibili e giudiziari secondo modalita' volte a prevenire violazionidei diritti, delle liberta' fondamentali e della dignita'dell'interessato. 2. Nel fornire l'informativa di cui all'articolo 13 soggettipubblici fanno espresso riferimento alla normativa che prevede gliobblighi o i compiti in base alla quale e' effettuato il trattamentodei dati sensibili e giudiziart. 3. I soggetti pubblici possono trattare solo i dati sensibili egiudiziari indispensabili per svolgere attivita' istituzionali chenon possono essere adempiute, caso per caso, mediante il trattamentodi dati anonimi o di dati personali di natura diversa. 4. I dati sensibili e giudiziari sono raccolti, di regola, pressol'interessato. 5. In applicazione dell'articolo 11, comma 1, lettere c), d) ede), i soggetti pubblici verificano periodicamente l'esattezza el'aggiornamento dei dati sensibili e giudiziari, nonche' la loropertinenza, completezza, non eccedenza e indispensabilita' rispettoalle finalita' perseguite nei singoli casi, anche con riferimento aidati che l'interessato fornisce di propria iniziativa. Al fine diassicurare che i dati sensibili e giudiziari siano indispensabilirispetto agli obblighi e ai compiti loro attribuiti, i soggettipubblici valutano specificamente il rapporto tra i dati e gliadempimenti. I dati che, anche a seguito delle verifiche, risultanoeccedenti o non pertinenti o non indispensabili non possono essereutilizzati, salvo che per l'eventuale conservazione, a norma dilegge, dell'atto o del documento che li contiene. Specificaattenzione e' prestata per la verifica dell'indispensabilita' deidati sensibili e giudiziari riferiti a soggetti diversi da quelli cuisi riferiscono direttamente le prestazioni o gli adempimenti. 6. I dati sensibili e giudiziari contenuti in elenchi, registri obanche di dati, tenuti con l'ausilio di strumenti elettronici, sonotrattati con tecniche di cifratura o mediante l'utilizzazione dicodici identificativi o di altre soluzioni che, considerato il numeroe la natura dei dati trattati, li rendono temporaneamenteinintelligibili anche a chi e' autorizzato ad accedervi e permettonodi identificare gli interessati solo in caso di necessita'. 7. I dati idonei a rivelare lo stato di salute e la vita sessualesono conservati separatamente da altri dati personali trattati perfinalita' che non richiedono il loro utilizzo. I medesimi dati sono
trattati con le modalita' di cui al comma 6 anche quando sono tenutiin elenchi, registri o banche di dati senza l'ausilio di strumentielettronici. 8. I dati idonei a rivelare lo stato di salute non possono esserediffusi. 9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensidel comma 3, i soggetti pubblici sono autorizzati ad effettuareunicamente le operazioni di trattamento indispensabili per ilperseguimento delle finalita' per le quali il trattamento e'consentito, anche quando i dati sono raccolti nello svolgimento dicompiti di vigilanza, di controllo o ispettivi. 10. I dati sensibili e giudiziari non possono essere trattatinell'ambito di test psicoattitudinali volti a definire il profilo ola personalita' dell'interessato. Le operazioni di raffronto tra datisensibili e giudiziari, nonche' i trattamenti di dati sensibili egiudiziari ai sensi dell'articolo 14, sono effettuati solo previaannotazione scritta dei motivi. 11. In ogni caso, le operazioni e i trattamenti di cui al comma10, se effettuati utilizzando banche di dati di diversi titolari,nonche' la diffusione dei dati sensibili e giudiziari, sono ammessi
solo se previsti da espressa disposizione di legge. 12. Le disposizioni di cui al presente articolo recano principiapplicabili, in conformita' ai rispettivi ordinamenti, ai trattamentidisciplinati dalla Presidenza della Repubblica, dalla Camera deideputati, dal Senato della Repubblica e dalla Corte costituzionale.
CAPO III
REGOLE ULTERIORI PER PRIVATI ED ENTI
PUBBLICI ECONOMICI
Art. 23 (Consenso) 1. Il trattamento di dati personali da parte di privati o di entipubblici economici e' ammesso solo con il consenso espressodell'interessato. 2. Il consenso puo' riguardare l'intero trattamento ovvero una opiu' operazioni dello stesso.
3. Il consenso e' validamente prestato solo se e' espressoliberamente e specificamente in riferimento ad un trattamentochiaramente individuato, se e' documentato per iscritto, e se sonostate rese all'interessato le informazioni di cui all'articolo 13. 4. Il consenso e' manifestato in forma scritta quando iltrattamento riguarda dati sensibili. Art. 24(Casi nei quali puo' essere effettuato il trattamento senza consenso) 1. Il consenso non e' richiesto, oltre che nei casi previsti nellaParte II, quando il trattamento: a) e' necessario per adempiere ad un obbligo previsto dalla legge,da un regolamento o dalla normativa comunitaria; b) e' necessario per eseguire obblighi derivanti da un contrattodel quale e' parte l'interessato o per adempiere, prima dellaconclusione del contratto, a specifiche richieste dell'interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti odocumenti conoscibili da chiunque, fermi restando i limiti e lemodalita' che le leggi, i regolamenti o la normativa comunitaria
stabiliscono per la conoscibilita' e pubblicita' dei dati; d) riguarda dati relativi allo svolgimento di attivita'economiche, trattati nel rispetto della vigente normativa in materiadi segreto aziendale e industriale; e) e' necessario per la salvaguardia della vita o dell'incolumita'fisica di un terzo. Se la medesima finalita' riguarda l'interessato equest'ultimo non puo' prestare il proprio consenso per impossibilita'
fisica, per incapacita' di agire o per incapacita' di intendere o divolere, il consenso e' manifestato da chi esercita legalmente lapotesta', ovvero da un prossimo congiunto, da un familiare, da un
convivente o, in loro assenza, dal responsabile della strutturapresso cui dimora l'interessato. Si applica la disposizione di cuiall'articolo 82, comma 2; f) con esclusione della diffusione, e' necessario ai fini dellosvolgimento delle investigazioni difensive di cui alla legge 7dicembre 2000, n. 397, o, comunque, per far valere o difendere undiritto in sede giudiziaria, sempre che i dati siano trattatiesclusivamente per tali finalita' e per il periodo strettamentenecessario al loro perseguimento, nel rispetto della vigentenormativa in materia di segreto aziendale e industriale; g) con esclusione della diffusione, e' necessario, nei casiindividuati dal Garante sulla base dei principi sanciti dalla legge,per perseguire un legittimo interesse del titolare o di un terzodestinatario dei dati, anche in riferimento all'attivita' di gruppibancari e di societa' controllate o collegate, qualora non prevalganoi diritti e le liberta' fondamentali, la dignita' o un legittimointeresse dell'interessato; h) con esclusione della comunicazione all'esterno e delladiffusione, e' effettuato da associazioni, enti od organismi senzascopo di lucro, anche non riconosciuti, in riferimento a soggetti chehanno con essi contatti regolari o ad aderenti, per il perseguimentodi scopi determinati e legittimi individuati dall'atto costitutivo,dallo statuto o dal contratto collettivo, e con modalita' di utilizzopreviste espressamente con determinazione resa nota agli interessatiall'atto dell'informativa ai sensi dell'articolo 13; i) e' necessario, in conformita' ai rispettivi codici dideontologia di cui all'allegato A), per esclusivi scopi scientifici ostatistici, ovvero per esclusivi scopi storici presso archivi privatidichiarati di notevole interesse storico ai sensi dell'articolo 6,comma 2, del decreto legislativo 29 ottobre 1999, n. 490, diapprovazione del testo unico in materia di beni culturali eambientali o, secondo quanto previsto dai medesimi codici, pressoaltri archivi privati. Art. 25 (Divieti di comunicazione e diffusione) 1. La comunicazione e la diffusione sono vietate, oltre che incaso di divieto disposto dal Garante o dall'autorita' giudiziaria: a) in riferimento a dati personali dei quali e' stata ordinata lacancellazione, ovvero quando e' decorso il periodo di tempo indicatonell'articolo 11, comma 1, lettera e); b) per finalita' diverse da quelle indicate nella notificazionedel trattamento, ove prescritta. 2. E' fatta salva la comunicazione o diffusione di dati richieste,in conformita' alla legge, da forze di polizia, dall'autorita'giudiziaria, da organismi di informazione e sicurezza o da altrisoggetti pubblici ai sensi dell'articolo 58, comma 2, per finalita'di difesa o di sicurezza dello Stato o di prevenzione, accertamento orepressione di reati. Art. 26 (Garanzie per i dati sensibili) 1. I dati sensibili possono essere oggetto di trattamento solo conil consenso scritto dell'interessato e previa autorizzazione delGarante, nell'osservanza dei presupposti e dei limiti stabiliti dalpresente codice, nonche' dalla legge e dai regolamenti. 2. Il Garante comunica la decisione adottata sulla richiesta diautorizzazione entro quarantacinque giorni, decorsi i quali lamancata pronuncia equivale a rigetto. Con il provvedimento diautorizzazione, ovvero successivamente, anche sulla base di eventualiverifiche, il Garante puo' prescrivere misure e accorgimenti agaranzia dell'interessato, che il titolare del trattamento e' tenutoad adottare. 3. Il comma 1 non si applica al trattamento: a) dei dati relativi agli aderenti alle confessioni religiose e aisoggetti che con riferimento a finalita' di natura esclusivamentereligiosa hanno contatti regolari con le medesime confessioni,effettuato dai relativi organi, ovvero da enti civilmentericonosciuti, sempre che i dati non siano diffusi o comunicati fuoridelle medesime confessioni. Queste ultime determinano idonee garanzierelativamente ai trattamenti effettuati, nel rispetto dei principiindicati al riguardo con autorizzazione del Garante; b) dei dati riguardanti l'adesione di associazioni odorganizzazioni a carattere sindacale o di categoria ad altreassociazioni, organizzazioni o confederazioni a carattere sindacale odi categoria. 4. I dati sensibili possono essere oggetto di trattamento anchesenza consenso, previa autorizzazione del Garante: a) quando il trattamento e' effettuato da associazioni, enti odorganismi senza scopo di lucro, anche non riconosciuti, a caratterepolitico, filosofico, religioso o sindacale, ivi compresi partiti emovimenti politici, per il perseguimento di scopi determinati elegittimi individuati dall'atto costitutivo, dallo statuto o dalcontratto collettivo, relativamente ai dati personali degli aderentio dei soggetti che in relazione a tali finalita' hanno contattiregolari con l'associazione, ente od organismo, sempre che i dati nonsiano comunicati all'esterno o diffusi e l'ente, associazione odorganismo determini idonee garanzie relativamente ai trattamentieffettuati, prevedendo espressamente le modalita' di utilizzo deidati con determinazione resa nota agli interessati all'attodell'informativa ai sensi dell'articolo 13; b) quando il trattamento e' necessario per la salvaguardia dellavita o dell'incolumita' fisica di un terzo. Se la medesima finalita'riguarda l'interessato e quest'ultimo non puo' prestare il proprioconsenso per impossibilita' fisica, per incapacita' di agire o perincapacita' di intendere o di volere, il consenso e' manifestato da
chi esercita legalmente la potesta', ovvero da un prossimo congiunto,da un familiare, da un convivente o, in loro assenza, dalresponsabile della struttura presso cui dimora l'interessato. Siapplica la disposizione di cui all'articolo 82, comma 2; c) quando il trattamento e' necessario ai fini dello svolgimentodelle investigazioni difensive di cui alla legge 7 dicembre 2000, n.397, o, comunque, per far valere o difendere in sede giudiziaria undiritto, sempre che i dati siano trattati esclusivamente per talifinalita' e per il periodo strettamente necessario al loro
perseguimento. Se i dati sono idonei a rivelare lo stato di salute ela vita sessuale, il diritto deve essere di rango pari a quellodell'interessato, ovvero consistente in un diritto della personalita'o in un altro diritto o liberta' fondamentale e inviolabile; d) quando e' necessario per adempiere a specifici obblighi ocompiti previsti dalla legge, da un regolamento o dalla normativacomunitaria per la gestione del rapporto di lavoro, anche in materiadi igiene e sicurezza del lavoro e della popolazione e di previdenzae assistenza, nei limiti previsti dall'autorizzazione e fermerestando le disposizioni del codice di deontologia e di buonacondotta di cui all'articolo 111. 5. I dati idonei a rivelare lo stato di salute non possono esserediffusi. Art. 27 (Garanzie per i dati giudiziari) 1. Il trattamento di dati giudiziari da parte di privati o di entipubblici economici e' consentito soltanto se autorizzato da espressadisposizione di legge o provvedimento del Garante che specifichino lerilevanti finalita' di interesse pubblico del trattamento, i tipi didati trattati e di operazioni eseguibili.
TITOLO IV
SOGGETTI CHE EFFETTUANO
IL TRATTAMENTO
Art. 28 (Titolare del trattamento) 1. Quando il trattamento e' effettuato da una persona giuridica,da una pubblica amministrazione o da un qualsiasi altro ente,associazione od organismo, titolare del trattamento e' l'entita' nelsuo complesso o l'unita' od organismo periferico che esercita unpotere decisionale del tutto autonomo sulle finalita' e sullemodalita' del trattamento, ivi compreso il profilo della sicurezza.
Art. 29 (Responsabile del trattamento) 1. Il responsabile e' designato dal titolare facoltativamente. 2. Se designato, il responsabile e' individuato tra soggetti cheper esperienza, capacita' ed affidabilita' forniscano idonea garanziadel pieno rispetto delle vigenti disposizioni in materia ditrattamento, ivi compreso il profilo relativo alla sicurezza. 3. Ove necessario per esigenze organizzative, possono esseredesignati responsabili piu' soggetti, anche mediante suddivisione dicompiti. 4. I compiti affidati al responsabile sono analiticamentespecificati per iscritto dal titolare. 5. Il responsabile effettua il trattamento attenendosi alleistruzioni impartite dal titolare il quale, anche tramite verificheperiodiche, vigila sulla puntuale osservanza delle disposizioni dicui al comma 2 e delle proprie istruzioni. Art. 30 (Incaricati del trattamento) 1. Le operazioni di trattamento possono essere effettuate solo daincaricati che operano sotto la diretta autorita' del titolare o delresponsabile, attenendosi alle istruzioni impartite. 2. La designazione e' effettuata per iscritto e individuapuntualmente l'ambito del trattamento consentito. Si considera taleanche la documentata preposizione della persona fisica ad una unita'per la quale e' individuato, per iscritto, l'ambito del trattamentoconsentito agli addetti all'unita' medesima. Titolo V
SICUREZZA DEI DATI E DEI SISTEMI
CAPO I
MISURE DI
SICUREZZA
Art. 31 (Obblighi di sicurezza) 1. I dati personali oggetto di trattamento sono custoditi econtrollati, anche in relazione alle conoscenze acquisite in base alprogresso tecnico, alla natura dei dati e alle specifichecaratteristiche del trattamento, in modo da ridurre al minimo,mediante l'adozione di idonee e preventive misure di sicurezza, irischi di distruzione o perdita, anche accidentale, dei dati stessi,di accesso non autorizzato o di trattamento non consentito o nonconforme alle finalita' della raccolta. Art. 32 (Particolari titolari) 1. Il fornitore di un servizio di comunicazione elettronicaaccessibile al pubblico adotta ai sensi dell'articolo 31 idoneemisure tecniche e organizzative adeguate al rischio esistente, persalvaguardare la sicurezza dei suoi servizi, l'integrita' dei datirelativi al traffico, dei dati relativi all'ubicazione e dellecomunicazioni elettroniche rispetto ad ogni forma di utilizzazione ocognizione non consentita. 2. Quando la sicurezza del servizio o dei dati personali richiedeanche l'adozione di misure che riguardano la rete, il fornitore delservizio di comunicazione elettronica accessibile al pubblico adottatali misure congiuntamente con il fornitore della rete pubblica dicomunicazioni. In caso di mancato accordo, su richiesta di uno deifornitori, la controversia e' definita dall'Autorita' per le garanzienelle comunicazioni secondo le modalita' previste dalla normativavigente. 3. Il fornitore di un servizio di comunicazione elettronicaaccessibile al pubblico informa gli abbonati e, ove possibile, gliutenti, se sussiste un particolare rischio di violazione dellasicurezza della rete, indicando, quando il rischio e' al di fuoridell'ambito di applicazione delle misure che il fornitore stesso e'tenuto ad adottare ai sensi dei commi 1 e 2, tutti i possibili rimedie i relativi costi presumibili. Analoga informativa e' resa alGarante e all'Autorita' per le garanzie nelle comunicazioni.
CAPO II
MISURE MINIME DI
SICUREZZA
Art. 33 (Misure minime) 1. Nel quadro dei piu' generali obblighi di sicurezza di cuiall'articolo 31, o previsti da speciali disposizioni, i titolari deltrattamento sono comunque tenuti ad adottare le misure minimeindividuate nel presente capo o ai sensi dell'articolo 58, comma 3,volte ad assicurare un livello minimo di protezione dei datipersonali. Art. 34 (Trattamenti con strumenti elettronici) 1. Il trattamento di dati personali effettuato con strumentielettronici e' consentito solo se sono adottate, nei modi previstidal disciplinare tecnico contenuto nell'allegato B), le seguentimisure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali diautenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito deltrattamento consentito ai singoli incaricati e addetti alla gestioneo alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto atrattamenti illeciti di dati, ad accessi non consentiti e adeterminati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, ilripristino della disponibilita' dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sullasicurezza; h) adozione di tecniche di cifratura o di codici identificativiper determinati trattamenti di dati idonei a rivelare lo stato disalute o la vita sessuale effettuati da organismi sanitart. Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici) 1. Il trattamento di dati personali effettuato senza l'ausilio distrumenti elettronici e' consentito solo se sono adottate, nei modiprevisti dal disciplinare tecnico contenuto nell'allegato B), leseguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito deltrattamento consentito ai singoli incaricati o alle unita'organizzative; b) previsione di procedure per un'idonea custodia di atti edocumenti affidati agli incaricati per lo svolgimento dei relativicompiti; c) previsione di procedure per la conservazione di determinatiatti in archivi ad accesso selezionato e disciplina delle modalita'di accesso finalizzata all'identificazione degli incaricati. Art. 36 (Adeguamento) 1. Il disciplinare tecnico di cui all'allegato B), relativo allemisure minime di cui al presente capo, e' aggiornato periodicamentecon decreto del Ministro della giustizia di concerto con il Ministroper le innovazioni e le tecnologie, in relazione all'evoluzionetecnica e all'esperienza maturata nel settore.
Titolo VI
ADEMPIMENTI
Art. 37 (Notificazione del trattamento) 1. Il titolare notifica al Garante il trattamento di datipersonali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizionegeografica di persone od oggetti mediante una rete di comunicazioneelettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale,trattati a fini di procreazione assistita, prestazione di servizisanitari per via telematica relativi a banche di dati o allafornitura di beni, indagini epidemiologiche, rilevazione di malattiementali, infettive e diffusive, sieropositivita', trapianto di organie tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichicatrattati da associazioni, enti od organismi senza scopo di lucro,anche non riconosciuti, a carattere politico, filosofico, religioso osindacale; d) dati trattati con l'ausilio di strumenti elettronici volti adefinire il profilo o la personalita' dell'interessato, o adanalizzare abitudini o scelte di consumo, ovvero a monitorarel'utilizzo di servizi di comunicazione elettronica con esclusione deitrattamenti tecnicamente indispensabili per fornire i servizimedesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezionedel personale per conto terzi, nonche' dati sensibili utilizzati persondaggi di opinione, ricerche di mercato e altre ricerchecampionarie; f) dati registrati in apposite banche di dati gestite construmenti elettronici e relative al rischio sulla solvibilita'economica, alla situazione patrimoniale, al corretto adempimento diobbligazioni, a comportamenti illeciti o fraudolenti. 2. Il Garante puo' individuare altri trattamenti suscettibili direcare pregiudizio ai diritti e alle liberta' dell'interessato, inragione delle relative modalita' o della natura dei dati personali,con proprio provvedimento adottato anche ai sensi dell'articolo 17.Con analogo provvedimento pubblicato sulla Gazzetta ufficiale dellaRepubblica italiana il Garante puo' anche individuare, nell'ambitodei trattamenti di cui al comma 1, eventuali trattamenti nonsuscettibili di recare detto pregiudizio e pertanto sottrattiall'obbligo di notificazione. 3. La notificazione e' effettuata con unico atto anche quando iltrattamento comporta il trasferimento all'estero dei dati. 4. Il Garante inserisce le notificazioni ricevute in un registrodei trattamenti accessibile a chiunque e determina le modalita' perla sua consultazione gratuita per via telematica, anche medianteconvenzioni con soggetti pubblici o presso il proprio Ufficio. Lenotizie accessibili tramite la consultazione del registro possonoessere trattate per esclusive finalita' di applicazione delladisciplina in materia di protezione dei dati personali. Art. 38 (Modalita' di notificazione) 1. La notificazione del trattamento e' presentata al Garante primadell'inizio del trattamento ed una sola volta, a prescindere dalnumero delle operazioni e della durata del trattamento da effettuare,e puo' anche riguardare uno o piu' trattamenti con finalita'correlate. 2. La notificazione e' validamente effettuata solo se e' trasmessaper via telematica utilizzando il modello predisposto dal Garante eosservando le prescrizioni da questi impartite, anche per quantoriguarda le modalita' di sottoscrizione con firma digitale e diconferma del ricevimento della notificazione. 3. Il Garante favorisce la disponibilita' del modello per viatelematica e la notificazione anche attraverso convenzioni stipulatecon soggetti autorizzati in base alla normativa vigente, anche pressoassociazioni di categoria e ordini professionali. 4. Una nuova notificazione e' richiesta solo anteriormente allacessazione del trattamento o al mutamento di taluno degli elementi daindicare nella notificazione medesima. 5. Il Garante puo' individuare altro idoneo sistema per lanotificazione in riferimento a nuove soluzioni tecnologiche previstedalla normativa vigente. 6. Il titolare del trattamento che non e' tenuto allanotificazione al Garante ai sensi dell'articolo 37 fornisce lenotizie contenute nel modello di cui al comma 2 a chi ne farichiesta, salvo che il trattamento riguardi pubblici registri,elenchi, atti o documenti conoscibili da chiunque. Art. 39 (Obblighi di comunicazione) 1. Il titolare del trattamento e' tenuto a comunicare previamenteal Garante le seguenti circostanze: a) comunicazione di dati personali da parte di un soggettopubblico ad altro soggetto pubblico non prevista da una norma dilegge o di regolamento, effettuata in qualunque forma anche medianteconvenzione; b) trattamento di dati idonei a rivelare lo stato di saluteprevisto dal programma di ricerca biomedica o sanitaria di cuiall'articolo 110, comma 1, primo periodo. 2. I trattamenti oggetto di comunicazione ai sensi del comma 1possono essere iniziati decorsi quarantacinque giorni dal ricevimentodella comunicazione salvo diversa determinazione anche successiva delGarante. 3. La comunicazione di cui al comma 1 e' inviata utilizzando ilmodello predisposto e reso disponibile dal Garante, e trasmessa aquest'ultimo per via telematica osservando le modalita' di
sottoscrizione con firma digitale e conferma del ricevimento di cuiall'articolo 38, comma 2, oppure mediante telefax o letteraraccomandata. Art. 40 (Autorizzazioni generali) 1. Le disposizioni del presente codice che prevedonoun'autorizzazione del Garante sono applicate anche mediante ilrilascio di autorizzazioni relative a determinate categorie dititolari o di trattamenti, pubblicate nella Gazzetta Ufficiale dellaRepubblica italiana. Art. 41 (Richieste di autorizzazione) 1. Il titolare del trattamento che rientra nell'ambito diapplicazione di un'autorizzazione rilasciata ai sensi dell'articolo40 non e' tenuto a presentare al Garante una richiesta diautorizzazione se il trattamento che intende effettuare e' conformealle relative prescrizioni. 2. Se una richiesta di autorizzazione riguarda un trattamentoautorizzato ai sensi dell'articolo 40 il Garante puo' provvederecomunque sulla richiesta se le specifiche modalita' del trattamentolo giustificano. 3. L'eventuale richiesta di autorizzazione e' formulatautilizzando esclusivamente il modello predisposto e reso disponibiledal Garante e trasmessa a quest'ultimo per via telematica, osservandole modalita' di sottoscrizione e conferma del ricevimento di cuiall'articolo 38, comma 2. La medesima richiesta e l'autorizzazionepossono essere trasmesse anche mediante telefax o letteraraccomandata. 4. Se il richiedente e' invitato dal Garante a fornireinformazioni o ad esibire documenti, il termine di quarantacinquegiorni di cui all'articolo 26, comma 2, decorre dalla data discadenza del termine fissato per l'adempimento richiesto. 5. In presenza di particolari circostanze, il Garante puo'rilasciare un'autorizzazione provvisoria a tempo determinato.
TITOLO VII
TRASFERIMENTO DEI DATI
ALL'ESTERO
Art. 42 (Trasferimenti all'interno dell'Unione europea) 1. Le disposizioni del presente codice non possono essereapplicate in modo tale da restringere o vietare la liberacircolazione dei dati personali fra gli Stati membri dell'Unioneeuropea, fatta salva l'adozione, in conformita' allo stesso codice,di eventuali provvedimenti in caso di trasferimenti di datieffettuati al fine di eludere le medesime disposizioni. Art. 43 (Trasferimenti consentiti in Paesi terzi) 1. Il trasferimento anche temporaneo fuori del territorio delloStato, con qualsiasi forma o mezzo, di dati personali oggetto ditrattamento, se diretto verso un Paese non appartenente all'Unioneeuropea e' consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, sesi tratta di dati sensibili, in forma scritta; b) e' necessario per l'esecuzione di obblighi derivanti da uncontratto del quale e' parte l'interessato o per adempiere, primadella conclusione del contratto, a specifiche richiestedell'interessato, ovvero per la conclusione o per l'esecuzione di uncontratto stipulato a favore dell'interessato; c) e' necessario per la salvaguardia di un interesse pubblicorilevante individuato con legge o con regolamento o, se iltrasferimento riguarda dati sensibili o giudiziari, specificato oindividuato ai sensi degli articoli 20 e 21; d) e' necessario per la salvaguardia della vita o dell'incolumita'fisica di un terzo. Se la medesima finalita' riguarda l'interessato equest'ultimo non puo' prestare il proprio consenso per impossibilita'
fisica, per incapacita' di agire o per incapacita' di intendere o divolere, il consenso e' manifestato da chi esercita legalmente lapotesta', ovvero da un prossimo congiunto, da un familiare, da un
convivente o, in loro assenza, dal responsabile della strutturapresso cui dimora l'interessato. Si applica la disposizione di cuiall'articolo 82, comma 2; e) e' necessario ai fini dello svolgimento delle investigazionidifensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, perfar valere o difendere un diritto in sede giudiziaria, sempre che idati siano trasferiti esclusivamente per tali finalita' e per ilperiodo strettamente necessario al loro perseguimento, nel rispettodella vigente normativa in materia di segreto aziendale eindustriale; f) e' effettuato in accoglimento di una richiesta di accesso aidocumenti amministrativi, ovvero di una richiesta di informazioniestraibili da un pubblico registro, elenco, atto o documentoconoscibile da chiunque, con l'osservanza delle norme che regolano lamateria; g) e' necessario, in conformita' ai rispettivi codici dideontologia di cui all'allegato A), per esclusivi scopi scientifici ostatistici, ovvero per esclusivi scopi storici presso archivi privatidichiarati di notevole interesse storico ai sensi dell'articolo 6,comma 2, del decreto legislativo 29 ottobre 1999, n. 490, diapprovazione del testo unico in materia di beni culturali eambientali o, secondo quanto previsto dai medesimi codici, pressoaltri archivi privati; h) il trattamento concerne dati riguardanti persone giuridiche,enti o associazioni. Art. 44 (Altri trasferimenti consentiti) 1. Il trasferimento di dati personali oggetto di trattamento,diretto verso un Paese non appartenente all'Unione europea, e'altresi' consentito quando e' autorizzato dal Garante sulla base di
adeguate garanzie per i diritti dell'interessato: a) individuate dal Garante anche in relazione a garanzie prestatecon un contratto; b) individuate con le decisioni previste dagli articoli 25,paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE delParlamento europeo e del Consiglio, del 24 ottobre 1995, con le qualila Commissione europea constata che un Paese non appartenenteall'Unione europea garantisce un livello di protezione adeguato o chealcune clausole contrattuali offrono garanzie sufficienti. Art. 45 (Trasferimenti vietati) 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimentoanche temporaneo fuori del territorio dello Stato, con qualsiasiforma o mezzo, di dati personali oggetto di trattamento, direttoverso un Paese non appartenente all'Unione europea, e' vietato quandol'ordinamento del Paese di destinazione o di transito dei dati nonassicura un livello di tutela delle persone adeguato. Sono valutateanche le modalita' del trasferimento e dei trattamenti previsti, lerelative finalita', la natura dei dati e le misure di sicurezza.
PARTE II
DISPOSIZIONI RELATIVE A SPECIFICI
SETTORI
*** OMISSIS ***
ALLEGATO B DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Artt. da 33 a 36 del codice) Trattamenti con strumenti elettroniciModalita' tecniche da adottare a cura del titolare, del responsabile
ove designato e dell'incaricato, in caso di trattamento con strumenti elettronici: Sistema di autenticazione informatica 1. Il trattamento di dati personali con strumenti elettronici e' consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 3. Ad ogni incaricato sono assegnate o associate individualmente una o piu' credenziali per l'autenticazione. 4. Con le istruzioni impartite agli incaricati e' prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave, quando e' prevista dal sistema di autenticazione, e' composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed e' modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave e' modificata almeno ogni tre mesi. 6. Il codice per l'identificazione, laddove utilizzato, non puo' essere assegnato ad altri incaricati, neppure in tempi diversi. 7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. 8. Le credenziali sono disattivate anche in caso di perdita della qualita' che consente all'incaricato l'accesso ai dati personali. 9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. 10. Quando l'accesso ai dati e agli strumenti elettronici e' consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalita' con le quali il titolare puo' assicurare la disponibilita' di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessita' di operativita' e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali e' organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione. Sistema di autorizzazione 12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso e' utilizzato un sistema di autorizzazione. 13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. 14. Periodicamente, e comunque almeno annualmente, e' verificata la sussistenza delle condizioni per la conservazione dei profili di autorizzazione. Altre misure di sicurezza 15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici, la lista degli incaricati puo' essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione. 16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. 17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita' di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento e' almeno semestrale. 18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con frequenza almeno settimanale. Documento programmatico sulla sicurezza 19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati giudiziari redige anche attraverso il responsabile, se designato, un documento programmatico sulla sicurezza contenente idonee informazioni riguardo:19.1. l'elenco dei trattamenti di dati personali;19.2. la distribuzione dei compiti e delle responsabilita' nell'ambito delle strutture preposte al trattamento dei dati;19.3. l'analisi dei rischi che incombono sui dati;19.4. le misure da adottare per garantire l'integrita' e la disponibilita' dei dati, nonche' la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilita';19.5. la descrizione dei criteri e delle modalita' per il ripristino della disponibilita' dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali piu' rilevanti in rapporto alle relative attivita', delle responsabilita' che ne derivano e delle modalita' per aggiornarsi sulle misure minime adottate dal titolare. La formazione e' programmata gia' al momento dell'ingresso in servizio, nonche' in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformita' al codice, all'esterno della struttura del titolare;19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato. Ulteriori misure in caso di trattamento di dati sensibili o giudiziari 20. I dati sensibili o giudiziari sono protetti contro l'accessoabusivo, di cui all'art. 615-ter del codice penale, mediantel'utilizzo di idonei strumenti elettronici. 21. Sono impartite istruzioni organizzative e tecniche per lacustodia e l'uso dei supporti rimovibili su cui sono memorizzati idati al fine di evitare accessi non autorizzati e trattamenti nonconsentiti. 22. I supporti rimovibili contenenti dati sensibili o giudiziarise non utilizzati sono distrutti o resi inutilizzabili, ovveropossono essere riutilizzati da altri incaricati, non autorizzati altrattamento degli stessi dati, se le informazioni precedentemente inessi contenute non sono intelligibili e tecnicamente in alcun modoricostruibili. 23. Sono adottate idonee misure per garantire il ripristinodell'accesso ai dati in caso di danneggiamento degli stessi o deglistrumenti elettronici, in tempi certi compatibili con i diritti degliinteressati e non superiori a sette giorni. 24. Gli organismi sanitari e gli esercenti le professionisanitarie effettuano il trattamento dei dati idonei a rivelare lostato di salute e la vita sessuale contenuti in elenchi, registri obanche di dati con le modalita' di cui all'articolo 22, comma 6, delcodice, anche al fine di consentire il trattamento disgiunto deimedesimi dati dagli altri dati personali che permettono diidentificare direttamente gli interessati. I dati relativiall'identita' genetica sono trattati esclusivamente all'interno dilocali protetti accessibili ai soli incaricati dei trattamenti ed aisoggetti specificatamente autorizzati ad accedervi; il trasporto deidati all'esterno dei locali riservati al loro trattamento deveavvenire in contenitori muniti di serratura o dispositiviequipollenti; il trasferimento dei dati in formato elettronico e'cifrato. Misure di tutela e garanzia 25. Il titolare che adotta misure minime di sicurezza avvalendosidi soggetti esterni alla propria struttura, per provvedere allaesecuzione riceve dall'installatore una descrizione scrittadell'intervento effettuato che ne attesta la conformita' alledisposizioni del presente disciplinare tecnico. 26. Il titolare riferisce, nella relazione accompagnatoria delbilancio d'esercizio, se dovuta, dell'avvenuta redazione oaggiornamento del documento programmatico sulla sicurezza. Trattamenti senza l'ausilio di strumenti elettroniciModalita' tecniche da adottare a cura del titolare, del responsabile,
ove designato, e dell'incaricato, in caso di trattamento construmenti diversi da quelli elettronici: 27. Agli incaricati sono impartite istruzioni scritte finalizzateal controllo ed alla custodia, per l'intero ciclo necessario allosvolgimento delle operazioni di trattamento, degli atti e deidocumenti contenenti dati personali. Nell'ambito dell'aggiornamentoperiodico con cadenza almeno annuale dell'individuazione dell'ambitodel trattamento consentito ai singoli incaricati, la lista degliincaricati puo' essere redatta anche per classi omogenee di incaricoe dei relativi profili di autorizzazione. 28. Quando gli atti e i documenti contenenti dati personalisensibili o giudiziari sono affidati agli incaricati del trattamentoper lo svolgimento dei relativi compiti, i medesimi atti e documentisono controllati e custoditi dagli incaricati fino alla restituzionein maniera che ad essi non accedano persone prive di autorizzazione,e sono restituiti al termine delle operazioni affidate. 29. L'accesso agli archivi contenenti dati sensibili o giudiziarie' controllato. Le persone ammesse, a qualunque titolo, dopo l'orariodi chiusura, sono identificate e registrate. Quando gli archivi nonsono dotati di strumenti elettronici per il controllo degli accessi odi incaricati della vigilanza, le persone che vi accedono sonopreventivamente autorizzate. ALLEGATO C
*** OMISSIS ***
FINE TESTO DECRETO
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
PROVVEDIMENTO 31 gennaio 2002
Autorizzazione al trattamento dei dati sensibili da parte degliorganismi di tipo associativo e delle fondazioni. (Autorizzazione n.3/2002). IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Autorizza il trattamento dei dati sensibili di cui all'art. 22, comma 1, dellalegge n. 675/1996 da parte di associazioni, fondazioni, comitati edaltri organismi di tipo associativo, alle condizioni di seguitoindicate. 1) Ambito di applicazione e finalita' del trattamento. La presente autorizzazione e' rilasciata: a) alle associazioni anche non riconosciute, ivi comprese leconfessioni religiose e le comunita' religiose, salvo quanto previstodall'art. 22, comma 1-bis, come introdotto dall'art. 5, comma 1, deldecreto legislativo n. 135/1999, i partiti e i movimenti politici, leassociazioni e le organizzazioni sindacali, i patronati, leassociazioni di categoria, le organizzazioni assistenziali o divolontariato, nonche' le federazioni e confederazioni nelle qualitali soggetti sono riuniti in conformita', ove esistenti, allostatuto, all'atto costitutivo o ad un contratto collettivo; b) alle fondazioni, ai comitati e ad ogni altro ente, consorziood organismo senza scopo di lucro, dotati o meno di personalita'giuridica, ivi comprese le organizzazioni non lucrative di utilita'sociale (Onlus); c) alle cooperative sociali e alle societa' di mutuo soccorso dicui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile1886, n. 3818. L'autorizzazione e' rilasciata altresi' agli istituti scolasticianche di tipo non associativo, limitatamente al trattamento dei datiidonei a rivelare le convinzioni religiose e per le operazionistrettamente necessarie per l'applicazione dell'art. 310 del decretolegislativo 16 aprile 1994, n. 297. L'autorizzazione e' rilasciata per il perseguimento di scopideterminati e legittimi individuati dall'atto costitutivo, dallostatuto o dal contratto collettivo, ove esistenti, e in particolareper il perseguimento di finalita' culturali, religiose, politiche,sindacali, sportive o agonistiche di tipo non professionistico, diistruzione anche con riguardo alla liberta' di sceltadell'insegnamento religioso, di formazione, di ricerca scientifica,di patrocinio, di tutela dell'ambiente e delle cose d'interesseartistico e storico, di salvaguardia dei diritti civili, nonche' dibeneficenza, assistenza sociale o socio-sanitaria. La presente autorizzazione e' rilasciata, altresi', per far valereo difendere un diritto anche da parte di un terzo in sedegiudiziaria, nonche' in sede amministrativa o nelle procedure diarbitrato e di conciliazione nei casi previsti dalla normativacomunitaria, dalle leggi, dai regolamenti o dai contratti collettivi,sempreche' il diritto da far valere o difendere sia di rango pari a
quello dell'interessato quando i dati siano idonei a rivelare lostato di salute e la vita sessuale, e i dati siano trattatiesclusivamente per tale finalita' e per il periodo strettamentenecessario per il suo perseguimento. La presente autorizzazione e' rilasciata inoltre per l'eserciziodel diritto di accesso ai documenti amministrativi, nei limiti diquanto stabilito dalle leggi e dai regolamenti in materia. Per i fini predetti, il trattamento dei dati sensibili puo'riguardare anche la tenuta di registri e scritture contabili, dielenchi, di indirizzari e di altri documenti necessari per lagestione amministrativa dell'associazione, della fondazione, delcomitato o del diverso organismo, o per l'adempimento di obblighifiscali, ovvero per la diffusione di riviste, bollettini e simili. Qualora i soggetti di cui alle lettere a), b) e c) si avvalgano dipersone giuridiche o di altri organismi con scopo di lucro perperseguire le predette finalita', ovvero richiedano ad essi lafornitura di beni, prestazioni o servizi, la presente autorizzazionee' rilasciata anche ai medesimi organismi e persone giuridiche. I soggetti di cui alle lettere a), b) e c), possono comunicare allepersone giuridiche e agli organismi con scopo di lucro, titolari diun autonomo trattamento, i soli dati sensibili strettamenteindispensabili per le attivita' di effettivo ausilio alle predettefinalita', con particolare riferimento alle generalita' degli
interessati e ad indirizzari, sulla base di un atto scritto cheindividui con precisione le informazioni comunicate, le modalita' delsuccessivo utilizzo e le particolari misure di sicurezza adottate. Ladichiarazione scritta di consenso degli interessati deve porre talecircostanza in particolare evidenza, e deve recare la precisamenzione dei titolari del trattamento e delle finalita' da essiperseguite. Le persone giuridiche e gli organismi con scopo di lucro,oltre a quanto previsto nei punti 3) e 5) in tema di pertinenza e dinon eccedenza dei dati, possono trattare i dati cosi' acquisiti soloper scopi di ausilio alle finalita' predette, ovvero per scopiamministrativi e contabili. 2) Interessati ai quali i dati si riferiscono. Il trattamento puo' riguardare i dati sensibili attinenti: a) agli associati, ai soci e, se strettamente indispensabile peril perseguimento delle finalita' di cui al punto 1), ai relativifamiliari e conviventi; b) agli aderenti, ai sostenitori o sottoscrittori, nonche' aisoggetti che presentano richiesta di ammissione o di adesione o chehanno contatti regolari con l'associazione, la fondazione o ildiverso organismo; c) ai soggetti che ricoprono cariche sociali o onorifiche; d) ai beneficiari, agli assistiti e ai fruitori delle attivita' odei servizi prestati dall'associazione o dal diverso organismo,limitatamente ai soggetti individuabili in base allo statuto oall'atto costitutivo, ove esistenti; e) agli studenti iscritti o che hanno presentato domanda diiscrizione agli istituti di cui al punto 1) e, qualora si tratti diminori, ai loro genitori o a chi ne esercita la potesta'; f) ai lavoratori dipendenti degli associati e dei soci,limitatamente ai dati idonei a rivelare l'adesione a sindacati,associazioni od organizzazioni a carattere sindacale e alleoperazioni necessarie per adempiere a specifici obblighi derivanti dacontratti collettivi anche aziendali. 3) Categorie di dati oggetto di trattamento. L'autorizzazione non riguarda i dati idonei a rivelare lo stato disalute e la vita sessuale, ai quali si riferisce l'autorizzazionegenerale n. 2/2002. Il trattamento puo' avere per oggetto gli altri dati sensibili dicui all'art. 22, comma 1, della legge 31 dicembre 1996, n. 675,idonei a rivelare l'origine razziale ed etnica, le convinzionireligiose, filosofiche o di altro genere, le opinioni politiche,l'adesione a partiti, sindacati, associazioni od organizzazioni acarattere religioso, filosofico, politico o sindacale. Il trattamento puo' riguardare i dati e le operazioniindispensabili per perseguire le finalita' di cui al punto 1) o,comunque, per adempiere ad obblighi derivanti dalla legge, dallanormativa comunitaria, dai regolamenti o dai contratti collettivi,che non possano essere perseguite o adempiuti, caso per caso,mediante il trattamento di dati anonimi o di dati personali di naturadiversa. A tal fine, anche mediante controlli periodici, deve essereverificata costantemente la stretta pertinenza e la non eccedenza deidati rispetto ai predetti obblighi e finalita', in particolare perquanto riguarda i dati che rivelano le opinioni e le intimeconvinzioni, anche con riferimento ai dati che l'interessato forniscedi propria iniziativa. I dati che, anche a seguito delle verifiche,risultano eccedenti o non pertinenti o non necessari non possonoessere utilizzati, salvo per l'eventuale conservazione, a norma dilegge, dell'atto o del documento che li contiene. 4) Modalita' di trattamento. Fermi restando gli obblighi previsti dagli articoli 9, 15, 17 e 28della legge n. 675/1996 e dal decreto del Presidente della Repubblican. 318/1999, il trattamento dei dati sensibili deve essere effettuatounicamente con logiche e mediante forme di organizzazione dei datistrettamente correlate alle finalita', agli scopi e agli obblighi dicui al punto 1). I dati sono raccolti, di regola, presso l'interessato. Restano fermi gli obblighi di informare l'interessato e diacquisirne il consenso scritto nei casi previsti dagli articoli 10 e22 della legge n. 675/1996, come modificati dal decreto legislativon. 467/2001. 5) Conservazione dei dati. Nel quadro del rispetto dell'obbligo previsto dall'art. 9, comma 1,lettera e), della legge n. 675/1996, i dati sensibili possono essereconservati per un periodo non superiore a quello necessario perperseguire le finalita' e gli scopi di cui al punto 1), ovvero peradempiere agli obblighi ivi menzionati. Le verifiche di cui al punto 3) devono riguardare anche lapertinenza e la non eccedenza dei dati rispetto all'attivita' svoltadall'interessato o al rapporto che intercorre tra l'interessato el'associazione, la fondazione, il comitato o il diverso organismo,tenendo presente il genere di prestazione, di beneficio o di servizioofferto all'interessato e la posizione di quest'ultimo rispettoall'associazione, alla fondazione, al comitato o al diversoorganismo. 6) Comunicazione e diffusione dei dati. I dati sensibili possono essere comunicati, e ove necessariodiffusi, solo se strettamente pertinenti alle finalita', agli scopi eagli obblighi di cui al punto 1) e tenendo presenti le altreprescrizioni sopraindicate. 7) Richieste di autorizzazione. I titolari dei trattamenti che rientrano nell'ambito diapplicazione della presente autorizzazione non sono tenuti apresentare una richiesta di autorizzazione a questa Autorita',qualora il trattamento che si intende effettuare sia conforme alleprescrizioni suddette. Le richieste di autorizzazione pervenute o che perverranno anchesuccessivamente alla data di adozione del presente provvedimento,devono intendersi accolte nei termini di cui al provvedimentomedesimo. Il Garante non prendera' in considerazione richieste diautorizzazione per trattamenti da effettuarsi in difformita' alleprescrizioni del presente provvedimento, salvo che il loroaccoglimento sia giustificato da circostanze del tutto particolari oda situazioni eccezionali non considerate nella presenteautorizzazione. 8) Norme finali. Restano fermi gli obblighi previsti dalla normativa comunitaria, danorme di legge o di regolamento che stabiliscono divieti o limiti inmateria di trattamento di dati personali. Restano inoltre ferme le norme volte a prevenire discriminazioni, ein particolare le disposizioni contenute nel decreto-legge 26 aprile1993, n. 122, convertito, con modificazioni, dalla legge 25 giugno1993, n. 205, in materia di discriminazione per motivi razziali,etnici, nazionali o religiosi e di delitti di genocidio. 9) Efficacia temporale e disciplina transitoria. La presente autorizzazione ha efficacia a decorrere dal 1 febbraio2002 fino al 30 giugno 2003. [TERMINE DIFFERITO AL 30 GIUGNO 2004 CON DELIBERAZIONE DEL GARANTE DEL 24.6.2003 PUBBLICATA SULLA G.U. N.191 DEL 19.8.2003] Qualora alla data della pubblicazione della presente autorizzazioneil trattamento non sia gia' conforme alle prescrizioni non contenutenella precedente autorizzazione n. 3/2000, il titolare deve adeguarsiad esse entro il 31 maggio 2002. La presente autorizzazione sara' pubblicata nella GazzettaUfficiale della Repubblica italiana. Roma, 31 gennaio 2002 Il presidente Rodota' Il relatore Paissan Il segretario generale
Buttarelli