PARTE
I: DISPOSIZIONI GENERALI
Titolo I: PRINCIPI GENERALI
Art. 1 (Diritto alla protezione dei dati personali)
1. Chiunque ha diritto alla protezione dei dati personali
che lo riguardano.
Art.
2 (Finalita')
1. Il presente testo unico, di seguito denominato “codice”,
garantisce che il trattamento dei dati personali si
svolga nel rispetto dei diritti e delle liberta' fondamentali,
nonche' della dignita' dell’interessato, con particolare
riferimento alla riservatezza, all'identita' personale
e al diritto alla protezione dei dati personali.
2. Il trattamento dei dati personali e' disciplinato
assicurando un elevato livello di tutela dei diritti
e delle liberta' di cui al comma 1 nel rispetto dei
principi di semplificazione, armonizzazione ed efficacia
delle modalita' previste per il loro esercizio da parte
degli interessati, nonche' per l’adempimento degli obblighi
da parte dei titolari del trattamento.
Art.
3 (Principio di necessita' nel
trattamento dei dati)
1. I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l’utilizzazione di dati
personali e di dati identificativi, in modo da escluderne
il trattamento quando le finalita' perseguite nei singoli
casi possono essere realizzate mediante, rispettivamente,
dati anonimi od opportune modalita' che permettano di
identificare l’interessato solo in caso di necessita'.
Art.
4
(Definizioni)
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di
operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione,
il raffronto, l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e
la distruzione di dati, anche se non registrati in una
banca di dati;
b) "dato personale", qualunque informazione relativa
a persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione,
ivi compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono
l’identificazione diretta dell’interessato;
d) “dati sensibili”, i dati personali idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni
a carattere religioso, filosofico, politico o sindacale,
nonche' i dati personali idonei a rivelare lo stato
di salute e la vita sessuale;
e) “dati giudiziari”, i dati personali idonei a rivelare
provvedimenti di cui all'articolo 3, comma 1, lettere
da a) a o) e da r) a u), del d.P.R. 14 novembre 2002,
n. 313, in materia di casellario giudiziale, di anagrafe
delle sanzioni amministrative dipendenti da reato e
dei relativi carichi pendenti, o la qualita' di imputato
o di indagato ai sensi degli articoli 60 e 61 del codice
di procedura penale;
f) "titolare", la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono, anche unitamente
ad altro titolare, le decisioni in ordine alle finalita',
alle modalita' del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della
sicurezza;
g) "responsabile", la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al trattamento
di dati personali;
h) “incaricati”, le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile;
i) "interessato", la persona fisica, la persona giuridica,
l'ente o l'associazione cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali
a uno o piu' soggetti determinati diversi dall'interessato,
dal rappresentante del titolare nel territorio dello
Stato, dal responsabile e dagli incaricati, in qualunque
forma, anche mediante la loro messa a disposizione o
consultazione;
m) "diffusione", il dare conoscenza dei dati personali
a soggetti indeterminati, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito
di trattamento, non puo' essere associato ad un interessato
identificato o identificabile;
o) "blocco", la conservazione di dati personali con
sospensione temporanea di ogni altra operazione del
trattamento;
p) “banca di dati”, qualsiasi complesso organizzato
di dati personali, ripartito in una o piu' unita' dislocate
in uno o piu' siti;
q) "Garante", l'autorita' di cui all’articolo 153, istituita
dalla legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre,
per:
a) “comunicazione elettronica”, ogni informazione scambiata
o trasmessa tra un numero finito di soggetti tramite
un servizio di comunicazione elettronica accessibile
al pubblico. Sono escluse le informazioni trasmesse
al pubblico tramite una rete di comunicazione elettronica,
come parte di un servizio di radiodiffusione, salvo
che le stesse informazioni siano collegate ad un abbonato
o utente ricevente, identificato o identificabile;
b) “chiamata”, la connessione istituita da un servizio
telefonico accessibile al pubblico, che consente la
comunicazione bidirezionale in tempo reale;
c) “reti di comunicazione elettronica”, i sistemi di
trasmissione, le apparecchiature di commutazione o di
instradamento e altre risorse che consentono di trasmettere
segnali via cavo, via radio, a mezzo di fibre ottiche
o con altri mezzi elettromagnetici, incluse le reti
satellitari, le reti terrestri mobili e fisse a commutazione
di circuito e a commutazione di pacchetto, compresa
Internet, le reti utilizzate per la diffusione circolare
dei programmi sonori e televisivi, i sistemi per il
trasporto della corrente elettrica, nella misura in
cui sono utilizzati per trasmettere i segnali, le reti
televisive via cavo, indipendentemente dal tipo di informazione
trasportato;
d) “rete pubblica di comunicazioni”, una rete di comunicazioni
elettroniche utilizzata interamente o prevalentemente
per fornire servizi di comunicazione elettronica accessibili
al pubblico;
e) “servizio di comunicazione elettronica”, i servizi
consistenti esclusivamente o prevalentemente nella trasmissione
di segnali su reti di comunicazioni elettroniche, compresi
i servizi di telecomunicazioni e i servizi di trasmissione
nelle reti utilizzate per la diffusione circolare radiotelevisiva,
nei limiti previsti dall’articolo 2, lettera c), della
direttiva 2002/21/CE del Parlamento europeo e del Consiglio,
del 7 marzo 2002;
f) “abbonato”, qualunque persona fisica, persona giuridica,
ente o associazione parte di un contratto con un fornitore
di servizi di comunicazione elettronica accessibili
al pubblico per la fornitura di tali servizi, o comunque
destinatario di tali servizi tramite schede prepagate;
g) “utente”, qualsiasi persona fisica che utilizza un
servizio di comunicazione elettronica accessibile al
pubblico, per motivi privati o commerciali, senza esservi
necessariamente abbonata;
h) “dati relativi al traffico”, qualsiasi dato sottoposto
a trattamento ai fini della trasmissione di una comunicazione
su una rete di comunicazione elettronica o della relativa
fatturazione;
i) “dati relativi all’ubicazione”, ogni dato trattato
in una rete di comunicazione elettronica che indica
la posizione geografica dell’apparecchiatura terminale
dell’utente di un servizio di comunicazione elettronica
accessibile al pubblico;
l) “servizio a valore aggiunto”, il servizio che richiede
il trattamento dei dati relativi al traffico o dei dati
relativi all’ubicazione diversi dai dati relativi al
traffico, oltre a quanto e' necessario per la trasmissione
di una comunicazione o della relativa fatturazione;
m) “posta elettronica”, messaggi contenenti testi, voci,
suoni o immagini trasmessi attraverso una rete pubblica
di comunicazione, che possono essere archiviati in rete
o nell’apparecchiatura terminale ricevente, fino a che
il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresi',
per:
a) “misure minime”, il complesso delle misure tecniche,
informatiche, organizzative, logistiche e procedurali
di sicurezza che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti nell’articolo
31;
b) “strumenti elettronici”, gli elaboratori, i programmi
per elaboratori e qualunque dispositivo elettronico
o comunque automatizzato con cui si effettua il trattamento;
c) “autenticazione informatica”, l’insieme degli strumenti
elettronici e delle procedure per la verifica anche
indiretta dell’identita';
d) “credenziali di autenticazione”, i dati ed i dispositivi,
in possesso di una persona, da questa conosciuti o ad
essa univocamente correlati, utilizzati per l’ autenticazione
informatica;
e) “parola chiave”, componente di una credenziale di
autenticazione associata ad una persona ed a questa
nota, costituita da una sequenza di caratteri o altri
dati in forma elettronica;
f) “profilo di autorizzazione”, l’insieme delle informazioni,
univocamente associate ad una persona, che consente
di individuare a quali dati essa puo' accedere, nonche'
i trattamenti ad essa consentiti;
g) “sistema di autorizzazione”, l’insieme degli strumenti
e delle procedure che abilitano l’accesso ai dati e
alle modalita' di trattamento degli stessi, in funzione
del profilo di autorizzazione del richiedente.
4. Ai fini del presente codice si intende per:
a) "scopi storici", le finalita' di studio, indagine,
ricerca e documentazione di figure, fatti e circostanze
del passato;
b) "scopi statistici", le finalita' di indagine statistica
o di produzione di risultati statistici, anche a mezzo
di sistemi informativi statistici;
c) "scopi scientifici", le finalita' di studio e di
indagine sistematica finalizzata allo sviluppo delle
conoscenze scientifiche in uno specifico settore.
Art.
5 (Oggetto ed ambito di applicazione)
1. Il presente codice disciplina il trattamento di dati
personali, anche detenuti all’estero, effettuato da
chiunque e' stabilito nel territorio dello Stato o in
un luogo comunque soggetto alla sovranita' dello Stato.
2. Il presente codice si applica anche al trattamento
di dati personali effettuato da chiunque e' stabilito
nel territorio di un Paese non appartenente all’Unione
europea e impiega, per il trattamento, strumenti situati
nel territorio dello Stato anche diversi da quelli elettronici,
salvo che essi siano utilizzati solo ai fini di transito
nel territorio dell’Unione europea. In caso di applicazione
del presente codice, il titolare del trattamento designa
un proprio rappresentante stabilito nel territorio dello
Stato ai fini dell’applicazione della disciplina sul
trattamento dei dati personali.
3. Il trattamento di dati personali effettuato da persone
fisiche per fini esclusivamente personali e' soggetto
all'applicazione del presente codice solo se i dati
sono destinati ad una comunicazione sistematica o alla
diffusione. Si applicano in ogni caso le disposizioni
in tema di responsabilita' e di sicurezza dei dati di
cui agli articoli 15 e 31.
Art.
6 (Disciplina del trattamento)
1. Le disposizioni contenute nella presente Parte si
applicano a tutti i trattamenti di dati, salvo quanto
previsto, in relazione ad alcuni trattamenti, dalle
disposizioni integrative o modificative della Parte
II.
Titolo
II: DIRITTI DELL’INTERESSATO
Art.
7 (Diritto di accesso
ai dati personali ed altri diritti)
1. L'interessato ha diritto di ottenere la conferma
dell'esistenza o meno di dati personali che lo riguardano,
anche se non ancora registrati, e la loro comunicazione
in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalita' e modalita' del trattamento;
c) della logica applicata in caso di trattamento effettuato
con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili
e del rappresentante designato ai sensi dell’articolo
5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali
i dati personali possono essere comunicati o che possono
venirne a conoscenza in qualita' di rappresentante designato
nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando
vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima
o il blocco dei dati trattati in violazione di legge,
compresi quelli di cui non e' necessaria la conservazione
in relazione agli scopi per i quali i dati sono stati
raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere
a) e b) sono state portate a conoscenza, anche per quanto
riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso
in cui tale adempimento si rivela impossibile o comporta
un impiego di mezzi manifestamente sproporzionato rispetto
al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in
parte:
a) per motivi legittimi al trattamento dei dati personali
che lo riguardano, ancorche' pertinenti allo scopo della
raccolta;
b) al trattamento di dati personali che lo riguardano
a fini di invio di materiale pubblicitario o di vendita
diretta o per il compimento di ricerche di mercato o
di comunicazione commerciale.
Art.
8 (Esercizio dei diritti)
1. I diritti di cui all’articolo 7 sono esercitati con
richiesta rivolta senza formalita' al titolare o al
responsabile, anche per il tramite di un incaricato,
alla quale e' fornito idoneo riscontro senza ritardo.
2. I diritti di cui all'articolo 7 non possono essere
esercitati con richiesta al titolare o al responsabile
o con ricorso ai sensi dell’articolo 145, se i trattamenti
di dati personali sono effettuati:
a) in base alle disposizioni del decreto-legge 3 maggio
1991, n. 143, convertito, con modificazioni, dalla legge
5 luglio 1991, n. 197, e successive modificazioni, in
materia di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre
1991, n. 419, convertito, con modificazioni, dalla legge
18 febbraio 1992, n. 172, e successive modificazioni,
in materia di sostegno alle vittime di richieste estorsive;
c) da Commissioni parlamentari d'inchiesta istituite
ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici
economici, in base ad espressa disposizione di legge,
per esclusive finalita' inerenti alla politica monetaria
e valutaria, al sistema dei pagamenti, al controllo
degli intermediari e dei mercati creditizi e finanziari,
nonche' alla tutela della loro stabilita';
e) ai sensi dell’articolo 24, comma 1, lettera f), limitatamente
al periodo durante il quale potrebbe derivarne un pregiudizio
effettivo e concreto per lo svolgimento delle investigazioni
difensive o per l’esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica
accessibili al pubblico relativamente a comunicazioni
telefoniche in entrata, salvo che possa derivarne un
pregiudizio effettivo e concreto per lo svolgimento
delle investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari
di ogni ordine e grado o il Consiglio superiore della
magistratura o altri organi di autogoverno o il Ministero
della giustizia;
h) ai sensi dell’articolo 53, fermo restando quanto
previsto dalla legge 1° aprile 1981, n. 121.
3. Il Garante, anche su segnalazione dell’interessato,
nei casi di cui al comma 2, lettere a), b), d), e) ed
f), provvede nei modi di cui agli articoli 157, 158
e 159 e, nei casi di cui alle lettere c), g) ed h) del
medesimo comma, provvede nei modi di cui all’articolo
160.
4. L’esercizio dei diritti di cui all’articolo 7, quando
non riguarda dati di carattere oggettivo, puo' avere
luogo salvo che concerna la rettificazione o l’integrazione
di dati personali di tipo valutativo, relativi a giudizi,
opinioni o ad altri apprezzamenti di tipo soggettivo,
nonche' l’indicazione di condotte da tenersi o di decisioni
in via di assunzione da parte del titolare del trattamento.
Art.
9 (Modalita' di esercizio)
1. La richiesta rivolta al titolare o al responsabile
puo' essere trasmessa anche mediante lettera raccomandata,
telefax o posta elettronica. Il Garante puo' individuare
altro idoneo sistema in riferimento a nuove soluzioni
tecnologiche. Quando riguarda l’esercizio dei diritti
di cui all'articolo 7, commi 1 e 2, la richiesta puo'
essere formulata anche oralmente e in tal caso e' annotata
sinteticamente a cura dell’incaricato o del responsabile.
2. Nell'esercizio dei diritti di cui all'articolo 7
l'interessato puo' conferire, per iscritto, delega o
procura a persone fisiche, enti, associazioni od organismi.
L'interessato puo', altresi', farsi assistere da una
persona di fiducia.
3. I diritti di cui all’articolo 7 riferiti a dati personali
concernenti persone decedute possono essere esercitati
da chi ha un interesse proprio, o agisce a tutela dell’interessato
o per ragioni familiari meritevoli di protezione.
4. L'identita' dell’interessato e' verificata sulla
base di idonei elementi di valutazione, anche mediante
atti o documenti disponibili o esibizione o allegazione
di copia di un documento di riconoscimento. La persona
che agisce per conto dell'interessato esibisce o allega
copia della procura, ovvero della delega sottoscritta
in presenza di un incaricato o sottoscritta e presentata
unitamente a copia fotostatica non autenticata di un
documento di riconoscimento dell’interessato. Se l'interessato
e' una persona giuridica, un ente o un'associazione,
la richiesta e' avanzata dalla persona fisica legittimata
in base ai rispettivi statuti od ordinamenti.
5. La richiesta di cui all’articolo 7, commi 1 e 2,
e' formulata liberamente e senza costrizioni e puo'
essere rinnovata, salva l'esistenza di giustificati
motivi, con intervallo non minore di novanta giorni.
Art.
10 (Riscontro all’interessato)
1. Per garantire l’effettivo esercizio dei diritti di
cui all’articolo 7 il titolare del trattamento e' tenuto
ad adottare idonee misure volte, in particolare:
a) ad agevolare l'accesso ai dati personali da parte
dell'interessato, anche attraverso l'impiego di appositi
programmi per elaboratore finalizzati ad un'accurata
selezione dei dati che riguardano singoli interessati
identificati o identificabili;
b) a semplificare le modalita' e a ridurre i tempi per
il riscontro al richiedente, anche nell'ambito di uffici
o servizi preposti alle relazioni con il pubblico.
2. I dati sono estratti a cura del responsabile o degli
incaricati e possono essere comunicati al richiedente
anche oralmente, ovvero offerti in visione mediante
strumenti elettronici, sempre che in tali casi la comprensione
dei dati sia agevole, considerata anche la qualita'
e la quantita' delle informazioni. Se vi e' richiesta,
si provvede alla trasposizione dei dati su supporto
cartaceo o informatico, ovvero alla loro trasmissione
per via telematica.
3. Salvo che la richiesta sia riferita ad un particolare
trattamento o a specifici dati personali o categorie
di dati personali, il riscontro all'interessato comprende
tutti i dati personali che riguardano l'interessato
comunque trattati dal titolare. Se la richiesta e' rivolta
ad un esercente una professione sanitaria o ad un organismo
sanitario si osserva la disposizione di cui all’articolo
84, comma 1.
4. Quando l’estrazione dei dati risulta particolarmente
difficoltosa il riscontro alla richiesta dell’interessato
puo' avvenire anche attraverso l’esibizione o la consegna
in copia di atti e documenti contenenti i dati personali
richiesti.
5. Il diritto di ottenere la comunicazione in forma
intelligibile dei dati non riguarda dati personali relativi
a terzi, salvo che la scomposizione dei dati trattati
o la privazione di alcuni elementi renda incomprensibili
i dati personali relativi all’interessato.
6. La comunicazione dei dati e' effettuata in forma
intelligibile anche attraverso l’utilizzo di una grafia
comprensibile. In caso di comunicazione di codici o
sigle sono forniti, anche mediante gli incaricati, i
parametri per la comprensione del relativo significato.
7. Quando, a seguito della richiesta di cui all'articolo
7, commi 1 e 2, lettere a), b) e c) non risulta confermata
l'esistenza di dati che riguardano l'interessato, puo'
essere chiesto un contributo spese non eccedente i costi
effettivamente sopportati per la ricerca effettuata
nel caso specifico.
8. Il contributo di cui al comma 7 non puo' comunque
superare l'importo determinato dal Garante con provvedimento
di carattere generale, che puo' individuarlo forfettariamente
in relazione al caso in cui i dati sono trattati con
strumenti elettronici e la risposta e' fornita oralmente.
Con il medesimo provvedimento il Garante puo' prevedere
che il contributo possa essere chiesto quando i dati
personali figurano su uno speciale supporto del quale
e' richiesta specificamente la riproduzione, oppure
quando, presso uno o piu' titolari, si determina un
notevole impiego di mezzi in relazione alla complessita'
o all’entita' delle richieste ed e' confermata l’esistenza
di dati che riguardano l’interessato.
9. Il contributo di cui ai commi 7 e 8 e' corrisposto
anche mediante versamento postale o bancario, ovvero
mediante carta di pagamento o di credito, ove possibile
all'atto della ricezione del riscontro e comunque non
oltre quindici giorni da tale riscontro.
Titolo
III: REGOLE GENERALI PER IL TRATTAMENTO DEI DATI
CAPO I: REGOLE PER TUTTI I TRATTAMENTI
Art.
11 (Modalita' del trattamento
e requisiti dei dati)
1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti
e legittimi, ed utilizzati in altre operazioni del trattamento
in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle
finalita' per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore
a quello necessario agli scopi per i quali essi sono
stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali
non possono essere utilizzati.
Art.
12 (Codici di deontologia
e di buona condotta)
1. Il Garante promuove nell’ambito delle categorie interessate,
nell’osservanza del principio di rappresentativita'
e tenendo conto dei criteri direttivi delle raccomandazioni
del Consiglio d’Europa sul trattamento di dati personali,
la sottoscrizione di codici di deontologia e di buona
condotta per determinati settori, ne verifica la conformita'
alle leggi e ai regolamenti anche attraverso l’esame
di osservazioni di soggetti interessati e contribuisce
a garantirne la diffusione e il rispetto.
2. I codici sono pubblicati nella Gazzetta Ufficiale
della Repubblica italiana a cura del Garante e, con
decreto del Ministro della giustizia, sono riportati
nell’allegato A) del presente codice.
3. Il rispetto delle disposizioni contenute nei codici
di cui al comma 1 costituisce condizione essenziale
per la liceita' e correttezza del trattamento dei dati
personali effettuato da soggetti privati e pubblici.
4. Le disposizioni del presente articolo si applicano
anche al codice di deontologia per i trattamenti di
dati per finalita' giornalistiche promosso dal Garante
nei modi di cui al comma 1 e all’articolo 139.
Art.
13 (Informativa)
1. L'interessato o la persona presso la quale sono raccolti
i dati personali sono previamente informati oralmente
o per iscritto circa:
a) le finalita' e le modalita' del trattamento cui sono
destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento
dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i
dati personali possono essere comunicati o che possono
venirne a conoscenza in qualita' di responsabili o incaricati,
e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati,
del rappresentante nel territorio dello Stato ai sensi
dell’articolo 5 e del responsabile. Quando il titolare
ha designato piu' responsabili e' indicato almeno uno
di essi, indicando il sito della rete di comunicazione
o le modalita' attraverso le quali e' conoscibile in
modo agevole l’elenco aggiornato dei responsabili. Quando
e' stato designato un responsabile per il riscontro
all’interessato in caso di esercizio dei diritti di
cui all’articolo 7, e' indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli
elementi previsti da specifiche disposizioni del presente
codice e puo' non comprendere gli elementi gia' noti
alla persona che fornisce i dati o la cui conoscenza
puo' ostacolare in concreto l'espletamento, da parte
di un soggetto pubblico, di funzioni ispettive o di
controllo svolte per finalita' di difesa o sicurezza
dello Stato oppure di prevenzione, accertamento o repressione
di reati.
3. Il Garante puo' individuare con proprio provvedimento
modalita' semplificate per l’informativa fornita in
particolare da servizi telefonici di assistenza e informazione
al pubblico.
4. Se i dati personali non sono raccolti presso l’interessato,
l’informativa di cui al comma 1, comprensiva delle categorie
di dati trattati, e' data al medesimo interessato all’atto
della registrazione dei dati o, quando e' prevista la
loro comunicazione, non oltre la prima comunicazione.
5. La disposizione di cui al comma 4 non si applica
quando:
a) i dati sono trattati in base ad un obbligo previsto
dalla legge, da un regolamento o dalla normativa comunitaria;
b) i dati sono trattati ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere
un diritto in sede giudiziaria, sempre che i dati siano
trattati esclusivamente per tali finalita' e per il
periodo strettamente necessario al loro perseguimento;
c) l’informativa all’interessato comporta un impiego
di mezzi che il Garante, prescrivendo eventuali misure
appropriate, dichiari manifestamente sproporzionati
rispetto al diritto tutelato, ovvero si riveli, a giudizio
del Garante, impossibile.
<Art.
14 (Definizione di profili e
della personalita' dell’interessato)
1. Nessun atto o provvedimento giudiziario o amministrativo
che implichi una valutazione del comportamento umano
puo' essere fondato unicamente su un trattamento automatizzato
di dati personali volto a definire il profilo o la personalita'
dell'interessato.
2. L'interessato puo' opporsi ad ogni altro tipo di
determinazione adottata sulla base del trattamento di
cui al comma 1, ai sensi dell'articolo 7, comma 4, lettera
a), salvo che la determinazione sia stata adottata in
occasione della conclusione o dell'esecuzione di un
contratto, in accoglimento di una proposta dell'interessato
o sulla base di adeguate garanzie individuate dal presente
codice o da un provvedimento del Garante ai sensi dell’articolo
17.
<Art. 15 (Danni cagionati per effetto
del trattamento)
1. Chiunque cagiona danno ad altri per effetto del trattamento
di dati personali e' tenuto al risarcimento ai sensi
dell'articolo 2050 del codice civile.
2. Il danno non patrimoniale e' risarcibile anche in
caso di violazione dell'articolo 11.
<Art. 16 (Cessazione del trattamento)
1. In caso di cessazione, per qualsiasi causa, di un
trattamento i dati sono:
a) distrutti;
b) ceduti ad altro titolare, purche' destinati ad un
trattamento in termini compatibili agli scopi per i
quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non
destinati ad una comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi
storici, statistici o scientifici, in conformita' alla
legge, ai regolamenti, alla normativa comunitaria e
ai codici di deontologia e di buona condotta sottoscritti
ai sensi dell'articolo 12.
2. La cessione dei dati in violazione di quanto previsto
dal comma 1, lettera b), o di altre disposizioni rilevanti
in materia di trattamento dei dati personali e' priva
di effetti.
Art.
17 (Trattamento
che presenta rischi specifici)
1. Il trattamento dei dati diversi da quelli sensibili
e giudiziari che presenta rischi specifici per i diritti
e le liberta' fondamentali, nonche' per la dignita'
dell’interessato, in relazione alla natura dei dati
o alle modalita' del trattamento o agli effetti che
puo' determinare, e' ammesso nel rispetto di misure
ed accorgimenti a garanzia dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono
prescritti dal Garante in applicazione dei principi
sanciti dal presente codice, nell’ambito di una verifica
preliminare all’inizio del trattamento, effettuata anche
in relazione a determinate categorie di titolari o di
trattamenti, anche a seguito di un interpello del titolare.
CAPO
II: REGOLE ULTERIORI PER I SOGGETTI PUBBLICI
Art.
18 (Principi applicabili
a tutti i trattamenti effettuati da soggetti pubblici)
1. Le disposizioni del presente capo riguardano tutti
i soggetti pubblici, esclusi gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte
di soggetti pubblici e' consentito soltanto per lo svolgimento
delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva
i presupposti e i limiti stabiliti dal presente codice,
anche in relazione alla diversa natura dei dati, nonche'
dalla legge e dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli esercenti
le professioni sanitarie e gli organismi sanitari pubblici,
i soggetti pubblici non devono richiedere il consenso
dell’interessato.
5. Si osservano le disposizioni di cui all’articolo
25 in tema di comunicazione e diffusione.
Art.
19 (Principi applicabili
al trattamento di dati diversi da quelli sensibili e
giudiziari)
1. Il trattamento da parte di un soggetto pubblico riguardante
dati diversi da quelli sensibili e giudiziari e' consentito,
fermo restando quanto previsto dall’articolo 18, comma
2, anche in mancanza di una norma di legge o di regolamento
che lo preveda espressamente.
2. La comunicazione da parte di un soggetto pubblico
ad altri soggetti pubblici e' ammessa quando e' prevista
da una norma di legge o di regolamento. In mancanza
di tale norma la comunicazione e' ammessa quando e'
comunque necessaria per lo svolgimento di funzioni istituzionali
e puo' essere iniziata se e' decorso il termine di cui
all’articolo 39, comma 2, e non e' stata adottata la
diversa determinazione ivi indicata.
3. La comunicazione da parte di un soggetto pubblico
a privati o a enti pubblici economici e la diffusione
da parte di un soggetto pubblico sono ammesse unicamente
quando sono previste da una norma di legge o di regolamento.
Art.
20 (Principi applicabili
al trattamento di dati sensibili)
1. Il trattamento dei dati sensibili da parte di soggetti
pubblici e' consentito solo se autorizzato da espressa
disposizione di legge nella quale sono specificati i
tipi di dati che possono essere trattati e di operazioni
eseguibili e le finalita' di rilevante interesse pubblico
perseguite.
2. Nei casi in cui una disposizione di legge specifica
la finalita' di rilevante interesse pubblico, ma non
i tipi di dati sensibili e di operazioni eseguibili,
il trattamento e' consentito solo in riferimento ai
tipi di dati e di operazioni identificati e resi pubblici
a cura dei soggetti che ne effettuano il trattamento,
in relazione alle specifiche finalita' perseguite nei
singoli casi e nel rispetto dei principi di cui all’articolo
22, con atto di natura regolamentare adottato in conformita'
al parere espresso dal Garante ai sensi dell’articolo
154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non e' previsto espressamente da
una disposizione di legge i soggetti pubblici possono
richiedere al Garante l'individuazione delle attivita',
tra quelle demandate ai medesimi soggetti dalla legge,
che perseguono finalita' di rilevante interesse pubblico
e per le quali e' conseguentemente autorizzato, ai sensi
dell’articolo 26, comma 2, il trattamento dei dati sensibili.
Il trattamento e' consentito solo se il soggetto pubblico
provvede altresi' a identificare e rendere pubblici
i tipi di dati e di operazioni nei modi di cui al comma
2.
4. L’identificazione dei tipi di dati e di operazioni
di cui ai commi 2 e 3 e' aggiornata e integrata periodicamente.
Art.
21 (Principi applicabili
al trattamento di dati giudiziari)
1. Il trattamento di dati giudiziari da parte di soggetti
pubblici e' consentito solo se autorizzato da espressa
disposizione di legge o provvedimento del Garante che
specifichino le finalita' di rilevante interesse pubblico
del trattamento, i tipi di dati trattati e di operazioni
eseguibili.
2. Le disposizioni di cui all’articolo 20, commi 2 e
4, si applicano anche al trattamento dei dati giudiziari.
Art.
22 (Principi applicabili
al trattamento di dati sensibili e giudiziari)
1. I soggetti pubblici conformano il trattamento dei
dati sensibili e giudiziari secondo modalita' volte
a prevenire violazioni dei diritti, delle liberta' fondamentali
e della dignita' dell'interessato.
2. Nel fornire l’informativa di cui all’articolo 13
i soggetti pubblici fanno espresso riferimento alla
normativa che prevede gli obblighi o i compiti in base
alla quale e' effettuato il trattamento dei dati sensibili
e giudiziari.
3. I soggetti pubblici possono trattare solo i dati
sensibili e giudiziari indispensabili per svolgere attivita'
istituzionali che non possono essere adempiute, caso
per caso, mediante il trattamento di dati anonimi o
di dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di regola,
presso l'interessato.
5. In applicazione dell'articolo 11, comma 1, lettere
c), d) ed e), i soggetti pubblici verificano periodicamente
l'esattezza e l'aggiornamento dei dati sensibili e giudiziari,
nonche' la loro pertinenza, completezza, non eccedenza
e indispensabilita' rispetto alle finalita' perseguite
nei singoli casi, anche con riferimento ai dati che
l'interessato fornisce di propria iniziativa. Al fine
di assicurare che i dati sensibili e giudiziari siano
indispensabili rispetto agli obblighi e ai compiti loro
attribuiti, i soggetti pubblici valutano specificamente
il rapporto tra i dati e gli adempimenti. I dati che,
anche a seguito delle verifiche, risultano eccedenti
o non pertinenti o non indispensabili non possono essere
utilizzati, salvo che per l'eventuale conservazione,
a norma di legge, dell'atto o del documento che li contiene.
Specifica attenzione e' prestata per la verifica dell'indispensabilita'
dei dati sensibili e giudiziari riferiti a soggetti
diversi da quelli cui si riferiscono direttamente le
prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi,
registri o banche di dati, tenuti con l'ausilio di strumenti
elettronici, sono trattati con tecniche di cifratura
o mediante l'utilizzazione di codici identificativi
o di altre soluzioni che, considerato il numero e la
natura dei dati trattati, li rendono temporaneamente
inintelligibili anche a chi e' autorizzato ad accedervi
e permettono di identificare gli interessati solo in
caso di necessita'.
7. I dati idonei a rivelare lo stato di salute e la
vita sessuale sono conservati separatamente da altri
dati personali trattati per finalita' che non richiedono
il loro utilizzo. I medesimi dati sono trattati con
le modalita' di cui al comma 6 anche quando sono tenuti
in elenchi, registri o banche di dati senza l'ausilio
di strumenti elettronici.
8. I dati idonei a rivelare lo stato di salute non possono
essere diffusi.
9. Rispetto ai dati sensibili e giudiziari indispensabili
ai sensi del comma 3, i soggetti pubblici sono autorizzati
ad effettuare unicamente le operazioni di trattamento
indispensabili per il perseguimento delle finalita'
per le quali il trattamento e' consentito, anche quando
i dati sono raccolti nello svolgimento di compiti di
vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere
trattati nell'ambito di test psico-attitudinali volti
a definire il profilo o la personalita' dell'interessato.
Le operazioni di raffronto tra dati sensibili e giudiziari,
nonche' i trattamenti di dati sensibili e giudiziari
ai sensi dell'articolo 14, sono effettuati solo previa
annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui
al comma 10, se effettuati utilizzando banche di dati
di diversi titolari, nonche' la diffusione dei dati
sensibili e giudiziari, sono ammessi solo se previsti
da espressa disposizione di legge.
12. Le disposizioni di cui al presente articolo recano
principi applicabili, in conformita' ai rispettivi ordinamenti,
ai trattamenti disciplinati dalla Presidenza della Repubblica,
dalla Camera dei deputati, dal Senato della Repubblica
e dalla Corte costituzionale.
CAPO
III : REGOLE ULTERIORI PER PRIVATI ED ENTI PUBBLICI
ECONOMICI
Art.
23 (Consenso)
1. Il trattamento di dati personali da parte di privati
o di enti pubblici economici e' ammesso solo con il
consenso espresso dell'interessato.
2. Il consenso puo' riguardare l'intero trattamento
ovvero una o piu' operazioni dello stesso.
3. Il consenso e' validamente prestato solo se e' espresso
liberamente e specificamente in riferimento ad un trattamento
chiaramente individuato, se e' documentato per iscritto,
e se sono state rese all'interessato le informazioni
di cui all'articolo 13.
4. Il consenso e' manifestato in forma scritta quando
il trattamento riguarda dati sensibili.
Art.
24 (Casi nei quali puo'
essere effettuato il trattamento senza consenso)
1. Il consenso non e' richiesto, oltre che nei casi
previsti nella Parte II, quando il trattamento:
a) e' necessario per adempiere ad un obbligo previsto
dalla legge, da un regolamento o dalla normativa comunitaria;
b) e' necessario per eseguire obblighi derivanti da
un contratto del quale e' parte l'interessato o per
adempiere, prima della conclusione del contratto, a
specifiche richieste dell’interessato;
c) riguarda dati provenienti da pubblici registri, elenchi,
atti o documenti conoscibili da chiunque, fermi restando
i limiti e le modalita' che le leggi, i regolamenti
o la normativa comunitaria stabiliscono per la conoscibilita'
e pubblicita' dei dati;
d) riguarda dati relativi allo svolgimento di attivita'
economiche, trattati nel rispetto della vigente normativa
in materia di segreto aziendale e industriale;
e) e' necessario per la salvaguardia della vita o dell'incolumita'
fisica di un terzo. Se la medesima finalita' riguarda
l’interessato e quest’ultimo non puo' prestare il proprio
consenso per impossibilita' fisica, per incapacita'
di agire o per incapacita' di intendere o di volere,
il consenso e' manifestato da chi esercita legalmente
la potesta', ovvero da un prossimo congiunto, da un
familiare, da un convivente o, in loro assenza, dal
responsabile della struttura presso cui dimora l’interessato.
Si applica la disposizione di cui all’articolo 82, comma
2;
f) con esclusione della diffusione, e' necessario ai
fini dello svolgimento delle investigazioni difensive
di cui alla legge 7 dicembre 2000, n. 397, o, comunque,
per far valere o difendere un diritto in sede giudiziaria,
sempre che i dati siano trattati esclusivamente per
tali finalita' e per il periodo strettamente necessario
al loro perseguimento, nel rispetto della vigente normativa
in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, e' necessario, nei
casi individuati dal Garante sulla base dei principi
sanciti dalla legge, per perseguire un legittimo interesse
del titolare o di un terzo destinatario dei dati, anche
in riferimento all’attivita' di gruppi bancari e di
societa' controllate o collegate, qualora non prevalgano
i diritti e le liberta' fondamentali, la dignita' o
un legittimo interesse dell’interessato;
h) con esclusione della comunicazione all’esterno e
della diffusione, e' effettuato da associazioni, enti
od organismi senza scopo di lucro, anche non riconosciuti,
in riferimento a soggetti che hanno con essi contatti
regolari o ad aderenti, per il perseguimento di scopi
determinati e legittimi individuati dall’atto costitutivo,
dallo statuto o dal contratto collettivo, e con modalita'
di utilizzo previste espressamente con determinazione
resa nota agli interessati all’atto dell’informativa
ai sensi dell’articolo 13;
i) e' necessario, in conformita' ai rispettivi codici
di deontologia di cui all’allegato A), per esclusivi
scopi scientifici o statistici, ovvero per esclusivi
scopi storici presso archivi privati dichiarati di notevole
interesse storico ai sensi dell’articolo 6, comma 2,
del decreto legislativo 29 ottobre 1999, n. 490, di
approvazione del testo unico in materia di beni culturali
e ambientali o, secondo quanto previsto dai medesimi
codici, presso altri archivi privati.
Art.
25 (Divieti di comunicazione
e diffusione)
1. La comunicazione e la diffusione sono vietate, oltre
che in caso di divieto disposto dal Garante o dall’autorita'
giudiziaria:
a) in riferimento a dati personali dei quali e' stata
ordinata la cancellazione, ovvero quando e' decorso
il periodo di tempo indicato nell'articolo 11, comma
1, lettera e);
b) per finalita' diverse da quelle indicate nella notificazione
del trattamento, ove prescritta.
2. E’ fatta salva la comunicazione o diffusione di dati
richieste, in conformita' alla legge, da forze di polizia,
dall’autorita' giudiziaria, da organismi di informazione
e sicurezza o da altri soggetti pubblici ai sensi dell’articolo
58, comma 2, per finalita' di difesa o di sicurezza
dello Stato o di prevenzione, accertamento o repressione
di reati.
Art.
26 (Garanzie per i dati
sensibili)
1. I dati sensibili possono essere oggetto di trattamento
solo con il consenso scritto dell'interessato e previa
autorizzazione del Garante, nell’osservanza dei presupposti
e dei limiti stabiliti dal presente codice, nonche'
dalla legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta
di autorizzazione entro quarantacinque giorni, decorsi
i quali la mancata pronuncia equivale a rigetto. Con
il provvedimento di autorizzazione, ovvero successivamente,
anche sulla base di eventuali verifiche, il Garante
puo' prescrivere misure e accorgimenti a garanzia dell'interessato,
che il titolare del trattamento e' tenuto ad adottare.
3. Il comma 1 non si applica al trattamento:
a) dei dati relativi agli aderenti alle confessioni
religiose e ai soggetti che con riferimento a finalita'
di natura esclusivamente religiosa hanno contatti regolari
con le medesime confessioni, effettuato dai relativi
organi, ovvero da enti civilmente riconosciuti, sempre
che i dati non siano diffusi o comunicati fuori delle
medesime confessioni. Queste ultime determinano idonee
garanzie relativamente ai trattamenti effettuati, nel
rispetto dei principi indicati al riguardo con autorizzazione
del Garante;
b) dei dati riguardanti l’adesione di associazioni od
organizzazioni a carattere sindacale o di categoria
ad altre associazioni, organizzazioni o confederazioni
a carattere sindacale o di categoria.
4. I dati sensibili possono essere oggetto di trattamento
anche senza consenso, previa autorizzazione del Garante:
a) quando il trattamento e' effettuato da associazioni,
enti od organismi senza scopo di lucro, anche non riconosciuti,
a carattere politico, filosofico, religioso o sindacale,
ivi compresi partiti e movimenti politici, per il perseguimento
di scopi determinati e legittimi individuati dall’atto
costitutivo, dallo statuto o dal contratto collettivo,
relativamente ai dati personali degli aderenti o dei
soggetti che in relazione a tali finalita' hanno contatti
regolari con l’associazione, ente od organismo, sempre
che i dati non siano comunicati all’esterno o diffusi
e l’ente, associazione od organismo determini idonee
garanzie relativamente ai trattamenti effettuati, prevedendo
espressamente le modalita' di utilizzo dei dati con
determinazione resa nota agli interessati all’atto dell’informativa
ai sensi dell’articolo 13;
b) quando il trattamento e' necessario per la salvaguardia
della vita o dell'incolumita' fisica di un terzo. Se
la medesima finalita' riguarda l’interessato e quest’ultimo
non puo' prestare il proprio consenso per impossibilita'
fisica, per incapacita' di agire o per incapacita' di
intendere o di volere, il consenso e' manifestato da
chi esercita legalmente la potesta', ovvero da un prossimo
congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui
dimora l’interessato. Si applica la disposizione di
cui all’articolo 82, comma 2;
c) quando il trattamento e' necessario ai fini dello
svolgimento delle investigazioni difensive di cui alla
legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere in sede giudiziaria un diritto, sempre
che i dati siano trattati esclusivamente per tali finalita'
e per il periodo strettamente necessario al loro perseguimento.
Se i dati sono idonei a rivelare lo stato di salute
e la vita sessuale, il diritto deve essere di rango
pari a quello dell’interessato, ovvero consistente in
un diritto della personalita' o in un altro diritto
o liberta' fondamentale e inviolabile;
d) quando e' necessario per adempiere a specifici obblighi
o compiti previsti dalla legge, da un regolamento o
dalla normativa comunitaria per la gestione del rapporto
di lavoro, anche in materia di igiene e sicurezza del
lavoro e della popolazione e di previdenza e assistenza,
nei limiti previsti dall’autorizzazione e ferme restando
le disposizioni del codice di deontologia e di buona
condotta di cui all’articolo 111.
5. I dati idonei a rivelare lo stato di salute non possono
essere diffusi.
Art.
27 (Garanzie per i dati
giudiziari)
1. Il trattamento di dati giudiziari da parte di privati
o di enti pubblici economici e' consentito soltanto
se autorizzato da espressa disposizione di legge o provvedimento
del Garante che specifichino le rilevanti finalita'
di interesse pubblico del trattamento, i tipi di dati
trattati e di operazioni eseguibili.
TITOLO
IV: SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
Art.
28 (Titolare del trattamento)
1. Quando il trattamento e' effettuato da una persona
giuridica, da una pubblica amministrazione o da un qualsiasi
altro ente, associazione od organismo, titolare del
trattamento e' l’entita' nel suo complesso o l’unita'
od organismo periferico che esercita un potere decisionale
del tutto autonomo sulle finalita' e sulle modalita'
del trattamento, ivi compreso il profilo della sicurezza.
Art.
29 (Responsabile del
trattamento)
1. Il responsabile e' designato dal titolare facoltativamente.
2. Se designato, il responsabile e' individuato tra
soggetti che per esperienza, capacita' ed affidabilita'
forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi
compreso il profilo relativo alla sicurezza.
3. Ove necessario per esigenze organizzative, possono
essere designati responsabili piu' soggetti, anche mediante
suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente
specificati per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi
alle istruzioni impartite dal titolare il quale, anche
tramite verifiche periodiche, vigila sulla puntuale
osservanza delle disposizioni di cui al comma 2 e delle
proprie istruzioni.
Art.
30 (Incaricati del trattamento)
1. Le operazioni di trattamento possono essere effettuate
solo da incaricati che operano sotto la diretta autorita'
del titolare o del responsabile, attenendosi alle istruzioni
impartite.
2. La designazione e' effettuata per iscritto e individua
puntualmente l’ambito del trattamento consentito. Si
considera tale anche la documentata preposizione della
persona fisica ad una unita' per la quale e' individuato,
per iscritto, l’ambito del trattamento consentito agli
addetti all’unita' medesima.
Titolo
V: SICUREZZA DEI DATI E DEI SISTEMI
CAPO I: MISURE DI SICUREZZA
Art.
31 (Obblighi di sicurezza)
1. I dati personali oggetto di trattamento sono custoditi
e controllati, anche in relazione alle conoscenze acquisite
in base al progresso tecnico, alla natura dei dati e
alle specifiche caratteristiche del trattamento, in
modo da ridurre al minimo, mediante l'adozione di idonee
e preventive misure di sicurezza, i rischi di distruzione
o perdita, anche accidentale, dei dati stessi, di accesso
non autorizzato o di trattamento non consentito o non
conforme alle finalita' della raccolta.
Art.
32 (Particolari titolari)
1. Il fornitore di un servizio di comunicazione elettronica
accessibile al pubblico adotta ai sensi dell’articolo
31 idonee misure tecniche e organizzative adeguate al
rischio esistente, per salvaguardare la sicurezza dei
suoi servizi, l’integrita' dei dati relativi al traffico,
dei dati relativi all’ubicazione e delle comunicazioni
elettroniche rispetto ad ogni forma di utilizzazione
o cognizione non consentita.
2. Quando la sicurezza del servizio o dei dati personali
richiede anche l’adozione di misure che riguardano la
rete, il fornitore del servizio di comunicazione elettronica
accessibile al pubblico adotta tali misure congiuntamente
con il fornitore della rete pubblica di comunicazioni.
In caso di mancato accordo, su richiesta di uno dei
fornitori, la controversia e' definita dall’Autorita'
per le garanzie nelle comunicazioni secondo le modalita'
previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione elettronica
accessibile al pubblico informa gli abbonati e, ove
possibile, gli utenti, se sussiste un particolare rischio
di violazione della sicurezza della rete, indicando,
quando il rischio e' al di fuori dell’ambito di applicazione
delle misure che il fornitore stesso e' tenuto ad adottare
ai sensi dei commi 1 e 2, tutti i possibili rimedi e
i relativi costi presumibili. Analoga informativa e'
resa al Garante e all’Autorita' per le garanzie nelle
comunicazioni.
CAPO
II: MISURE MINIME DI SICUREZZA
Art.
33 (Misure minime)
1. Nel quadro dei piu' generali obblighi di sicurezza
di cui all’articolo 31, o previsti da speciali disposizioni,
i titolari del trattamento sono comunque tenuti ad adottare
le misure minime individuate nel presente capo o ai
sensi dell’articolo 58, comma 3, volte ad assicurare
un livello minimo di protezione dei dati personali.
Art.
34 (Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei
modi previsti dal disciplinare tecnico contenuto nell’allegato
B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali
di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito
del trattamento consentito ai singoli incaricati e addetti
alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi
non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilita' dei dati
e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla
sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi
per determinati trattamenti di dati idonei a rivelare
lo stato di salute o la vita sessuale effettuati da
organismi sanitari.
Art.
35 (Trattamenti senza
l’ausilio di strumenti elettronici)
1. Il trattamento di dati personali effettuato senza
l’ausilio di strumenti elettronici e' consentito solo
se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell’allegato B), le seguenti misure
minime:
Art.
36 (Adeguamento)
a) aggiornamento periodico dell’individuazione dell’ambito
del trattamento consentito ai singoli incaricati o alle
unita' organizzative;
b) previsione di procedure per un’idonea custodia di
atti e documenti affidati agli incaricati per lo svolgimento
dei relativi compiti;
c) previsione di procedure per la conservazione di determinati
atti in archivi ad accesso selezionato e disciplina
delle modalita' di accesso finalizzata all’identificazione
degli incaricati.
1. Il disciplinare tecnico di cui all’allegato B), relativo
alle misure minime di cui al presente capo, e' aggiornato
periodicamente con decreto del Ministro della giustizia
di concerto con il Ministro per le innovazioni e le
tecnologie, in relazione all'evoluzione tecnica e all'esperienza
maturata nel settore.
Titolo
VI: ADEMPIMENTI
Art.
37 (Notificazione del
trattamento)
1. Il titolare notifica al Garante il trattamento di
dati personali cui intende procedere, solo se il trattamento
riguarda:
a) dati genetici, biometrici o dati che indicano la
posizione geografica di persone od oggetti mediante
una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita
sessuale, trattati a fini di procreazione assistita,
prestazione di servizi sanitari per via telematica relativi
a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive
e diffusive, sieropositivita', trapianto di organi e
tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera
psichica trattati da associazioni, enti od organismi
senza scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici
volti a definire il profilo o la personalita' dell’interessato,
o ad analizzare abitudini o scelte di consumo, ovvero
a monitorare l’utilizzo di servizi di comunicazione
elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini
di selezione del personale per conto terzi, nonche'
dati sensibili utilizzati per sondaggi di opinione,
ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite
con strumenti elettronici e relative al rischio sulla
solvibilita' economica, alla situazione patrimoniale,
al corretto adempimento di obbligazioni, a comportamenti
illeciti o fraudolenti.
2. Il Garante puo' individuare altri trattamenti suscettibili
di recare pregiudizio ai diritti e alle liberta' dell’interessato,
in ragione delle relative modalita' o della natura dei
dati personali, con proprio provvedimento adottato anche
ai sensi dell’articolo 17. Con analogo provvedimento
pubblicato sulla Gazzetta ufficiale della Repubblica
italiana il Garante puo' anche individuare, nell’ambito
dei trattamenti di cui al comma 1, eventuali trattamenti
non suscettibili di recare detto pregiudizio e pertanto
sottratti all’obbligo di notificazione.
3. La notificazione e' effettuata con unico atto anche
quando il trattamento comporta il trasferimento all’estero
dei dati.
4. Il Garante inserisce le notificazioni ricevute in
un registro dei trattamenti accessibile a chiunque e
determina le modalita' per la sua consultazione gratuita
per via telematica, anche mediante convenzioni con soggetti
pubblici o presso il proprio Ufficio. Le notizie accessibili
tramite la consultazione del registro possono essere
trattate per esclusive finalita' di applicazione della
disciplina in materia di protezione dei dati personali.
Art.
38 (Modalita' di notificazione)
1. La notificazione del trattamento e' presentata al
Garante prima dell’inizio del trattamento ed una sola
volta, a prescindere dal numero delle operazioni e della
durata del trattamento da effettuare, e puo' anche riguardare
uno o piu' trattamenti con finalita' correlate.
2. La notificazione e' validamente effettuata solo se
e' trasmessa per via telematica utilizzando il modello
predisposto dal Garante e osservando le prescrizioni
da questi impartite, anche per quanto riguarda le modalita'
di sottoscrizione con firma digitale e di conferma del
ricevimento della notificazione.
3. Il Garante favorisce la disponibilita' del modello
per via telematica e la notificazione anche attraverso
convenzioni stipulate con soggetti autorizzati in base
alla normativa vigente, anche presso associazioni di
categoria e ordini professionali.
4. Una nuova notificazione e' richiesta solo anteriormente
alla cessazione del trattamento o al mutamento di taluno
degli elementi da indicare nella notificazione medesima.
5. Il Garante puo' individuare altro idoneo sistema
per la notificazione in riferimento a nuove soluzioni
tecnologiche previste dalla normativa vigente.
6. Il titolare del trattamento che non e' tenuto alla
notificazione al Garante ai sensi dell’articolo 37 fornisce
le notizie contenute nel modello di cui al comma 2 a
chi ne fa richiesta, salvo che il trattamento riguardi
pubblici registri, elenchi, atti o documenti conoscibili
da chiunque.
Art.
39 (Obblighi di comunicazione)
1. Il titolare del trattamento e' tenuto a comunicare
previamente al Garante le seguenti circostanze:
a) comunicazione di dati personali da parte di un soggetto
pubblico ad altro soggetto pubblico non prevista da
una norma di legge o di regolamento, effettuata in qualunque
forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di
salute previsto dal programma di ricerca biomedica o
sanitaria di cui all’articolo 110, comma 1, primo periodo.
2. I trattamenti oggetto di comunicazione ai sensi del
comma 1 possono essere iniziati decorsi quarantacinque
giorni dal ricevimento della comunicazione salvo diversa
determinazione anche successiva del Garante.
3. La comunicazione di cui al comma 1 e' inviata utilizzando
il modello predisposto e reso disponibile dal Garante,
e trasmessa a quest’ultimo per via telematica osservando
le modalita' di sottoscrizione con firma digitale e
conferma del ricevimento di cui all’articolo 38, comma
2, oppure mediante telefax o lettera raccomandata.
Art.
40 (Autorizzazioni generali)
1. Le disposizioni del presente codice che prevedono
un’autorizzazione del Garante sono applicate anche mediante
il rilascio di autorizzazioni relative a determinate
categorie di titolari o di trattamenti, pubblicate nella
Gazzetta Ufficiale della Repubblica italiana.
1. Il titolare del trattamento che rientra nell’ambito
di applicazione di un’autorizzazione rilasciata ai sensi
dell’articolo 40 non e' tenuto a presentare al Garante
una richiesta di autorizzazione se il trattamento che
intende effettuare e' conforme alle relative prescrizioni.
2. Se una richiesta di autorizzazione riguarda un trattamento
autorizzato ai sensi dell’articolo 40 il Garante puo'
provvedere comunque sulla richiesta se le specifiche
modalita' del trattamento lo giustificano.
Art.
41 (Richieste di autorizzazione)
3. L’eventuale richiesta di autorizzazione e' formulata
utilizzando esclusivamente il modello predisposto e
reso disponibile dal Garante e trasmessa a quest’ultimo
per via telematica, osservando le modalita' di sottoscrizione
e conferma del ricevimento di cui all’articolo 38, comma
2. La medesima richiesta e l’autorizzazione possono
essere trasmesse anche mediante telefax o lettera raccomandata.
4. Se il richiedente e' invitato dal Garante a fornire
informazioni o ad esibire documenti, il termine di quarantacinque
giorni di cui all'articolo 26, comma 2, decorre dalla
data di scadenza del termine fissato per l'adempimento
richiesto.
5. In presenza di particolari circostanze, il Garante
puo' rilasciare un'autorizzazione provvisoria a tempo
determinato.
Titolo
VII: TRASFERIMENTO DEI DATI ALL’ESTERO
Art.
42 (Trasferimenti all’interno dell’Unione europea)
1. Le disposizioni del presente codice non possono essere
applicate in modo tale da restringere o vietare la libera
circolazione dei dati personali fra gli Stati membri
dell’Unione europea, fatta salva l’adozione, in conformita'
allo stesso codice, di eventuali provvedimenti in caso
di trasferimenti di dati effettuati al fine di eludere
le medesime disposizioni.
Art.
43 (Trasferimenti consentiti
in Paesi terzi)
1. Il trasferimento anche temporaneo fuori del territorio
dello Stato, con qualsiasi forma o mezzo, di dati personali
oggetto di trattamento, se diretto verso un Paese non
appartenente all’Unione europea e' consentito quando:
a) l'interessato ha manifestato il proprio consenso
espresso o, se si tratta di dati sensibili, in forma
scritta;
b) e' necessario per l'esecuzione di obblighi derivanti
da un contratto del quale e' parte l'interessato o per
adempiere, prima della conclusione del contratto, a
specifiche richieste dell’interessato, ovvero per la
conclusione o per l'esecuzione di un contratto stipulato
a favore dell'interessato;
c) e' necessario per la salvaguardia di un interesse
pubblico rilevante individuato con legge o con regolamento
o, se il trasferimento riguarda dati sensibili o giudiziari,
specificato o individuato ai sensi degli articoli 20
e 21;
d) e' necessario per la salvaguardia della vita o dell'incolumita'
fisica di un terzo. Se la medesima finalita' riguarda
l’interessato e quest’ultimo non puo' prestare il proprio
consenso per impossibilita' fisica, per incapacita'
di agire o per incapacita' di intendere o di volere,
il consenso e' manifestato da chi esercita legalmente
la potesta', ovvero da un prossimo congiunto, da un
familiare, da un convivente o, in loro assenza, dal
responsabile della struttura presso cui dimora l’interessato.
Si applica la disposizione di cui all’articolo 82, comma
2;
e) e' necessario ai fini dello svolgimento delle investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397,
o, comunque, per far valere o difendere un diritto in
sede giudiziaria, sempre che i dati siano trasferiti
esclusivamente per tali finalita' e per il periodo strettamente
necessario al loro perseguimento, nel rispetto della
vigente normativa in materia di segreto aziendale e
industriale;
f) e' effettuato in accoglimento di una richiesta di
accesso ai documenti amministrativi, ovvero di una richiesta
di informazioni estraibili da un pubblico registro,
elenco, atto o documento conoscibile da chiunque, con
l'osservanza delle norme che regolano la materia;
g) e' necessario, in conformita' ai rispettivi codici
di deontologia di cui all’allegato A), per esclusivi
scopi scientifici o statistici, ovvero per esclusivi
scopi storici presso archivi privati dichiarati di notevole
interesse storico ai sensi dell’articolo 6, comma 2,
del decreto legislativo 29 ottobre 1999, n. 490, di
approvazione del testo unico in materia di beni culturali
e ambientali o, secondo quanto previsto dai medesimi
codici, presso altri archivi privati;
h) il trattamento concerne dati riguardanti persone
giuridiche, enti o associazioni.
Art.
44 (Altri trasferimenti
consentiti)
1. Il trasferimento di dati personali oggetto di trattamento,
diretto verso un Paese non appartenente all’Unione europea,
e' altresi' consentito quando e' autorizzato dal Garante
sulla base di adeguate garanzie per i diritti dell’interessato:
a) individuate dal Garante anche in relazione a garanzie
prestate con un contratto;
b) individuate con le decisioni previste dagli articoli
25, paragrafo 6, e 26, paragrafo 4, della direttiva
95/46/CE del Parlamento europeo e del Consiglio, del
24 ottobre 1995, con le quali la Commissione europea
constata che un Paese non appartenente all’Unione europea
garantisce un livello di protezione adeguato o che alcune
clausole contrattuali offrono garanzie sufficienti.
Art.
45 (Trasferimenti vietati)
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento
anche temporaneo fuori del territorio dello Stato, con
qualsiasi forma o mezzo, di dati personali oggetto di
trattamento, diretto verso un Paese non appartenente
all’Unione europea, e' vietato quando l’ordinamento
del Paese di destinazione o di transito dei dati non
assicura un livello di tutela delle persone adeguato.
Sono valutate anche le modalita' del trasferimento e
dei trattamenti previsti, le relative finalita', la
natura dei dati e le misure di sicurezza.
|
