adempimenti per ^ u o](] Ì]}v] ... · (Introduzione, Lezione 1, Lezione 2) Creative Commons...

http://www.compliancenet.it/

http://www.cmaconsulting.it/

Panfilo Marcelli

Sei lezioni sulla privacy

corso di formazione per le aziende con casi pratici ed esercitazioni

Aggiornato ai nuovi

adempimenti per le funzioni di

amministratore di sistema

versione 1.3

23 gennaio 2009

(Introduzione, Lezione 1, Lezione 2)

Creative Commons Attribuzione - Non commerciale 2.5 Italia License

http://creativecommons.org/licenses/by-nc/2.5/it/

Aggiornato alle “semplificazioni” del Garante del dicembre 2008






Commons Deed

Tu sei libero:

di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,

rappresentare, eseguire e recitare quest'opera

di modificare quest'opera

Alle seguenti condizioni:

Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore

o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi

avallino te o il modo in cui tu usi l'opera.

Non commerciale. Non puoi usare quest'opera per fini commerciali.

Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza,

che va comunicata con chiarezza.

In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da

questa licenza ([email protected]).

Questa licenza lascia impregiudicati i diritti morali.

Limitazione di responsabilità

Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo

limitati da quanto sopra.

Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.

1 http://creativecommons.org/licenses/by-nc/2.5/it/legalcode


mailto:[email protected]

http://creativecommons.org/licenses/by-nc/2.5/it/legalcode

http://creativecommons.org/licenses/by-nc/2.5/it/legalcode

Indice


I

Indice

INDICE .......................................................................................................................... I

INTRODUZIONE ....................................................................................................... 1

PERCORSI FORMATIVI .................................................................................................. 2

ORGANIZZAZIONE DEI CONTENUTI .............................................................................. 4

IL SITO WEB COLLEGATO AL LIBRO .............................................................................. 5

RINGRAZIAMENTI ........................................................................................................ 5

LIMITAZIONE DI RESPONSABILITÀ ............................................................................... 5

PANFILO MARCELLI SI PRESENTA ................................................................................ 6

LEZIONE 1 – INTRODUZIONE ALLA PRIVACY .............................................. 7

UNITÀ DIDATTICA 1.1 – IL DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI ............. 15

Modulo 1.1.1 – Mini glossario ............................................................................. 16

Modulo 1.1.2 – Sintesi delle norme sulla privacy ................................................ 17

Modulo 1.1.3 – Quadro normativo ....................................................................... 18

DOMANDE DI VERIFICA 1.1 ........................................................................................ 19

UNITÀ DIDATTICA 1.2 – IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI ........ 21

Modulo 1.2.1 – L’ufficio del Garante ................................................................... 22

Modulo 1.2.2 – Ispezioni del Garante .................................................................. 24

Modulo 1.2.3 – Nucleo speciale funzione pubblica e privacy della Guardia di

Finanza ................................................................................................................. 25


UNITÀ DIDATTICA 1.3 – LE PRINCIPALI NORME SULLA PRIVACY................................ 27

Modulo 1.3.1 – Codice in materia di protezione dei dati personali .................... 28

Modulo 1.3.2 – Allegati al Codice ....................................................................... 31

Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di misure minime di

sicurezza ............................................................................................................... 32

Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la notificazione

.............................................................................................................................. 37

Modulo 1.3.5 – I nuovi adempimenti per le funzioni di “amministratore di

sistema” ................................................................................................................ 39

Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre 2008 ........... 41


RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 1 ......................................... 44

LEZIONE 2 – ORGANIZZAZIONE DELLA PRIVACY .................................... 47

UNITÀ DIDATTICA 2.1 – PRINCIPALI ADEMPIMENTI PREVISTI DAL CODICE ................ 57

Modulo 2.1.1 – L’informativa .............................................................................. 58

Indice


II

Modulo 2.1.2 – Il consenso ................................................................................... 61

Modulo 2.1.3 – La notificazione ........................................................................... 66

Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi ......................................... 71

Modulo 2.1.5 – Le lettere di incarico ................................................................... 72

Modulo 2.1.6 – Le misure di sicurezza ................................................................. 74

Modulo 2.1.7 – La formazione ............................................................................. 76

Modulo 2.1.8 – I diritti degli interessati .............................................................. 78

Modulo 2.1.9 – Check list di verifica degli adempimenti .................................... 80


UNITÀ DIDATTICA 2.2 – PROVVEDIMENTI PIÙ RILEVANTI PER LE AZIENDE ................ 83

Modulo 2.2.1 – Iniziative e provvedimenti del Garante ....................................... 84

Modulo 2.2.2 – I nuovi adempimenti per le funzioni di “amministratore di

sistema” ................................................................................................................ 86

Modulo 2.2.3 – Semplificazioni degli adempimenti ............................................. 87

Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati dei clienti ... 90

Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del Garante ....... 91

Modulo 2.2.6 – Linee guida del Garante per posta elettronica e internet .......... 92

Modulo 2.2.7 – Linee guida per il trattamento di dati dei dipendenti privati ..... 93

Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici ................................. 94

Modulo 2.2.9 – Videosorveglianza ....................................................................... 97

Modulo 2.2.10 – Altri provvedimenti e pubblicazioni .......................................... 98

DOMANDE DI VERIFICA 2.2 ...................................................................................... 100

UNITÀ DIDATTICA 2.3 – ORGANIZZAZIONE DELLA PRIVACY .................................... 101

Modulo 2.3.1 – Il censimento dei dati personali ................................................ 102

Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare ....... 103

Modulo 2.3.3 – I soggetti che effettuano il trattamento ..................................... 105

Modulo 2.3.4 – Titolare, contitolare o responsabile esterno ............................. 107

Modulo 2.3.5 – Nomina del responsabile interno .............................................. 108

Modulo 2.3.6 – Nomina del responsabile esterno .............................................. 109

DOMANDE DI VERIFICA 2.3 ...................................................................................... 110

RISPOSTE ALLE DOMANDE DI VERIFICA DELLA LEZIONE 2 ....................................... 111

Introduzione


1

Introduzione

Questo testo è un corso di formazione sulle tematiche della privacy rivolto a coloro che

lavorano in azienda.

Come è noto il “Codice in materia di protezione dei dati personali” 2

prevede, tra gli

obblighi di sicurezza, la programmazione di interventi formativi per “rendere edotti”

gli incaricati del trattamento di dati personali dei rischi che incombono sui dati e delle

relative contromisure di sicurezza; è inoltre necessario che la pianificazione della

formazione sia riportata nel Documento Programmatico sulla Sicurezza, se redatto.

Per rispondere anche a tali esigenze è stato realizzato questo corso che si articola in sei

lezioni.

1. Introduzione alla privacy.

2. Organizzazione aziendale per la privacy.

3. Protezione dei dati personali.

4. Diritto di accesso.

5. Videosorveglianza.

6. Marketing e comunicazioni commerciali.

Gli argomenti vengono proposti ed approfonditi attraverso casi pratici simulando di

operare all’interno di una media impresa manifatturiera, la Arcobaleni1963 srl.

2 http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248

3 http://www.arcobaleni196.it

http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248

http://www.arcobaleni196.it/



Introduzione


2

Percorsi formativi

È opportuno che la formazione sulla privacy non venga svolta in maniera indifferenziata

per tutti gli incaricati ma che, viceversa, sia predisposta una “struttura formativa

modulare” in relazione alle tipologie di incarico al trattamento dei dati personali.

Le sei lezioni del testo si rivolgono, dunque, ad interlocutori diversi, come di seguito

specificato.

1. Introduzione alla privacy: illustra il quadro normativo della privacy

sottolineando i principi di base e gli adempimenti di maggior rilievo; la lezione

si rivolge a tutti gli incaricati dei trattamenti e a coloro che hanno necessità di

una overview generale.

2. Organizzazione aziendale per la privacy: descrive le misure organizzative

che occorre adottare, in azienda, per garantire il rispetto delle norme in ambito

privacy; la lezione si rivolge ai dirigenti e quadri aziendali e a coloro che hanno

responsabilità aziendali, anche non esclusive, in ambito privacy, controlli e

sicurezza.

3. Protezione dei dati personali: approfondisce il tema delle misure di sicurezza,

minime ed idonee, che devono essere applicate nel trattamento dei dati

personali; la lezione si rivolge ai Responsabili privacy aziendale e a coloro che

hanno responsabilità aziendali, anche non esclusive, in ambito privacy,

controlli e sicurezza.

4. Diritto di accesso: contiene le linee guida per la corretta gestione, in azienda,

dei diritti in relazione al trattamento dei dati personali; la lezione si rivolge ai

Responsabili privacy aziendali, ai responsabili ed incaricati dei trattamenti

degli uffici che si occupano di aspetti legali, contenzioso, reclami, customer

satisfaction.

5. Videosorveglianza: contiene le indicazioni per la corretta gestione, in azienda,

dei sistemi di videosorveglianza; la lezione si rivolge ai Responsabili privacy

aziendali ed ai responsabili dei trattamenti di videosorveglianza.

6. Marketing e comunicazioni commerciali: contiene il quadro di riferimento

per gli adempimenti privacy da rispettare nelle attività di commerciali; la

lezione si rivolge ai Responsabili privacy aziendali, ai responsabili ed incaricati

dei trattamenti di marketing, commerciale, vendite, comunicazione.

Introduzione


3

Le sei lezioni possono essere combinate secondo veri e propri “percorsi formativi”

quali quelli di seguito proposti.

Corso per incaricati al trattamento dei dati personali

lezione 1 Introduzione alla privacy

Corso per Direzione


lezione 2 Organizzazione aziendale per la privacy

Corso per Responsabile dei trattamenti



lezione 3 Protezione dei dati personali

lezione 4 Diritto di accesso

Corso per Responsabile dei trattamenti con video

sorveglianza





lezione 5 Videosorveglianza

Corso per Responsabile dei trattamenti di marketing





lezione 6 Marketing e comunicazioni commerciali

È ovviamente possibile far svolgere a particolari classi di incaricati l’intero corso per

dare una formazione ed informazione più ampia.

Introduzione


4

Organizzazione dei contenuti

Ogni lezione si compone di unità didattiche; ogni unità didattica è suddivisa in

moduli.

Lezioni, unità e moduli sono numerati così da facilitare sia i percorsi didattici sia il

reperimento delle informazioni.

Ogni lezione inizia con la descrizione di un “caso di studio” concreto che serve ad

introdurre gli argomenti di seguito trattati.

Dopo ogni unità didattica ci sono “domande di verifica” sugli argomenti trattati le cui

soluzioni sono fornite in allegato al testo.

L1

Introduzione alla privacy

U11

Il diritto

alla protezione

dei dati personali

U12

Il Garante per la

protezione dei dati

personali

….

CS1

Arcobaleni196

e la privacy

M111

La privacy

in

Italia

M112

Quadro

normativo

DV11

Verifica

la tua comprensione

…

Lezioni

Unità

Didattiche

Moduli

Domande

di verifica

Caso di

studio

Introduzione


5

Il sito web collegato al libro

Questo testo viene diffuso attraverso i siti ComplianceNet4 e CMa Consulting

5.

Al corso è inoltre collegato il sito Arcobaleni1966 dal nome (fittizio) della società che è

protagonista dei nostri casi di studio ed esercitazioni.

Ringraziamenti

Si ringrazia ComplianceNet e CMa Consulting per l’aiuto e l’assistenza nella

redazione di questo corso; in particolare:

Cristina Cellucci per l’entusiasmo che mette in tutte le sue iniziative (questo

corso non avrebbe visto luce senza il suo aiuto); Cristina può essere contattata al

seguente indirizzo email: [email protected]

Manlio Torquato per la revisione, correzione, puntualizzazione dei contenuti

del testo (questo corso ha rischiato, per colpa sua, più di una volta di non vedere

la luce...); Manlio può essere contattato al seguente indirizzo email:

[email protected]

Limitazione di responsabilità

ComplianceNet, CMA Consulting, Panfilo Marcelli, Cristina Cellucci, Manlio Torquato

e tutti coloro che hanno contribuito a tale documento non forniscono nessuna

assicurazione né garanzia che l’uso di questo documento, delle relative linee guida, dei

suggerimenti, delle check list e degli strumenti indicati in questa pubblicazione possano

garantire di per sé la conformità alle norme.

4 http://www.compliancenet.it/

5 http://www.cmaconsulting.it/

6 http://www.arcobaleni196.it









Introduzione


6

Panfilo Marcelli si presenta

Mi sono laureato in Ingegneria all’Università de

l’Aquila. Ho lavorato per oltre vent’anni presso

primarie aziende informatiche e di consulenza (IPACRI,

Euros Consulting, OASI) con incarichi, anche direttivi,

in ambito Information Technology, Privacy e

Protezione dei dati personali, Qualità e Certificazione

ISO9000 e ISO27001, Workflow Management e

Business Process Reengineering, Internet, Intranet e

gestione di siti con sistemi CMS. Attualmente sono

partner di CMa Consulting7 società specializzata in

servizi, consulenza e formazione in ambito Compliance,

Privacy, Qualità e Sicurezza. Se volete contattarmi la

mia email è [email protected]

7 http://www.cmaconsulting.it/




Lezione 1 – Introduzione alla privacy


7

Lezione 1 – Introduzione alla

privacy

Caso di studio a – Arcobaleni196 e la privacy

Unità Didattica 1.1 - Il diritto alla protezione dei dati

personali

Unità Didattica 1.2 - Il Garante per la protezione dei dati

personali

Unità Didattica 1.3 - Le principali norme sulla privacy

Risposte alle domande di verifica della lezione 1

Lezione 1 – Introduzione alla privacy


8

Obiettivi di apprendimento

Cos’è la Privacy?

Quale sono le norme più importanti in ambito privacy?

Cos’è il Garante per la protezione dei dati personali e che poteri ha?

A chi si rivolge questa lezione?

A tutti gli incaricati.

Percorsi formativi

Corso per incaricati al trattamento dei dati personali.

Corso per Direzione.

Corso per Responsabile dei trattamenti.

Corso per Responsabile dei trattamenti con video sorveglianza.

Corso per Responsabile dei trattamenti di marketing.

Concetti chiave:

Codice in materia di protezione dei dati personali.

Allegati al Codice.

Ufficio del Garante.

Lezione 1 – Caso di studio a


9

Lezione 1 –

Caso di studio a –

Arcobaleni196 e la privacy



10

Le lezioni di questo corso sono basate su una serie di casi di studio concreti. Simuleremo di

trovarci presso Arcobaleni196 srl8 una società che produce e commercializza vernici speciali per

la carrozzeria di veicoli. Sono stato convocato dal cavalier Pinco Arcobaleni, fondatore e

Direttore Generale dell’azienda. “Ho bisogno di una consulenza sulla privacy” mi ha detto

telefonicamente. E così vado a trovarlo.

Primo incontro

con il cavalier

Arcobaleni

“Voglio mettere telecamere ovunque!” ha esordito il cavalier

Arcobaleni non appena mi sono accomodato nel suo ufficio.

“Come mai?” ho chiesto cercando di rimanere imperturbabile.

“Ieri è stato rubato un altro computer portatile! È il terzo dall’inizio dell’anno adesso basta! Voglio

sapere chi è che ruba in azienda. Inoltre il mese scorso, nonostante il divieto di fumo in tutti gli

uffici, qualcuno ha acceso una sigaretta in uno dei bagni facendo suonare l’allarme antincendio.”

“Le telecamere non sono vietate di per sé” gli ho spiegato “ma la legge sulla privacy impone di

seguire delle regole.”

“Regole, sempre regole! In Italia è diventato impossibile condurre un’azienda” ha sbuffato

Arcobaleni “l’ho chiamata proprio per questo, caro ingegnere. Il mio assistente, dottor Marroni, ha

letto su Internet i suoi articoli9 sulla privacy e ha consigliato di avere un suo parere prima di

installare le telecamere. Ma mi dica subito: cosa c’entra la legge sulla privacy con le telecamere?

Posso installarle sì o no?”

8 http://www.arcobaleni196.it/

9 http://www.compliancenet.it/category/compliancenet/privacy


http://www.compliancenet.it/category/compliancenet/privacy


http://www.compliancenet.it/category/compliancenet/privacy



11

“In Italia esistono norme precise, ed in alcuni casi anche severe, sui trattamenti di dati personali. Le

riprese effettuate con sistemi di videosorveglianza sono considerati trattamenti di dati personali. Dal

primo gennaio 2004 l’intera materia è stata riordinata e precisata dal Codice in materia di

protezione dei dati personali” ho spiegato.

“Le dico subito che in azienda non trattiamo dati personali!” mi ha

interrotto con un sorriso trionfante Arcobaleni.

“Come fa ad esserne così sicuro?” gli ho chiesto non poco sorpreso.

“Legga qua” mi dice il cavaliere allungandomi un foglio.

Comunicazione del

Direttore Generale del 15

settembre 2008

Si comunica a tutto il

personale che a far data da

oggi è vietato il

trattamento di qualsiasi

dato personale in

azienda.

Firmato

Pinco ArcobaleniDirettore Generale

Sono sempre più preoccupato.

“Perché ha scritto questa comunicazione?” gli chiedo.

“Me lo ha consigliato la dottoressa Rossetti. Mi ha detto che nel giugno 2008 è stato abrogato

l’obbligo delle misure di sicurezza per le aziende che non trattano dati sensibili.”



12

“Nessuno ha abrogato l’obbligo di adottare le misure di sicurezza” chiarisco “il Decreto Legge 25

giugno 2008 n.11210

del giugno 2008, poi tradotto in un provvedimento11

del Garante nel

dicembre 2008, ha semplicemente abrogato l’obbligo della redazione del Documento

Programmatico sulla sicurezza per tutte le aziende che non trattano dati sensibili o che trattano

solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della diagnosi”.

“Mi scusi mi sono espresso male. Intendevo dire che non trattiamo dati sensibili! Sa con tutte

queste definizioni … Adesso però dovrò rifare la comunicazione a tutto il personale … Non è che

mi darebbe una mano? Avrei bisogno che qualcuno mi chiarisse un po’ meglio le idee sulla

privacy. Ma mi dica subito: posso installare o no le telecamere?”

“Solo se segue le indicazioni del Garante.”

“Mi può riepilogare quali sono queste indicazioni?”

“Certamente cavaliere. Ma il mio consiglio è di fare un po’ di ordine sia sulle norme sia sugli

adempimenti privacy. Temo che ci siano numerosi obblighi che avete sottovalutato. Le posso fare

una proposta? Convochi i suoi principali collaboratori ed in un paio d’ore le farò un quadro

completo della normativa e di quello che serve per fare il censimento dei trattamenti.”

“Ingegnere, sarò franco: fino ad oggi non ci siamo curati di questi aspetti e non abbiamo mai avuto

problemi … Non siamo una grande azienda che può spendere migliaia di euro su questi temi. Io la

ringrazio per essere venuto a trovarmi ma vorrei essere onesto con lei: ho altre priorità!”

“Tocca a lei decidere, cavaliere. Le ricordo però che le sanzioni previste per il mancato rispetto

delle norme sulla privacy sono sia penali sia amministrative.”

“Ohibò, si rischia il carcere?”

“Le sanzioni penali possono comportare anche pene detentive oltre che pecuniarie. Le sanzioni

amministrative possono essere pecuniarie o a fronte di gravi irregolarità arrivare anche al blocco del

trattamento dei dati.”

“Che significa?”

“Significa che Arcobaleni196 non potrebbe più operare e sarebbe costretta a chiudere… Cavaliere

si fidi di me! Facciamo così: mi accordi due ore con i suoi collaboratori più stretti. E poi decida lei

se andare avanti con il mio aiuto o continuare a fare tutto da solo.”

10

http://www.camera.it/parlam/leggi/decreti/08112d.htm 11


http://www.camera.it/parlam/leggi/decreti/08112d.htm








13

Sanzioni per gli adempimenti privacy prima degli inasprimenti introdotti con il D.L. n. 207 del 30

dicembre 2008 (articolo 4412

)

Sanzioni amministrative

Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00

Omessa o inidonea informativa (dati

sensibili, giudiziari, trattamenti che

presentano rischi specifici) Da € 5.000,00 a € 30.000,00

Cessione illecita di dati Da € 5.000,00 a € 30.000,00

Violazione relativa ai dati personali

idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00

Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00

Omessa informazione o esibizione al

Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00

Illeciti penali

Trattamento illecito di dati Reclusione da 6 a 24 mesi

Trattamento illecito di dati (dati sensibili,

giudiziari, trattamenti che presentano

rischi specifici) Reclusione da 1 a 3 anni

Falsità nelle dichiarazioni e notificazioni

al Garante Reclusione da 6 mesi a 3 anni

Omessa adozione delle misure minime

di sicurezza

Arresto fino a 2 anni Sanzione

pecuniaria da € 10.000,00 a €

50.000,00

Violazione da parte dei datori di lavoro

del divieto di Effettuare indagini su

opinioni politiche, Controllo attraverso

luso di impianti audiovisivi, o altre

apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno

L’articolo 44 del D.L. 30.12.2008 n. 207 ha inasprito le sanzioni previste dal

“Codice in materia di protezione dei dati personali”.

Il trattamento di dati personali in violazione delle misure di sicurezza, oltre ad essere punito con l’arresto sino a due

anni, viene punito con una sanzione amministrativa da 20.000 a 120.000 euro; vengono inoltre previsti casi di

minore e maggiore gravità, rispettivamente con diminuzione ed

aumento delle sanzioni.

“Okay ingegnere. Faccio venire immediatamente i miei principali collaboratori: Carmela Rossetti

della qualità e controlli, Giuseppina Nerucci delle risorse umane, Ercole Marroni della produzione,

Mariuccia Nerini della Contabilità.”

12

http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-

31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0

232&tmstp=1232193077977

http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0232&tmstp=1232193077977






14

Introduzione

alla privacy

(Alcuni minuti dopo: presenti tutti i collaboratori.)

“Bene. Vi farò una breve introduzione alla privacy affrontando tre

argomenti:

1. Il diritto alla protezione dei dati personali

2. Il Garante per la protezione dei dati personali

3. Le principali norme sulla privacy”

Inizia il corso…

Lezione 1 – Unità didattica 1.1


15

Lezione 1 –

Unità didattica 1.1 – Il diritto

alla protezione dei dati

personali

Modulo 1.1.1 – Mini glossario

Modulo 1.1.2 – Sintesi delle norme sulla privacy

Modulo 1.1.3 – Quadro normativo

Domande di verifica 1.1



16

Modulo 1.1.1 – Mini glossario Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo

Garante sei tu”13

.

Dato personale: qualunque informazione relativa ad un individuo, ad una persona giuridica, ad un

ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a

qualsiasi altra informazione, compreso un numero di identificazione personale.

Dato sensibile: qualunque dato che può rivelare l’origine razziale, l’appartenenza etnica, le

convinzioni religiose o di altra natura, le opinioni politiche, l’appartenenza a partiti o sindacati, lo

stato di salute e la vita sessuale.

Trattamento dei dati personali: qualunque operazione o complesso di operazioni, effettuate anche

senza mezzi elettronici o automatizzati (raccolta, registrazione, organizzazione, conservazione,

elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco,

comunicazione, diffusione, cancellazione e distruzione).

Titolare del trattamento: la pubblica amministrazione, la persona giuridica o fisica cui competono

le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali.

Interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati.

Informativa: contiene le informazioni che il titolare del trattamento deve fornire all’interessato per

chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli scopi e

le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti riconosciuti dalla

legge.

Consenso: la libera manifestazione della volontà con la quale l’interessato accetta – in modo

espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo

riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.

Il Garante: un’Autorità indipendente composta da quattro membri eletti dal Parlamento. È stata

istituita per la tutela dei diritti, delle libertà fondamentali e della dignità delle persone rispetto al

trattamento dei dati personali. Controlla se il trattamento di dati personali da parte di privati e

pubbliche amministrazioni è lecito e corretto. Esamina reclami, segnalazioni e ricorsi, svolge

accertamenti anche su richiesta del cittadino, esegue ispezioni e verifiche. Prescrive modifiche

necessarie od opportune per far adeguare i trattamenti alla disciplina vigente. Segnala al Parlamento

e al Governo l’opportunità di interventi normativi per tutelare gli interessati. Esprime pareri su

regolamenti e atti amministrativi di alcune amministrazioni pubbliche. Presenta al Parlamento e al

Governo una relazione annuale sullo stato di attuazione della normativa che regola la materia.

13

http://www.garanteprivacy.it/garante/document?ID=1382763







17

Modulo 1.1.2 – Sintesi delle norme sulla

privacy

Dal 1996 in Italia vige il “diritto alla protezione dei dati personali” a cui comunemente ci si riferisce

come “Legge sulla Privacy”: infatti il 31 dicembre 1996 è entrata in vigore la legge n. 675 “Tutela

delle persone e di altri soggetti rispetto al trattamento dei dati personali”. Nel 2003 tale legge è stata

abrogata e sostituita dal decreto legislativo 196/03 noto come “Codice in materia di protezione

dei dati personali” 14

entrato in vigore il primo gennaio 2004.

Il primo articolo del Codice chiarisce cosa si intende per privacy nell’ordinamento italiano; recita

infatti tale articolo: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”.

Tale protezione consiste nella garanzia che il trattamento dei dati personali si svolga nel rispetto dei

diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento

alla riservatezza, all'identità personale ed al diritto alla protezione dei dati personali.

Va chiarito che lo spirito della legge non è di impedire il trattamento dei dati personali ma di evitare

che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Il

Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o

tratta dati personali e le responsabilità e sanzioni in caso di danni.

Nel 1997 è stato costituito il “Garante per la protezione dei dati personali”, un organo collegiale

composto da quattro membri eletto dal Parlamento che ha il compito di vigilare sul rispetto delle

norme sulla privacy. Alle dipendenze del Garante è posto un Ufficio con un organico di circa 100

unità.

Il Garante ha sintetizzato15

i contenuti delle norme sulla privacy come segue.

I dati personali sono una proiezione della persona. La legge tutela la riservatezza,

l’identità personale, la dignità e gli altri nostri diritti e libertà fondamentali.

Il trattamento dei dati che ci riguardano deve rispettare le garanzie previste dalla legge.

La prima garanzia è la trasparenza. Ognuno di noi ha il diritto di “sapere”. Il diritto di

conoscere se un soggetto detiene informazioni, di apprenderne il contenuto, di farle

rettificare se erronee, incomplete o non aggiornate.

Conoscere i nostri diritti e il modo per farli valere è semplice.

14

http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 15

Brochure “La tutela dei dati personali: il primo Garante sei tu”










18

Modulo 1.1.3 – Quadro normativo

Il “Codice in materia di protezione dei dati personali” 16

è il testo principale di riferimento per la

privacy. Si tratta di una sorta di “testo unico” che a far data dal primo gennaio 2004 sostituisce,

integra ed accorpa tutte le precedenti normative in materia (in

particolare sostituisce la legge 675/96). Il Codice contiene le

definizioni ed i principi di riferimento. Le misure pratiche per

adempiere ai principi sono contenute negli allegati; tra questi

uno dei più importanti è l’allegato B sulle misure minime di

sicurezza.

Infine occorre tener presente i diversi provvedimenti17

, con

valore di legge, che il Garante ha emanato.

Periodicamente il Garante pubblica anche linee guida e modelli

di riferimento per il rispetto degli adempimenti. Mentre il

Codice, gli allegati al codice ed i provvedimenti hanno valore di

legge e sono dunque obbligatori le linee guida ed i modelli sono

opzionali.

Tutti i testi di legge sono disponibili sul sito del Garante18

.

16


http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti 18

http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa%2FItaliana%2FIl+Codice+in+materia+di+protezione+dei+dati+personali

Codice

Allegati

Provvedimenti

Linee guida

Modelli

Obblighi

normativi

Best

practices


http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti







19


Domanda Prima risposta Seconda risposta Terza risposta

Il Codice in materia di

protezione dei dati

personali è in vigore

dal primo gennaio

2001.

Falso, il Codice in

materia di protezione

dei dati personali è in

vigore dal primo

gennaio 2004 e

sostituisce la

precedente legge n.675

del 1996.

Falso. Dal 2001 è in

vigore la legge n.675

sulla privacy poi

abrogata dal Codice

nel 2003.

Vero. Il primo gennaio

2001 è entrato il

vigore il nuovo Codice

che ha abrogato la

legge n.675 sulla

privacy.

Quando è stata

abrogata la legge sulla

privacy del 1996?

Non è stata abrogata.

Dal 2003 è stata

integrata dal Codice in


dei dati personali.

Non è stata abrogata.

È ancora in vigore.

Nel 2004 dal Codice in


dei dati personali.

La legge sulla privacy

riguarda solo le

persone fisiche e non

le aziende.

Vero. Le aziende però

possono appellarsi al

Garante per la

protezione dei dati

personali.

Vero. Le aziende

fanno riferimento ad

altre norme.

Falso. Le norme sulla

privacy si applicano

sia a persone fisiche

che ad aziende.



20

Pagina lasciata intenzionalmente bianca



21

Lezione 1 –

Unità didattica 1.2 – Il

Garante per la protezione dei

dati personali

Modulo 1.2.1 – L’Ufficio del Garante

Modulo 1.2.2 – Ispezioni del Garante

Modulo 1.2.3 – Nucleo speciale funzione pubblica e

privacy della Guardia di Finanza




22

Modulo 1.2.1 – L’ufficio del Garante

Il Garante per la protezione dei dati personali è

un’autorità indipendente, istituita dalla legge sulla privacy

del 31 dicembre 1996 per assicurare la tutela dei diritti e

delle libertà fondamentali ed il rispetto della dignità nel

trattamento dei dati personali. Si tratta di un organo

collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un

mandato di quattro anni rinnovabile una volta sola. Il Codice del 200319

ha confermato ruoli e

compiti di tale authority.

L’attuale collegio20

si è insediato il 18 aprile 2005 ed è così composto:

Presidente

Francesco Pizzetti

Vicepresidente

Giuseppe Chiaravalloti

Componenti

Mauro Paissan

Giuseppe Fortunato

Fonte immagini21

19


Alla data del 17 gennaio 2009 21








23

Il primo Presidente dell’Ufficio del Garante è stato il professor Stefano Rodotà22

considerato il “padre” fondatore della legge.

Rodotà è stato “Garante” della privacy dal 2000 al 2004.

Fonte immagine

23

Il Segretario generale dell’Ufficio del Garante è stato, dalla sua fondazione,

Giovanni Buttarelli24

che il 23 dicembre 2008 è stato nominato Garante europeo

aggiunto dei dati personali25

(EDPS) ed ha lasciato l’Autorità26

.

Fonte immagine

27

I principali compiti del Garante sono:

controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la

segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per

conseguire tale conformità;

esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;

adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le

autorizzazioni generali per il trattamento dei dati sensibili;

promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di

deontologia e di buona condotta;

divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la

loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto

di un rilevante pregiudizio per l’interessato.

Per rivolgersi al Garante ci si può recare presso l’Autorità, Ufficio per le

relazioni con il pubblico, Piazza di Monte Citorio, 123, Lunedì - Venerdì

ore 10.00 - 13.00, e-mail: [email protected]

Immagine tratta da Google Maps28

22

http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0 23

http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it 24


http://europa.eu/institutions/others/edps/index_it.htm 26



http://maps.google.it/

http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0

http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it


http://europa.eu/institutions/others/edps/index_it.htm







http://it.wikipedia.org/wiki/Stefano_Rodot%C3%A0

http://commons.wikimedia.org/wiki/Image:Stefano_Rodot%C3%A0_Trento_2007.jpg?uselang=it








24

Modulo 1.2.2 – Ispezioni del Garante

Ogni anno, attraverso il proprio sito web e la sua newsletter29

, il Garante rende noto il piano

ispettivo previsto per i successivi mesi.

Nella newsletter del 7 aprile 200830

il Garante ha comunicato che nel corso dei rimanenti mesi del

2008, nell'ambito dell'attività ispettiva programmata, una particolare attenzione sarebbe stata posta

ai sistemi di videosorveglianza e che sarebbero state effettuate ispezioni su tutto il territorio

nazionale sia per verificare il rispetto delle regole fissate dal Garante con il provvedimento del 2004

sull'uso delle telecamere, sia per poter disporre di un quadro aggiornato sull'attuale impiego dei

sistemi di videosorveglianza da parte di soggetti pubblici e privati.

Altri controlli, ha annunciato il Garante, avrebbero riguardato il rispetto dell'obbligo

dell'informativa da fornire agli interessati al momento della raccolta dei dati personali, la libertà e

validità del consenso, la durata della conservazione dei dati; infine sarebbero state effettuate

verifiche sull'adozione delle misure minime di sicurezza da parte di soggetti, pubblici e privati,

che effettuano trattamenti di dati sensibili.

Ovviamente, oltre agli accertamenti previsti nel programma varato, l'Ufficio del Garante svolge

anche le ordinarie ulteriori attività istruttorie di carattere ispettivo relative a segnalazioni, reclami e

ricorsi presentati all'Autorità.

29

http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter 30


http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter


http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Newsletter




25

Modulo 1.2.3 – Nucleo speciale funzione

pubblica e privacy della Guardia di

Finanza

Per le attività ispettive il Garante si avvale di un reparto speciale della Guardia di Finanza noto

“Nucleo Speciale Funzione Pubblica e Privacy31

” che collabora all'attività ispettiva attraverso:

il reperimento di dati ed informazioni sui soggetti da controllare;

l'assistenza nei rapporti con le Autorità Giudiziarie;

la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle

altre rilevazioni nei luoghi ove si svolge il trattamento;

lo sviluppo delle attività delegate o sub-delegate per l'accertamento delle violazioni di natura

penale o amministrativa;

la contestazione delle sanzioni amministrative rilevate nell'ambito delle

attività delegate;

l'esecuzione di indagini conoscitive sullo stato di attuazione della citata

Legge in settori specifici;

la segnalazione all'Autorità di tutte le situazioni rilevanti ai fini

dell'applicazione del Codice, di cui venga a conoscenza nel corso

dell'esecuzione delle ordinarie attività di servizio.

Fonte immagine

32

31

http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale= 32

http://www.gdf.it/organizzazione/dove_siamo/comando_dei_reparti_speciali/info-407534563.html

http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale=


http://www.gdf.it/reparti/reparto.asp?idreparto=RM083&idcomune=&provincia=&denominazione=&catastale




26



L’Autorità Garante per

la protezione dei dati

personali non ha reali

poteri ma può

semplicemente

“consigliare” i

comportamenti

corretti.

Vero.

Il garante può solo

effettuare una “moral

suasion”.

Falso.

Pur non avendo reali

poteri può richiedere

l’intervento della

magistratura o delle

forze di polizia per

imporre i propri

provvedimenti.

Falso.

Il Garante può

infliggere sanzioni ed

imporre le proprie

decisioni fino al

blocco dei trattamenti.

La nomina dei

componenti

dell’Autorità Garante

per la privacy è di tipo

“politica”.

Falso.

I membri dell’autorità

sono nominati dai

rappresentanti delle

associazioni di

categoria.

Vero.


sono nominati dal

Governo.

Vero.


sono nominati dal

Parlamento.

I cittadini, e le

imprese, possono

appellarsi direttamente

al garante per far

valere i propri diritti.

Vero.

Solo però dopo aver

fatto prima ricorso

attraverso la

magistratura.

Vero.

Sul sito del Garante

sono disponibili anche

suggerimenti e modelli

per esercitare tale

diritto.

Falso.

Occorre fare ricorso

alla magistratura per

far valere i propri

diritti in ambito

privacy.

Tra gli incarichi del

Garante vi sono le

ispezioni nelle aziende

per valutare il rispetto

degli adempimenti di

legge.

Vero.

Ogni anno il Garante

presenta

pubblicamente il piano

delle ispezioni

previste.

Vero.

Il Garante può fare

ispezioni solo in

seguito a denunce o

ricorsi da parte di

cittadini o imprese.

Falso.

Solo le forse di polizia

possono fare ispezioni

nelle aziende.



27

Lezione 1 –

Unità didattica 1.3 – Le

principali norme sulla privacy

Modulo 1.3.1 – Codice in materia di protezione dei dati personali

Modulo 1.3.2 – Allegati al Codice

Modulo 1.3.3 – Allegato B - Disciplinare tecnico in materia di

misure minime di sicurezza

Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla sicurezza e la

notificazione

Modulo 1.3.5 – I nuovi adempimenti per le funzioni di

“amministratore di sistema”

Modulo 1.3.6 – Gli “inasprimenti” delle sanzioni del 30 dicembre

2008




28

Modulo 1.3.1 – Codice in materia di

protezione dei dati personali

Il primo gennaio 2004 è entrato in vigore il “Codice in materia di protezione dei dati

personali33

” che ha abrogato e sostituito la precedente legge n. 675/96 sulla privacy e successive

modifiche.

Il Codice è diviso in tre parti:

1. disposizioni generali;

2. disposizioni relative a specifici settori;

3. norme relative alle forme di tutela, alle sanzioni ed all’ufficio del Garante per la protezione

dei dati personali.

Diritti fondamentali

L’articolo 1 spiega chiaramente lo spirito della norma: “chiunque ha diritto alla protezione dei dati

personali che lo riguardano”.

L’articolo 2 recita che il Codice “garantisce che il trattamento dei dati personali si svolga nel

rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare

riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.

Trattamenti e dati

Le disposizioni del Codice si applicano al trattamento di dati personali cioè a “qualunque

operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici,

concernenti:

la raccolta,

la registrazione,

l’organizzazione,

la conservazione,

la consultazione,

l’elaborazione,

la modificazione,

la selezione,

l’estrazione,

il raffronto,

l’utilizzo,

l’interconnessione,

il blocco,

la comunicazione,

la diffusione,

la cancellazione,

33








29

la distruzione di dati

anche se non registrati in una banca di dati”.

L’articolo 4 definisce i dati personali come “qualunque informazione relativa a persona fisica,

persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante

riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.

I dati personali si dividono in:

dati identificativi, ossia “dati personali che permettono l’identificazione diretta

dell'interessato”;

dati sensibili,ossia “dati personali idonei a rivelare l’origine razziale ed etnica, le

convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti,

sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o

sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

I soggetti che effettuano il trattamento

Gli obblighi in materia di Privacy sono a carico del “titolare del trattamento” cioè di norma la

persona fisica (si pensi all’imprenditore individuale) o giuridica (ad esempio, la società) che tratta i

dati personali (con la raccolta, la registrazione, la comunicazione o la diffusione).

Il “responsabile del trattamento” (ma possono essere più d’uno) è una figura che può essere

designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno

indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza,

capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in

materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice). La nomina

del responsabile è utile o in presenza di imprese con organizzazione articolata (ad es., possono

essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del

personale o del settore marketing) o rispetto a soggetti esterni all’impresa, per svariate forme di

outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati

contabili, per i servizi di postalizzazione, per le società di recupero crediti, etc.).

Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente

le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del

responsabile) attenendosi a istruzioni scritte (art. 30 del Codice); in pratica sono i dipendenti o

collaboratori dell'azienda. Il "titolare del trattamento" è tenuto a designarli cioè a nominarli per

iscritto incaricati specificando quali dati può trattare. In pratica è sufficiente "assegnare un

dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui

può avere accesso e gli ambiti del trattamento. Così, in un’azienda nella quale ad una unità

organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una

formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora

si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità

mediante una previsione scritta (ad es. nell’organigramma, nel contratto, nei mansionari, ecc.) e

risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità".

Principi

Il Codice fissa alcuni principi generali che devono esser seguiti nel trattamento di dati personali; in

particolare:

in applicazione del principio di necessità (articolo 3), i sistemi informativi e i programmi

informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo

di informazioni relative a clienti identificabili. Il trattamento di dati personali relativi a

clienti non è lecito se le finalità del trattamento, in particolare di profilazione, possono

essere perseguite con dati anonimi o solo indirettamente identificativi;



30

nel rispetto del principio di proporzionalità nel trattamento (articolo 11, comma 1, lett. d),

tutti i dati personali e le varie modalità del loro trattamento devono essere pertinenti e non

eccedenti rispetto alle finalità perseguite;

il trattamento dei dati è possibile solo se è fondato su uno dei presupposti di liceità che il

Codice prevede espressamente per gli organi pubblici da un lato (svolgimento di funzioni

istituzionali: articoli 18-22) e, dall’altro, per soggetti privati ed enti pubblici economici

(adempimento ad un obbligo di legge, provvedimento del Garante di c.d. “bilanciamento di

interessi” o consenso libero ed espresso: articoli 23-27);

le finalità perseguite dal trattamento devono essere determinati, espliciti e legittimi (articolo

11, comma 1, lett. b); ciò comporta che il titolare possa perseguire solo finalità di sua

pertinenza.

Diritti degli interessati

La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere ai

dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.

Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti

che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di

regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).

In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi

all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).

L’inversione dell’onere della prova

L’articolo 15 del Codice recita “chiunque cagiona danno ad altri per effetto del trattamento di dati

personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile”, il quale a sua volta

dispone che “chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua

natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato

tutte le misure idonee a evitare il danno”.

Nella pratica, l’art. 2050 del Codice Civile obbliga, in caso di contenzioso, il titolare a dimostrare di

aver adottato tutte le misure idonee ad evitare il possibile danno.

Sanzioni

Il Codice prevede sia sanzioni di carattere amministrativo sia illeciti penali.

Le sanzioni di carattere amministrativo sono causate da:

omessa o inidonea informativa all’interessato (articolo 161);

illecita cessione di dati personali (articolo 162);

omessa o incompleta notificazione (articolo 163);

omessa informazione o esibizione al Garante (articolo 164).

Gli illeciti penali sono causati da:

trattamento illecito di dati (articolo 167);

falsità nelle dichiarazioni e notificazioni al Garante (articolo 168);

omissione delle misure minime di sicurezza (articolo 169);

inosservanza di provvedimenti del Garante (articolo 170).



31

Modulo 1.3.2 – Allegati al Codice

Gli allegati sono:

Allegato A.6. Codice di deontologia e di buona condotta per i trattamenti di dati personali

effettuati per svolgere investigazioni difensive34

Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da

soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti35

Allegato A.4. Codice di deontologia e di buona condotta per i trattamenti di dati personali

per scopi statistici e scientifici36

Allegato A.1. Codice di deontologia - Trattamento dei dati personali nell'esercizio

dell'attività giornalistica37

Allegato A.2. Codici di deontologia - Trattamento dei dati personali per scopi storici38

Allegato A.3. Codice di deontologia - Trattamento dei dati personali a scopi statistici in

ambito Sistan39

Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza40

Allegato C. Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia41

34



























32

Modulo 1.3.3 – Allegato B - Disciplinare

tecnico in materia di misure minime di

sicurezza

Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B

42) specifica le

modalità tecniche da adottare a cura del titolare, del responsabile ove designato e dell'incaricato, in

caso di trattamenti di dati con strumenti elettronici o senza strumenti elettronici. Tali modalità

vanno “lette” a partire da quanto indicato negli articoli da 33 a 36 del Codice in materia di

protezione dei dati personali” 43

relative alla cosiddette “Misure minime di sicurezza” che

indicano che “nel quadro dei più generali obblighi di sicurezza” i titolari del trattamento sono

comunque tenuti ad adottare le misure minime di seguito indicate (suddivise tra misure da adottare

per i trattamenti effettuati con strumenti elettronici e misure da adottare per trattamenti effettuati

senza strumenti elettronici).

Trattamenti con strumenti elettronici (articolo 34 del Codice)

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,

nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai

singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad

accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità

dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza;

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati

idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Con le semplificazioni adottate nel dicembre 2008 è stato aggiunto all’articolo 34 il comma 1-bis di

seguito riportato.

Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come

unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri

dipendenti e collaboratori anche a progetto, senza indicazione della relativa diagnosi,

ovvero dall'adesione ad organizzazioni sindacali o a carattere sindacale, la tenuta di un

42











33

aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di

autocertificazione, resa dal titolare del trattamento ai sensi dell'articolo 47 del testo unico

di cui al decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, di trattare

soltanto tali dati in osservanza delle altre misure di sicurezza prescritte. In relazione a tali

trattamenti, nonché a trattamenti comunque effettuati per correnti finalità amministrative e

contabili, in particolare presso piccole e medie imprese, liberi professionisti e artigiani, il

Garante, sentito il Ministro per la semplificazione normativa, individua con proprio

provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del

disciplinare tecnico di cui all'Allegato B) in ordine all'adozione delle misure minime di cui

al comma 1.

Trattamenti senza l'ausilio di strumenti elettronici (articolo 35 del Codice)

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se

sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti

misure minime:

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai

singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per

lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso

selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli

incaricati.

Allegato B

Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B44

) specifica le

modalità con cui attuare le misure minime di sicurezza indicate nel Codice.

Sistema di autenticazione informatica

1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di

credenziali di autenticazione che consentano il superamento di una procedura di

autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.

2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato

associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un

dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente

associato a un codice identificativo o a una parola chiave, oppure in una caratteristica

biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola

chiave.

3. Ad ogni incaricato sono assegnate o associate individualmente una o più credenziali per

l'autenticazione.

4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per

assicurare la segretezza della componente riservata della credenziale e la diligente custodia

dei dispositivi in possesso ed uso esclusivo dell'incaricato.

5. La parola chiave, quando è prevista dal sistema di autenticazione, è composta da almeno

otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero

di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente

riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e,

44






34

successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati

giudiziari la parola chiave è modificata almeno ogni tre mesi.

6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,

neppure in tempi diversi.

7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo

quelle preventivamente autorizzate per soli scopi di gestione tecnica.

8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente

all'incaricato l'accesso ai dati personali.

9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo

strumento elettronico durante una sessione di trattamento.

10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante

uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee

e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il

titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata

assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per

esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle

copie delle credenziali è organizzata garantendo la relativa segretezza e individuando

preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono

informare tempestivamente l'incaricato dell'intervento effettuato.

11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti e quelle sul sistema di

autorizzazione non si applicano ai trattamenti dei dati personali destinati alla diffusione.

Sistema di autorizzazione

12. Quando per gli incaricati sono individuati profili di autorizzazione di ambito diverso è

utilizzato un sistema di autorizzazione.

13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee di incaricati, sono

individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare

l'accesso ai soli dati necessari per effettuare le operazioni di trattamento.

14. Periodicamente, e comunque almeno annualmente, è verificata la sussistenza delle

condizioni per la conservazione dei profili di autorizzazione.

Altre misure di sicurezza

15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale dell'individuazione

dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla

manutenzione degli strumenti elettronici, la lista degli incaricati può essere redatta anche per

classi omogenee di incarico e dei relativi profili di autorizzazione.

16. I dati personali sono protetti contro il rischio di intrusione e dell'azione di programmi di cui

all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici

da aggiornare con cadenza almeno semestrale.

17. Gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità

di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di

trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

18. Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati con

frequenza almeno settimanale.



35

Documento programmatico sulla sicurezza

19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di dati

giudiziari45

redige anche attraverso il responsabile, se designato, un documento

programmatico sulla sicurezza contenente idonee informazioni riguardo:

19.1. l'elenco dei trattamenti di dati personali;

19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte

al trattamento dei dati;

19.3. l'analisi dei rischi che incombono sui dati;

19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la

protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;

19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in

seguito a distruzione o danneggiamento di cui al successivo punto 23;

19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli

edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi

dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in

rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità

per aggiornarsi sulle misure minime adottate dal titolare. La formazione è

programmata già al momento dell'ingresso in servizio, nonchè in occasione di

cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti

rispetto al trattamento di dati personali;

19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di

sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice,

all'esterno della struttura del titolare;

19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto

24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali

dati dagli altri dati personali dell'interessato.

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di cui all'art. 615-ter del

codice penale, mediante l'utilizzo di idonei strumenti elettronici.

21. Sono impartite istruzioni organizzative e tecniche per la custodia e l'uso dei supporti

rimovibili su cui sono memorizzati i dati al fine di evitare accessi non autorizzati e

trattamenti non consentiti.

22. I supporti rimovibili contenenti dati sensibili o giudiziari se non utilizzati sono distrutti o

resi inutilizzabili, ovvero possono essere riutilizzati da altri incaricati, non autorizzati al

trattamento degli stessi dati, se le informazioni precedentemente in essi contenute non sono

intelligibili e tecnicamente in alcun modo ricostruibili.

23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai dati in caso di

danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i

diritti degli interessati e non superiori a sette giorni.

24. Gli organismi sanitari e gli esercenti le professioni sanitarie effettuano il trattamento dei dati

idonei a rivelare lo stato di salute e la vita sessuale contenuti in elenchi, registri o banche di

45

Con le semplificazioni adottate nel dicembre 2008 per i titolari che trattano soltanto dati personali non sensibili e

che trattano come unici dati sensibili quelli costituiti dallo stato di salute o malattia dei propri dipendenti e collaboratori

anche a progetto, senza indicazione della relativa diagnosi, ovvero dall'adesione ad organizzazioni sindacali o a

carattere sindacale, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di

autocertificazione



36

dati con le modalità di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il

trattamento disgiunto dei medesimi dati dagli altri dati personali che permettono di

identificare direttamente gli interessati. I dati relativi all'identità genetica sono trattati

esclusivamente all'interno di locali protetti accessibili ai soli incaricati dei trattamenti ed ai

soggetti specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei locali

riservati al loro trattamento deve avvenire in contenitori muniti di serratura o dispositivi

equipollenti; il trasferimento dei dati in formato elettronico è cifrato.

Misure di tutela e garanzia

25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti esterni alla propria

struttura, per provvedere alla esecuzione riceve dall'installatore una descrizione scritta

dell'intervento effettuato che ne attesta la conformità alle disposizioni del presente

disciplinare tecnico.

26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta,

dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

Trattamenti senza l'ausilio di strumenti elettronici

Modalità tecniche da adottare a cura del titolare, del responsabile, ove designato, e dell'incaricato,

in caso di trattamento con strumenti diversi da quelli elettronici:

27. Agli incaricati sono impartite istruzioni scritte finalizzate al controllo ed alla custodia, per

l'intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei

documenti contenenti dati personali. Nell'ambito dell'aggiornamento periodico con cadenza

almeno annuale dell'individuazione dell'ambito del trattamento consentito ai singoli

incaricati, la lista degli incaricati può essere redatta anche per classi omogenee di incarico e

dei relativi profili di autorizzazione.

28. Quando gli atti e i documenti contenenti dati personali sensibili o giudiziari sono affidati

agli incaricati del trattamento per lo svolgimento dei relativi compiti, i medesimi atti e

documenti sono controllati e custoditi dagli incaricati fino alla restituzione in maniera che ad

essi non accedano persone prive di autorizzazione, e sono restituiti al termine delle

operazioni affidate.

29. L'accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone

ammesse, a qualunque titolo, dopo l'orario di chiusura, sono identificate e registrate. Quando

gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati

della vigilanza, le persone che vi accedono sono preventivamente autorizzate.



37

Modulo 1.3.4 – Le “semplificazioni” del

2008 sulla sicurezza e la notificazione

Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto

46 un

provvedimento47

sulla semplificazione di alcuni adempimenti in materia di protezione dei dati

personali. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa,

interessano:

amministrazioni pubbliche e società private che utilizzano dati personali non sensibili

(nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici

dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni

sindacali;

piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini

amministrativi e contabili.

Obiettivo dell'Autorità è quello di mantenere un adeguato livello per le misure minime di sicurezza

venendo però incontro alle esigenze prospettate da imprese, soprattutto di piccole dimensioni,

volte a snellire le procedure, graduare le cautele a seconda della delicatezza dei trattamenti e a

contenere i costi.

In base al provvedimento del Garante, le categorie interessate:

possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;

possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di

autenticazione basato su un username e una password; lo username deve essere disattivato

quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno

dell'organizzazione);

in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto

procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad

es. l'invio automatico delle mail ad un altro recapito accessibile);

devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e

effettuare backup dei dati almeno una volta al mese.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi

professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune

indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.

Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi

informatici.

Insieme a quello sulle misure minime di sicurezza, il Garante ha adottato anche un provvedimento

che semplifica il modello utilizzato per effettuare le notificazioni, ossia le dichiarazioni da fare

46









38

all'Autorità quando si avvia un trattamento di particolari tipi di dati (genetici, biometrici,

procreazione assistita, ecc.).

Il provvedimento sulle misure di sicurezza è immediatamente applicabile senza necessità di istanze

o comunicazioni al Garante, mentre quello sulla notificazione sarà operativo entro 60 giorni dalla

pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le

notificazioni a carico di chi lo abbia già fatto.



39

Modulo 1.3.5 – I nuovi adempimenti per

le funzioni di “amministratore di sistema”

Sulla Gazzetta Ufficiale n. 300 del 24 dicembre 2008

48 è stato pubblicato il testo del

provvedimento del 27 novembre 2008 del Garante per la protezione dei dati personali dal titolo

“Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici

relativamente alle attribuzioni delle funzioni di amministratore di sistema”49

.

Il Garante ha rilevata l'esigenza di intraprendere una specifica attività rispetto ai soggetti preposti ad

attività riconducibili alle mansioni tipiche dei cosiddetti “amministratori di sistema” nonché di

coloro che svolgono mansioni analoghe in rapporto a sistemi di elaborazione e banche di dati,

evidenziandone la rilevanza rispetto ai trattamenti di dati personali anche allo scopo di promuovere

presso i relativi titolari e nel pubblico la consapevolezza della delicatezza di tali peculiari mansioni

nella "Società dell'informazione" e dei rischi a esse associati.

Di conseguenza il Garante impone nuovi adempimenti ai titolari di trattamenti effettuati (anche

parzialmente) con strumenti elettronici. I nuovi adempimenti non riguardano i titolari destinatari

delle recenti “semplificazioni” sugli obblighi privacy.

Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici

1. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di

amministratore di sistema deve avvenire previa valutazione dell'esperienza, della capacità e

dell'affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno

rispetto delle vigenti disposizioni in materia di trattamento ivi compreso il profilo relativo

alla sicurezza. Anche quando le funzioni di amministratore di sistema o assimilate sono

attribuite solo nel quadro di una designazione quale incaricato del trattamento ai sensi

dell'art. 30 del Codice, il titolare e il responsabile devono attenersi comunque a criteri di

valutazione equipollenti a quelli richiesti per la designazione dei responsabili ai sensi

dell'art. 29.

2. Designazioni individuali. La designazione quale amministratore di sistema deve essere in

ogni caso individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in

base al profilo di autorizzazione assegnato.

3. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone fisiche

amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono essere

riportati nel Documento Programmatico sulla Sicurezza, oppure, nei casi in cui il titolare

non è tenuto a redigerlo, annotati comunque in un documento interno da mantenere

aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Qualora

l'attività degli amministratori di sistema riguardi anche indirettamente servizi o sistemi che

trattano o che permettono il trattamento di informazioni di carattere personale di lavoratori, i

titolari pubblici e privati nella qualità di datori di lavoro sono tenuti a rendere nota o

conoscibile l'identità degli amministratori di sistema nell'ambito delle proprie

organizzazioni, secondo le caratteristiche dell'azienda o del servizio, in relazione ai diversi

48


24&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230659946972 49


http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-24&task=dettaglio&numgu=300&redaz=08A09816&tmstp=1230659946972








40

servizi informatici cui questi sono preposti. Ciò, avvalendosi dell'informativa resa agli

interessati ai sensi dell'art. 13 del Codice nell'ambito del rapporto di lavoro che li lega al

titolare, oppure tramite il disciplinare tecnico la cui adozione è prevista dal provvedimento

del Garante n. 13 del 1° marzo 2007 (in Gazzetta Ufficiale 10 marzo 2007, n. 58); in

alternativa si possono anche utilizzare strumenti di comunicazione interna (a es., intranet

aziendale, ordini di servizio a circolazione interna o bollettini). Ciò, salvi i casi in cui tale

forma di pubblicità o di conoscibilità non sia esclusa in forza di un'eventuale disposizione di

legge che disciplini in modo difforme uno specifico settore. Nel caso di servizi di

amministrazione di sistema affidati in outsourcing il titolare deve conservare direttamente e

specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche

preposte quali amministratori di sistema.

4. Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con

cadenza almeno annuale, di un'attività di verifica da parte dei titolari del trattamento, in

modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza

rispetto ai trattamenti dei dati personali previste dalle norme vigenti.

5. Registrazione degli accessi. Devono essere adottati sistemi idonei alla registrazione degli

accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici

da parte degli amministratori di sistema. Le registrazioni (access log) devono avere

caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità

adeguate al raggiungimento dello scopo di verifica per cui sono richieste. Le registrazioni

devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e

devono essere conservate per un congruo periodo, non inferiore a sei mesi.

6. Tempi di adozione delle misure e degli accorgimenti. Per tutti i titolari dei trattamenti già

iniziati o che avranno inizio entro trenta giorni dalla data di pubblicazione nella Gazzetta

Ufficiale del presente provvedimento, le misure e gli accorgimenti (…) dovranno essere

introdotti al più presto e comunque entro, e non oltre, il termine che è congruo stabilire, in

centoventi giorni dalla medesima data. Per tutti gli altri trattamenti che avranno inizio dopo

il predetto termine di trenta giorni dalla pubblicazione, gli accorgimenti e le misure

dovranno essere introdotti anteriormente all'inizio del trattamento dei dati.



41

Modulo 1.3.6 – Gli “inasprimenti” delle

sanzioni del 30 dicembre 2008

Con l’articolo 4450

del D.L. 30.12.2008 n. 207 sono state inasprite le sanzioni previste dal “Codice

in materia di protezione dei dati personali”51

. In particolare il trattamento in violazione delle

misure di sicurezza, oltre ad essere punito con l’arresto sino a due anni, viene punito con una

sanzione amministrativa da 20.000 a 120.000 euro; vengono inoltre previsti casi di minore e

maggiore gravità, rispettivamente con diminuzione ed aumento delle sanzioni.

Le sanzioni prima del D.L. 30.12.2008 n. 207

Sanzioni amministrative

Omessa o inidonea informativa Da € 3.000,00 a € 18.000,00

Omessa o inidonea informativa (dati

sensibili, giudiziari, trattamenti che

presentano rischi specifici) Da € 5.000,00 a € 30.000,00

Cessione illecita di dati Da € 5.000,00 a € 30.000,00

Violazione relativa ai dati personali

idonei a rilevare lo stato di salute Da € 500,00 a € 3.000,00

Omessa o incompleta notificazione Da € 10.000,00 a € 60.000,00

Omessa informazione o esibizione al

Garante dei documenti richiesti Da € 4.000,00 a € 24.000,00

Illeciti penali

Trattamento illecito di dati Reclusione da 6 a 24 mesi

Trattamento illecito di dati (dati sensibili,

giudiziari, trattamenti che presentano

rischi specifici) Reclusione da 1 a 3 anni

Falsità nelle dichiarazioni e notificazioni

al Garante Reclusione da 6 mesi a 3 anni

Omessa adozione delle misure minime

di sicurezza

Arresto fino a 2 anni Sanzione

pecuniaria da € 10.000,00 a €

50.000,00

Violazione da parte dei datori di lavoro

del divieto di Effettuare indagini su

opinioni politiche, Controllo attraverso

luso di impianti audiovisivi, o altre

apparecchiature art.4 Legge n.300/1970 Arresto da 15 giorni a 1 anno

Gli inasprimenti delle sanzioni già previste Sanzioni amministrative Prima del DL 207/2008 DOPO il DL 207/2008 Omessa od inidonea informativa all’interessato Da 3.000 a 18.000 euro Da 6.000 a 36.000 euro Cessione illecita dei dati Da 5.000 a 30.000 euro Da 10.000 a 60.000 euro

Violazioni relative ai dati personali idonei a rivelare lo stato

di salute

Da 500 a 3.000 euro Da 1.000 a 6.000 euro

Omessa o incompleta notificazione Da 10.000 a 60.000 euro Da 20.000 a 120.000 euro

Omessa informazione o esibizione di documenti al Garante Da 4.000 a 24.000 euro Da 10.000 a 60.000 euro

50


31&task=testoArticolo&progressivoarticolo=0&versionearticolo=1&subarticolo=1&numeroarticolo=44&redaz=008G0

232&tmstp=1232193077977 51












42

Le nuove sanzioni

Nuovo comma 2 bis all’articolo 162

In caso di “trattamento di dati in violazione delle misure di sicurezza (misure di cui all’art. 33 e

dell’allegato B al Dlgs. 196/2003 incluso il DPS)” si applica in sede amministrativa in ogni caso la

sanzione da 20.000 a 120.000 euro. L’articolo 169 prevede inoltre l’arresto sino a due anni ‐ nel

caso di regolarizzazione delle omissioni nei 60 giorni successivi l’autore della violazione è

ammesso a definire la violazione con il pagamento del quarto del massimo; l’adempimento ed il

pagamento estinguono il reato.

Introduzione dell’articolo 164 bis c. 1

(Casi di minore gravità) Se taluna delle violazioni di cui agli articoli 161‐162‐163‐164 è di minore

gravità avuto riguardo anche alla natura economica e sociale dell’attività svolta i limiti minimi e

massimi delle sanzioni sono applicati in misura pari a 2/5 (due quinti)


(Cumulo delle sanzioni) In caso di violazione di più disposizioni ad eccezione di quelle di cui

all’art. 162 c. 2 ‐162 bis e 164, commesse anche in tempi diversi in relazione a banche dati di

particolare rilevanza o dimensioni si applica la sanzione amministrativa da 50.000 a 300.000 euro


(Casi di maggiore gravità) Nei casi di maggiore gravità e di maggiore rilevanza del pregiudizio per

uno o più interessati, o quando la violazione coinvolge numerosi interessati, i limini minimo e

massimo delle sanzioni sono applicati in misura pari al doppio


(Casi di maggiore gravità) Le sanzioni possono essere aumentate sino al quadruplo quando possono

risultare inefficaci in ragione delle condizioni economiche del trasgressore.



43



L’allegato B al Codice

contiene l’elenco delle

misure minime di

sicurezza da adottare

per i trattamenti di dati

personali.

Vero.

L’allegato contiene le

disposizioni tecniche

relative alla misure

minime di sicurezza

già enunciate nel

Codice.

Falso.

L’allegato B indica

come garantire i diritti

dei cittadini in ambito

privacy.

Parzialmente vero

L’allegato B faceva

parte della precedente

legge 675 sulla

privacy. Oggi è in

vigore il d.lgs. 231/01.

L’allegato A5 riguarda

le centrali rischi

private.

Vero. Questo allegato

fissa le regole su come

trattare i dati delle

persone ed aziende

registrate come cattivi

(o buoni) pagatori.

Vero. L’allegato

contiene anche un

codice di condotta da

far sottoscrivere al

consumatore.

Falso. L’allegato

contiene le modalità

per inviare la

notificazione dei

trattamenti al Garante.

L’allegato A3 contiene

il codice deontologico

sul marketing.

Vero.

Il codice deontologico

fissa le regole da

adottare nel

trattamento di dati

personali per finalità

di marketing e

commerciali.

Parzialmente vero.

È l’allegato A4 che

contiene il codice

deontologico sul

marketing.

Falso.


sul marketing non è

ancora stato emanato.

Lezione 1 – Risposte alle domande di verifica


44

Risposte alle domande di

verifica della lezione 1

Domande di verifica 1.1 e risposte corrette

Domanda

Il Codice in materia di

protezione dei dati

personali è in vigore

dal primo gennaio

2001.

Falso, il Codice in


dei dati personali è in

vigore dal primo

gennaio 2004 e

sostituisce la

precedente legge

n.675 del 1996.

Quando è stata

abrogata la legge sulla

privacy del 1996?

Nel 2004 dal Codice

in materia di

protezione dei dati

personali.

La legge sulla privacy

riguarda solo le

persone fisiche e non

le aziende.

Falso. Le norme sulla

privacy si applicano

sia a persone fisiche

che ad aziende.


Domanda

L’Autorità Garante per

la protezione dei dati

personali non ha reali

poteri ma può

semplicemente

“consigliare” i

comportamenti

corretti.

Falso.

Il Garante può

infliggere sanzioni ed

imporre le proprie

decisioni fino al

blocco dei

trattamenti.

La nomina dei

componenti

dell’Autorità Garante

per la privacy è di tipo

“politica”.

Vero.

I membri

dell’autorità sono

nominati dal

Parlamento. I cittadini, e le imprese,

possono appellarsi

direttamente al garante per

far valere i propri diritti.

Vero.

Sul sito del Garante sono

disponibili anche

suggerimenti e modelli



45

per esercitare tale diritto

Tra gli incarichi del

Garante vi sono le

ispezioni nelle aziende

per valutare il rispetto

degli adempimenti di

legge.

Vero.

Ogni anno il Garante

presenta

pubblicamente il

piano delle ispezioni

previste.


Domanda

L’allegato B al Codice

contiene l’elenco delle

misure minime di

sicurezza da adottare

per i trattamenti di dati

personali.

Vero.

L’allegato contiene le

disposizioni tecniche

relative alla misure

minime di sicurezza

già enunciate nel

Codice.

L’allegato A5 riguarda

le centrali rischi

private.

Vero. Questo allegato

fissa le regole su

come trattare i dati

delle persone ed

aziende registrate

come cattivi (o buoni)

pagatori.

L’allegato A3 contiene

il codice deontologico

sul marketing.

Falso.


sul marketing non è

ancora stato

emanato.



46

Pagina lasciata intenzionalmente bianca

Lezione 2 – Organizzazione della privacy


47

Lezione 2 – Organizzazione

della privacy

Caso di studio a – Arcobaleni196 si organizza

Unità Didattica 2.1 – Principali adempimenti previsti dal

Codice

Unità Didattica 2.2 – Provvedimenti più rilevanti per le

aziende

Unità Didattica 2.3 – Organizzazione della privacy

Risposte alle domande di verifica della lezione 2

Lezione 2 – Organizzazione della privacy


48

Obiettivi di apprendimento

Cosa sono i provvedimenti del Garante?

Informativa, consenso, notificazione

Misure di sicurezza

A chi si rivolge questa lezione?

Direzione aziendale, Responsabili dei trattamenti

Percorsi formativi

Corso per Direzione.

Corso per Responsabile dei trattamenti.

Corso per Responsabile dei trattamenti con video sorveglianza.

Corso per Responsabile dei trattamenti di marketing.

Concetti chiave:

Organizzazione per la privacy.

Adempimenti privacy.

Titolare, Responsabile, incaricato.

Lezione 2 – Caso di studio b


49

Lezione 2 –

Caso di studio b

Arcobaleni196 si

organizza



50

Nel primo incontro con il Direttor Generale della società Arcobaleni196 (il cavalier Arcobaleni!)

ho fatto, a lui ed ai suoi collaboratori, un riepilogo delle principali norme in ambito privacy.

Adesso sono di nuovo a colloquio con il cavalier Arcobaleni per decidere cosa deve fare l’azienda

per essere “conforme” alla normativa sulla privacy.

“Caro ingegnere” esordisce il cavalier Arcobaleni non appena mi sono accomodato nel suo ufficio

“la sua lezione di introduzione alla Privacy è stata molto interessante però fin’ora ho sentito solo

teoria … Capisce, noi siamo una piccola impresa e dobbiamo essere concreti! Mi ha convinto che

Arcobaleni196 deve organizzarsi meglio rispetto alla privacy. Ci dica dunque: cosa dobbiamo fare,

in concreto? Quanto tempo ci vuole per mettere tutto a posto? E specialmente quanto mi costerà

tutto ciò?”

“Risponderò tra un attimo a tutte le sue domande, caro cavaliere. Per indicarle in modo chiaro e

completo gli adempimenti a cui siete soggetti ho bisogno di qualche altra informazione. Dunque le

chiedo una ulteriore cortesia. Mi spiega in breve di cosa si occupa Arcobaleni196?”

“Molto volentieri ingegnere. Ho fondato io quest’azienda vent’anni fa!”

Presentazione di

Arcobaleni196

srl

La storia

Arcobaleni196 srl è una società specializzata nella produzione di vernici speciali per la carrozzeria

di veicoli. La società è stata fondata agli inizi degli anni 80 da Pinco Arcobaleni, attuale Direttore

Generale, ed è detentrice di numerosi brevetti nazionali ed internazionali. I prodotti non sono

venduti direttamente al pubblico ma alle principali case automobilistiche mondiali. La sede unica

dell’azienda è ubicata presso Colleazzurro, vicino Roma.

I dipendenti sono circa 60.

La società è certificata secondo la norma UNI EN ISO 9001:2000 per tutte le proprie attività.

Struttura organizzativa

La maggior parte dei dipendenti lavora nell’area “produzione”, area a cui fanno riferimento 4

reparti:

1. logistica;

2. impianti;

3. ricerca e sviluppo;



51

4. informatica.

Il resto dei dipendenti lavora nelle funzioni amministrative: contabilità, risorse umane, qualità.

Canali distributivi

Arcobaleni196 si avvale, per la commercializzazione dei propri prodotti, di una rete di distributori

internazionali. Negli ultimi cinque anni ha cominciato ad utilizzare anche il canale Internet e si è

dotata di un sito web52

che fungere da vetrina elettronica dei prodotti della società e permette:

ai distributori di fare gli ordini ad Arcobaleni196 via web;

ai clienti di trovare il fornitore di riferimento per zona geografica o tipo di prodotto;

alla società di pubblicizzare eventi commerciali.

Funzioni e processi esternalizzati

Sono affidati a ditte esterne:

gestione paghe e contributi;

aspetti fiscali, legali e di diritto del lavoro;

sicurezza fisica e vigilanza;

sicurezza 626 sul posto di lavoro.

“Bene cavaliere, adesso ho le idee più chiare. Un’ultima domanda. In questa azienda non c’è un

responsabile per la privacy?”

“Assolutamente no! Le ho già detto che non trattiamo dati personali! Anzi mi scusi non trattiamo

dati sensibili … Perché me lo chiede? Lei mi consiglia di nominare un responsabile?”

52






52

“La nomina del responsabile dei trattamenti non è obbligatoria ma di solito è utile in quanto

concentra su una figura aziendale il rispetto degli adempimenti. Adesso cercherò di riassumerle

quali sono questi adempimenti nel caso di Arcobaleni196. Le dico subito che parte di essi nascono

dal tipo di trattamenti di dati personali che sono effettuati in azienda. Chi è che ha un quadro

completo di essi?”

“Non so …” medita Arcobaleni “Qualcosa posso dirle io stesso. Poi occorre chiedere al

responsabile dei sistemi informativi. Inoltre dobbiamo verificare anche con il responsabile

amministrativo …”

“Dobbiamo censire i trattamenti elettronici ed anche quelli cartacei” ricordo al cavaliere.

“Allora riconvochiamo tutti i miei collaboratori e facciamoci indicare i trattamenti direttamente da

loro!” esclama il Arcobaleni sollevando il telefono.

Al lavoro!

Eccoci di nuovo tutti intorno al tavolo. Spiego ancora una volta che per operare in modo efficace

rispetto agli adempimenti della privacy occorre in primo luogo partire dal censimento dei

trattamenti dei dati personali. Propongo dunque un “esercizio collettivo”.

“Proviamo a censire tutti i trattamenti di dati personali che sono

svolti in Arcobaleni196. Ciascuno scriva i trattamenti che conosce e poi

confrontiamo i risultati

Subito nascono i dubbi.

“Mi scusi può ripetere la definizione di trattamento? Sarebbero i database?”

“Abbiamo anche applicazioni informatiche senza database!”

“Dobbiamo anche elencare i tabulati?”

“Cosa facciamo per gli archivi cartacei del personale?”



53

“Calma, calma! Dobbiamo fare solo un simulazione. Riepilogo le regole di questo gioco

1) ciascuno di voi scriva sul proprio block notes un semplice elenco dei dati che tratta per la

propria attività lavorativa

2) con trattamento intendiamo letteralmente l’uso, manuale o informatizzato, di dati ed

informazioni

3) per semplificare consideriamo tutti i dati e le informazioni, anche quelle pubbliche, come

dati personali 4) indicate se il trattamento è completamento cartaceo (non automatizzato) o mediante sistemi

informatici

5) abbiamo 10 minuti.”

10 minuti dopo abbiamo i risultati. Mi faccio consegnare gli elenchi e metto tutto insieme in una

unica lista eliminando i doppioni. Ecco il risultato:

Paghe e contributi

Gestione personale

Fatturazione attiva Clienti

Fornitori

Contabilità

Ciclo di produzione

Gestione Qualità, cartaceo

Adempimenti societari, cartaceo

Guardiania,

Prototipi

“Bene, grazie a tutti per la collaborazione. A mio avviso, però, sulla base di quanto il cavalier

Arcobaleni mi ha raccontato prima del vostro arrivo dovremmo aggiungere i seguenti trattamenti:

sicurezza sul posto di lavoro 626, cartaceo

corrispondenza e protocollo posta entrata ed uscita

videosorveglianza

ordini via web

posta elettronica

curricula aspiranti collaboratori e dipendenti, cartaceo

comunicazioni commerciali

adempimenti e consulenza fiscale, cartaceo

adempimenti e consulenza legale, cartaceo

adempimenti e consulenza giuslavoristica, cartaceo”

Poi chiedo ai presenti di aiutarmi ad individuare dove si trovano i dati sensibili e giudiziari nei

trattamenti che abbiamo censito.

Ricordo le definizioni.

Dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni

religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati,

associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i

dati personali idonei a rivelare lo stato di salute e la vita sessuale.



54

Dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma

1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario

giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi

pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di

procedura penale.

Ecco il risultato.

Trattamento Automatizzato Dato sensibile Dato giudiziario

Paghe e contributi Sì Sì

Gestione personale Sì Sì


Fornitori

Contabilità

Ciclo di produzione

Gestione Qualità No

Adempimenti societari No Sì

Guardania,

Prototipi

Sicurezza sul posto di lavoro 626 No Sì Sì

corrispondenza e protocollo posta entrata

ed uscita

Sì Sì

videosorveglianza

ordini via web

posta elettronica

curricula aspiranti collaboratori e

dipendenti, cartaceo

Sì Sì


adempimenti e consulenza fiscale No

adempimenti e consulenza legale No Sì

adempimenti e consulenza giuslavoristica No Sì Sì

Infine inseriamo una nuova colonna per indicare se il trattamento è svolto internamento all’azienda

o esternalizzato ad un fornitore.



55

Trattamento Automatizzato Dato sensibile Dato giudiziario Esternalizzato

Paghe e contributi Sì Sì Sì

Gestione personale Sì Sì Sì


Fornitori

Contabilità

Ciclo di produzione

Gestione Qualità No

Adempimenti societari No Sì

Guardania,

Prototipi

Sicurezza sul posto di lavoro 626 No Sì Sì Sì

corrispondenza e protocollo posta entrata

ed uscita

Sì Sì

videosorveglianza

ordini via web

posta elettronica Sì

curricula aspiranti collaboratori e

dipendenti, cartaceo

Sì Sì Sì


adempimenti e consulenza fiscale No Sì

adempimenti e consulenza legale No Sì Sì

adempimenti e consulenza giuslavoristica No Sì Sì Sì

È il momento delle conclusioni.

“Bene signori, grazie a questo esercizio comune siamo giunti al punto che ci premeva. Quali sono

gli adempimenti privacy che Arcobaleni196 deve rispettare?”

1) Come tutte le aziende che trattano dati personali Arcobaleni196 deve dare l’informativa su

tali trattamenti a tutti gli interessati (clienti, fornitori, dipendenti) e nei casi previsti dalla

legge ottenere da questi il consenso al trattamento.

2) Tutti coloro che in azienda trattano dati personali devono ricevere dal titolare una lettera di

incarico scritta che specifichi ambiti e modalità del trattamento.

3) Arcobaleni196 tratta anche dati sensibili e giudiziari, dunque deve adottare le relative

misure di sicurezza di tipo organizzativo e tecnologico tra cui la redazione e

l’aggiornamento annuale del Documento Programmatico della Sicurezza (DPS).

4) Arcobaleni effettua trattamenti di videosorveglianza dunque deve adottare gli

adempimenti indicati dal Garante per tali casi.

5) È opportuno dare ulteriori istruzioni scritte a tutti gli utilizzatori sull’uso di sistemi quali

Internet e posta elettronica.

“Per concludere” sottolineo “per garantire il rispetto di tutti questi adempimenti, che non vanno

svolti una tantum ma periodicamente, è fortemente consigliato, specie a garanzia del titolare

dell’azienda, nominare un responsabile aziendale della privacy.”

Dopo qualche secondo di silenzio prende la parola il cavalier Arcobaleni.

“Bene ingegner Marcelli. Mi ha convinto. Mettiamoci al lavoro. Da dove cominciamo?”



56

“Cominciamo a vedere più in dettaglio gli adempimenti richiesti dalle norme privacy. Siete tutti

pronti? Si parte con la seconda lezione.”

Vi parlerò di tre argomenti

1. I provvedimenti più rilevanti

2. Principali adempimenti

3. Organizzazione della privacy

Inizia il corso…



57

Lezione 2 –

Unità didattica 2.1 –

Principali adempimenti

previsti dal Codice

Modulo 2.1.1 – L’informativa

Modulo 2.1.2 – Il consenso

Modulo 2.1.3 – La notificazione

Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi

Modulo 2.1.5 – Le lettere di incarico

Modulo 2.1.6 – Le misure di sicurezza

Modulo 2.1.7 – La formazione

Modulo 2.1.8 – I diritti degli interessati

Modulo 2.1.9 – Check list di verifica degli adempimenti




58

Modulo 2.1.1 – L’informativa

L’informativa contiene le informazioni che il titolare del trattamento deve fornire all’interessato

per chiarire, in particolare, se quest’ultimo è obbligato o meno a rilasciare i dati, quali sono gli

scopi e le modalità del trattamento, come circolano i dati e in che modo esercitare i diritti

riconosciuti dalla legge.

Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo

Garante sei tu”53

.

In maniera più formale il “Codice in materia di protezione dei dati personali”54

all’articolo 13

recita come segue.

Art. 13. Informativa

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono

previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere

comunicati o che possono venirne a conoscenza in qualità di responsabili

o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel

territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il

titolare ha designato più responsabili è indicato almeno uno di essi,

indicando il sito della rete di comunicazione o le modalità attraverso le

quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili.

Quando è stato designato un responsabile per il riscontro all'interessato in

caso di esercizio dei diritti di cui all'articolo 7, è indicato tale

responsabile.

2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche

disposizioni del presente codice e può non comprendere gli elementi già noti alla persona

che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte

di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o

sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.

53

http://www.garanteprivacy.it/garante/document?ID=1382763 54










59

3. Il Garante può individuare con proprio provvedimento modalità semplificate per

l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al

pubblico.

4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma

1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della

registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima

comunicazione.

5. La disposizione di cui al comma 4 non si applica quando:

a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o

dalla normativa comunitaria;

b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui

alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un

diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali

finalità e per il periodo strettamente necessario al loro perseguimento;

c) l'informativa all'interessato comporta un impiego di mezzi che il Garante,

prescrivendo eventuali misure appropriate, dichiari manifestamente

sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante,

impossibile.

In pratica:

l’azienda deve predisporre un documento55

denominato “informativa” che contenga almeno le

seguenti informazioni:

finalità e modalità del trattamento;

natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale

rifiuto di rispondere;

soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che

possono venirne a conoscenza;

diritti riconosciuti all’interessato dall'articolo 7 del Codice;

estremi identificativi del titolare e, se designato, del responsabile del trattamento.

Il Garante ha precisato56

che:

Se taluno di questi elementi è già noto all’interessato, non è necessario farlo presente

nuovamente. In caso di dati raccolti presso l’interessato, l’informativa deve essere resa, anche

in forma orale, prima delle operazioni del trattamento. Nel rapporto con fornitori, clienti,

dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto: è

sufficiente fornirla con una formula generale una tantum, all’inizio delle operazioni di

trattamento (che potranno anche protrarsi nel tempo). È possibile fornire l’informativa anche

oralmente, in modo sintetico e colloquiale, senza includere elementi già noti all’interessato

(art. 13 comma 2, del Codice). Si può utilizzare anche uno spazio all’interno dell’ordinario

materiale cartaceo e della corrispondenza

55

Ove possibile in forma scritta; ma si possono usare anche “informative” sotto forma di voce preregistrata (operatori

telefonici) o forma analoghe. 56

http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par3





60

Esempio di informativa per clienti e fornitori (senza consenso)

Informativa al trattamento dei dati personali al sensi del d. lgs. 196/2003 “Codice in materia

di protezione dei dati personali”

Ai sensi dell'art. 13 del d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” ed in

relazione al rapporto contrattuale in essere con la nostra azienda, si informa che i Vostri dati

personali formeranno oggetto di trattamento, e più precisamente che:

le finalità del trattamento sono relative all’esecuzione degli obblighi derivanti dal rapporto

contrattuale e ad ogni incombenza ad esso strettamente correlata nonché a obblighi

derivanti da leggi, regolamenti e normativa comunitaria;

le modalità del trattamento possono prevedere l’utilizzo di mezzi cartacei e informatici atti

a memorizzare e gestire i dati stessi, mediante strumenti idonei a garantire la loro sicurezza

e la riservatezza;

i dati da Voi forniti potranno essere oggetto di comunicazione, nel pieno rispetto delle

prescrizioni di legge, per finalità strettamente correlate all’esecuzione dei nostri obblighi

contrattuali.

possono venire a conoscenza dei dati, in qualità di incaricati o responsabili, i dipendenti e i

collaboratori esterni addetti alla Funzione Contabilità Fornitori nonché soggetti, interni ed

esterni, che svolgono per conto della società compiti tecnici, di supporto (in particolare,

servizi legali, servizi informatici, spedizioni) e di controllo aziendale.

Vi ricordiamo che l’art. 7 del D.Lgs. 196 del 2003 Vi riconosce taluni diritti. In particolare Voi

potrete:

ottenere la conferma della esistenza o meno di dati personali che Vi riguardano, e che tali

dati Vi vengano comunicati in forma intelligibile;

ottenere l’indicazione dell’origine dei dati, delle finalità e modalità del trattamento, della

logica applicata nel caso di trattamento con l’ausilio di strumenti elettronici, degli estremi

identificativi del titolare e del responsabile, dei soggetti o delle categorie di soggetti ai quali

i dati possono essere comunicati o che possono venirne a conoscenza;

ottenere l’aggiornamento, la rettifica o, quando vi avete interesse, l’integrazione dei dati; la

cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione

di legge; l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali

i dati sono stati comunicati o diffusi (quando ciò non si riveli impossibile o sproporzionato

rispetto al diritto tutelato);

opporVi in tutto o in parte, per motivi legittimi, al trattamento dei Vostri dati personali

ancorché pertinenti allo scopo della raccolta, o quando siano trattati ai fini di invio di

materiale pubblicitario o di vendita diretta o di ricerche di mercato o di comunicazione

commerciale.

Per l’esercizio di tali diritti, potrete rivolgerVi al responsabile del trattamento di Arcobaleni196

domiciliato per le funzioni presso la sede legale della società al quale ci si può rivolgere via email

privacy@arcobaleni196.

mailto:privacy@arcobaleni196



61

Modulo 2.1.2 – Il consenso

Il consenso è la libera manifestazione della volontà con la quale l’interessato accetta – in modo

espresso e, se vi sono dati sensibili, per iscritto - un determinato trattamento di dati che lo

riguardano, sul quale è stato preventivamente informato da chi utilizza i dati.

Tratto dalla brochure del Garante per la protezione dei dati personali: “La tutela dei dati personali: il primo

Garante sei tu”57

.


agli articoli 23 e

24 recita come segue.

Art. 23. Consenso

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è

ammesso solo con il consenso espresso dell'interessato.

2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello

stesso.

3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in

riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se

sono state rese all'interessato le informazioni di cui all'articolo 13.

4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso

1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il

trattamento:

a. è necessario per adempiere ad un obbligo previsto dalla legge, da un

regolamento o dalla normativa comunitaria;

b. è necessario per eseguire obblighi derivanti da un contratto del quale è

parte l'interessato o per adempiere, prima della conclusione del contratto,

a specifiche richieste dell'interessato;

c. riguarda dati provenienti da pubblici registri, elenchi, atti o documenti

conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i

regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e

pubblicità dei dati;

57











62

d) riguarda dati relativi allo svolgimento di attività economiche, trattati

nel rispetto della vigente normativa in materia di segreto aziendale e

industriale;

d. è necessario per la salvaguardia della vita o dell'incolumità fisica di un

terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può

prestare il proprio consenso per impossibilità fisica, per incapacità di agire

o per incapacità di intendere o di volere, il consenso è manifestato da chi

esercita legalmente la potestà, ovvero da un prossimo congiunto, da un

familiare, da un convivente o, in loro assenza, dal responsabile della

struttura presso cui dimora l'interessato. Si applica la disposizione di cui

all'articolo 82, comma 2;

e. con esclusione della diffusione, è necessario ai fini dello svolgimento

delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o,

comunque, per far valere o difendere un diritto in sede giudiziaria, sempre

che i dati siano trattati esclusivamente per tali finalità e per il periodo

strettamente necessario al loro perseguimento, nel rispetto della vigente

normativa in materia di segreto aziendale e industriale;

f. con esclusione della diffusione, è necessario, nei casi individuati dal

Garante sulla base dei principi sanciti dalla legge, per perseguire un

legittimo interesse del titolare o di un terzo destinatario dei dati, anche in

riferimento all'attività di gruppi bancari e di società controllate o

collegate, qualora non prevalgano i diritti e le libertà fondamentali, la

dignità o un legittimo interesse dell'interessato;

g. con esclusione della comunicazione all'esterno e della diffusione, è

effettuato da associazioni, enti od organismi senza scopo di lucro, anche

non riconosciuti, in riferimento a soggetti che hanno con essi contatti

regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi

individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e

con modalità di utilizzo previste espressamente con determinazione resa

nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;

h. è necessario, in conformità ai rispettivi codici di deontologia di cui

all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per

esclusivi scopi storici presso archivi privati dichiarati di notevole interesse

storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre

1999, n. 490, di approvazione del testo unico in materia di beni culturali e

ambientali o, secondo quanto previsto dai medesimi codici, presso altri

archivi privati.

Per sintetizzare:

Nella maggior parte dei trattamenti effettuati in azienda in relazione a clienti e fornitori non è

necessario avere il consenso della persona o ente a cui si riferiscono i dati (attenzione: l'informativa

va invece sempre data almeno una volta). Infatti il consenso non è richiesto nei seguenti casi

i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale (art. 24,

comma 1, lett. b), del Codice);

il trattamento viene posto in essere per dare esecuzione a un obbligo legale (art. 24, comma

1, lett. a) del Codice);

i dati provengono da registri ed elenchi pubblici (art. 24, comma 1, lett. c), del Codice);



63

i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato (art. 24,

comma 1, lett. d), del Codice).

Nei casi restanti, l'interessato deve aver manifestato un consenso libero, specifico e informato in

relazione al trattamento effettuato. Il consenso deve essere documentato per iscritto (art. 23 del

Codice).

Quando si trattano dati “sensibili” (ad esempio. per gli adempimenti amministrativi, busta paga,

gestione malattie di collaboratori e dipendenti) serve il consenso dell'interessato. Il consenso,

quando è necessario, deve essere dato per iscritto (art. 23 del Codice)



64

Esempio di informativa per dipendenti (con consenso)

Informativa e consenso al trattamento dei dati personali al sensi del d. lgs. 196/2003 “Codice

in materia di protezione dei dati personali” (per i dipendenti)

Arcobaleni196, con sede in via Multicolori 123, ColleAzzurro (Roma), effettua trattamenti di Suoi

dati personali nel pieno rispetto delle norme di legge secondo principi di correttezza, liceità e

trasparenza e per finalità strettamente connesse e strumentali alla gestione del rapporto di lavoro,

ivi comprese le finalità previdenziali, e in particolare:

per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa

comunitaria;

per eseguire obblighi derivanti dal Suo contratto di lavoro.

Può accadere che per l’adempimento di specifici obblighi relativi alla gestione del rapporto di

lavoro, anche in materia di igiene e sicurezza del lavoro e di previdenza e assistenza,

Arcobaleni196 tratti i dati che la legge definisce come sensibili e cioè quelli idonei a rilevare

l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni

politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,

filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita

sessuale.

Rispetto al trattamento di tali dati, Le ricordiamo che non è richiesto dalla legge il Suo consenso

nel caso di trattamento necessario per adempiere a specifici obblighi o compiti previsti dalla legge,

da un regolamento o dalla normativa comunitaria.

Il Suo consenso al trattamento dei dati sensibili è invece richiesto dalla legge nel caso di

trattamento necessario per adempiere ad obblighi previsti da contratti collettivi, anche aziendali

(ad esempio, trattenute sindacali, corresponsioni di liberalità o benefici accessori).

Senza il Suo consenso non potranno essere eseguite le conseguenti operazioni.

Il trattamento dei Suoi dati personali avviene mediante strumenti informatici, telematici e manuali,

con logiche strettamente correlate alle finalità stesse e, comunque, in modo da garantire la

sicurezza degli stessi e sempre nel rispetto delle previsioni di cui all’art. 11 del D.Lgs. 196 del

2003.

Per lo svolgimento, per nostro conto, di talune delle attività relative al trattamento dei Suoi dati

personali, la società effettua comunicazioni a società o enti esterni di fiducia, nostri diretti

collaboratori che operano in totale autonomia come distinti “titolari” del trattamento. Si tratta, in

modo particolare, di soggetti che svolgono servizi di paghe e contributi, gestione di forme di

previdenza e assistenza, erogazioni dei buoni pasto ed altri servizi affini. Il loro elenco è

costantemente aggiornato e può conoscerlo agevolmente e gratuitamente chiedendolo al

Responsabile del trattamento.

Firmato

Il Responsabile del trattamento



65

Consenso al trattamento dei dati personali

Spett.le Arcobaleni196 srl

Premesso che – come rappresentato nell’informativa che mi è stata fornita ai sensi del D.Lgs.

30/6/2003 n. 196 – può accadere che il trattamento di taluni dei miei dati sensibili derivi

dall’adempimento di obblighi previsti dal contratto collettivo, anche aziendale

• do il consenso • nego il consenso

Sono consapevole che, in mancanza di consenso, non potranno essere eseguite le conseguenti

operazioni.

Data __________________ Firma _______________________________



66

Modulo 2.1.3 – La notificazione

La notificazione è una dichiarazione con la quale il titolare del trattamento, prima di iniziarlo,

rende nota al Garante (che la inserisce nel registro pubblico dei trattamenti consultabile da

chiunque sul sito web dell'Autorità) l'esistenza di un'attività di raccolta e di utilizzazione dei dati

personali.

Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -

(G.U. 21 giugno 2007 n. 142)”59


agli articoli 37 e

38 recita come segue.

Art. 37. Notificazione del trattamento

1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo

se il trattamento riguarda:

a. dati genetici, biometrici o dati che indicano la posizione geografica di

persone od oggetti mediante una rete di comunicazione elettronica;

b. dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di

procreazione assistita, prestazione di servizi sanitari per via telematica

relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche,

rilevazione di malattie mentali, infettive e diffusive, sieropositività,

trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

c. dati idonei a rivelare la vita sessuale o la sfera psichica trattati da

associazioni, enti od organismi senza scopo di lucro, anche non

riconosciuti, a carattere politico, filosofico, religioso o sindacale;

d. dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o

la personalità dell'interessato, o ad analizzare abitudini o scelte di

consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione

elettronica con esclusione dei trattamenti tecnicamente indispensabili per

fornire i servizi medesimi agli utenti;

e. dati sensibili registrati in banche di dati a fini di selezione del personale

per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione,

ricerche di mercato e altre ricerche campionarie;

f. dati registrati in apposite banche di dati gestite con strumenti elettronici e

relative al rischio sulla solvibilità economica, alla situazione patrimoniale,

59

http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#par2 60








67

al corretto adempimento di obbligazioni, a comportamenti illeciti o

fraudolenti.

1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se

relativa all'attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale

funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale.

2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e

alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati

personali, con proprio provvedimento adottato anche ai sensi dell'articolo 17. Con

analogo provvedimento pubblicato sulla Gazzetta Ufficiale della Repubblica italiana il

Garante può anche individuare, nell'ambito dei trattamenti di cui al comma 1, eventuali

trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all'obbligo di

notificazione.

3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il

trasferimento all'estero dei dati.

4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a

chiunque e determina le modalità per la sua consultazione gratuita per via telematica,

anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie

accessibili tramite la consultazione del registro possono essere trattate per esclusive

finalità di applicazione della disciplina in materia di protezione dei dati personali.

Art. 38. Modalità di notificazione

1. La notificazione del trattamento è presentata al Garante prima dell'inizio del

trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata

del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità

correlate.

2. La notificazione è validamente effettuata solo se è trasmessa attraverso il sito del

Garante, utilizzando l'apposito modello, che contiene la richiesta di fornire tutte e

soltanto le seguenti informazioni:

a. le coordinate identificative del titolare del trattamento e, eventualmente,

del suo rappresentante, nonché le modalità per individuare il responsabile

del trattamento se designato;

b. la o le finalità del trattamento;

c. una descrizione della o delle categorie di persone interessate e dei dati o

delle categorie di dati relativi alle medesime;

d. i destinatari o le categorie di destinatari a cui i dati possono essere

comunicati;

e. i trasferimenti di dati previsti verso Paesi terzi;

f. una descrizione generale che permetta di valutare in via preliminare

l'adeguatezza delle misure adottate per garantire la sicurezza del

trattamento.

3. Il Garante favorisce la disponibilità del modello per via telematica e la notificazione



68

anche attraverso convenzioni stipulate con soggetti autorizzati in base alla normativa

vigente, anche presso associazioni di categoria e ordini professionali.

4. Una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento

o al mutamento di taluno degli elementi da indicare nella notificazione medesima.

5. Il Garante può individuare altro idoneo sistema per la notificazione in riferimento a

nuove soluzioni tecnologiche previste dalla normativa vigente.

6. Il titolare del trattamento che non è tenuto alla notificazione al Garante ai sensi

dell'articolo 37 fornisce le notizie contenute nel modello di cui al comma 2 a chi ne fa

richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti

conoscibili da chiunque.

Semplificazione del dicembre 2008 (vedi Modulo 1.3.4 – Le “semplificazioni” del 2008 sulla

sicurezza e la notificazione)

Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto61

un

provvedimento62



interessano:




sindacali;



Con tale provvedimento il Garante ha semplificato anche il modello utilizzato per effettuare le

notificazioni; il provvedimento sulla notificazione sarà operativo entro 60 giorni dalla

pubblicazione in Gazzetta e non comporterà l'obbligo di notificare di nuovo o modificare le

notificazioni a carico di chi lo abbia già fatto.

Per sintetizzare:

La notificazione è una dichiarazione fatta via Internet con la quale il titolare comunica al Garante di

effettuare trattamenti di dati facenti parte di una delle sette categorie considerate "a rischio":

dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto

adempimento di obbligazioni, a comportamenti illeciti o fraudolenti; come esclusi i dati

relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa

dati genetici o biometrici

dati volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o

scelte di consumo (c.d. profilazione)

61









69

dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non,

quindi, quelli trattati direttamente dall’imprenditore)

dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche

campionarie.

Figura tratta dal sito del Garante

63

Domande frequenti sulla notificazione Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -

(G.U. 21 giugno 2007 n. 142)”64

È sempre necessario notificare il trattamento dei dati al Garante?

In linea di principio i trattamenti ordinari svolti presso piccole realtà produttive non vanno

notificati: si pensi ai trattamenti di dati relativi ai dipendenti, ai fornitori o alla clientela65

. In

particolare, non devono essere notificati i dati relativi agli inadempimenti dei propri clienti tenuti da

ciascuna impresa.

In questo quadro la notificazione deve essere effettuata in ipotesi particolari (indicate all'art. 37 del

Codice). Con specifico riguardo all'attività di impresa, i trattamenti soggetti a notificazione sono

quelli relativi a:

dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio

sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di

obbligazioni, a comportamenti illeciti o fraudolenti; come detto, non rientrano in

quest'ambito, i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.

dati genetici66

, biometrici o dati che indicano la posizione geografica di persone od oggetti

mediante una rete di comunicazione elettronica (ad esempio, dati trattati mediante sistemi di

geolocalizzazione installati su veicoli al fine di individuarne la posizione);

63

https://web.garanteprivacy.it/rgt/NotificaTelematica.php 64


(5) Specifiche indicazioni sono contenute anche nel provvedimento del Garante del 31 marzo 2004 Provvedimento

relativo ai casi da sottrarre all'obbligo di notificazione, in G.U. del 6 aprile 2004, n. 81 e in www.garanteprivacy.it, doc.

web 852561. V. pure, Chiarimenti sui trattamenti da notificare al Garante, 23 aprile 2004, doc. web. n. 993385. 66

V. in materia Provv. 22 febbraio 2007, doc. web n. 1389918

https://web.garanteprivacy.it/rgt/NotificaTelematica.php












70

dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità

dell'interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione), ovvero a

monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti

tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non,

quindi, quelli trattati direttamente dall'imprenditore), nonché dati sensibili utilizzati per

sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

Come si effettua la notificazione al Garante?

Solo utilizzando l'interfaccia disponibile67

sul sito web dell'Autorità e seguendo le istruzioni ivi

indicate (v. art. 38 del Codice).

Quando occorre fare una nuova notificazione?

Solo in caso di cessazione del trattamento o di mutamento di alcuni elementi dell'originaria

notificazione.

Esiste un facsimile di notificazione?

Sì, è disponibile presso il sito del Garante a questo link68

(pdf, 895 K, 12 pp.).

È possibile consultare le notificazioni effettuate da altri titolari?

Sì. Le notificazioni sono conservate in un registro pubblico accessibile via internet al seguente

link69

.

67

https://web.garanteprivacy.it/rgt/NotificaTelematica.php 68

https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf 69

https://web.garanteprivacy.it/rgt/NotificaEsplora.php


https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf



https://web.garanteprivacy.it/rgt/FacSimile_Modello_Notificazione_2008.pdf




71

Modulo 2.1.4 – Il trasferimento dei dati in

paesi terzi

Nello svolgimento dell'attività di impresa può risultare necessario trasferire dati personali fuori

dell'Unione europea (ad esempio relativi alla clientela o ai dipendenti). Il Codice prevede

specifiche regole al riguardo.


(G.U. 21 giugno 2007 n. 142)”70

Per il trasferimento di dati personali in paesi situati all’interno dell’Ue non sussistono ulteriori

obblighi in quanto, in ossequio alla direttiva 95/46/Ce (qui in pdf71

, 2.1 M, 20 pp.) , tutte le nazioni

dell'Unione hanno specifiche normative in materia di protezione dei dati personali che sono tra loro

simili. In pratica la conformità alla norma italiana assicura la conformità a livello UE (art. 42 del

Codice).

Per il trasferimento di dati personali in paesi situati fuori dall'Unione europea il Codice prevede

specifiche regole, tra cui il consenso dell'interessato espresso, se si tratta di dati sensibili, in forma

scritta; il trasferimento è però possibile se:

è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o

per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato,

ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore

dell'interessato;

è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o

con regolamento;

è necessario ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000,

n. 397), o, comunque, per far valere o difendere un diritto in sede giudiziaria;

il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

70









72

Modulo 2.1.5 – Le lettere di incarico

Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente

le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del

responsabile) attenendosi a istruzioni scritte (art. 30 del Codice), le cosiddette “lettere di

incarico”. Il titolare del trattamento è tenuto a designare gli incaricati.

È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per

iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento.


(G.U. 21 giugno 2007 n. 142)”72

con alcune modifiche al testo


all’articolo 30

recita come segue.

Art. 30. Incaricati del trattamento

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano

sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni

impartite.

2. La designazione è effettuata per iscritto e individua puntualmente l'ambito del

trattamento consentito. Si considera tale anche la documentata preposizione della

persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del

trattamento consentito agli addetti all'unità medesima.

In pratica:

Il Garante suggerisce74

per le piccole e medie aziende di effettuare le lettere di incarico come segue.

“In un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato

numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante

consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di

competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una

72



http://www.garanteprivacy.it/garante/doc.jsp?ID=1412271#4









73

previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti

inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità.”

Esempio di ambito di competenza e di lettera di incarico

Ambito di competenza

Unità Organizzativa Cognome Nome

Direzione Generale Arcobaleni Pino

Qualità e Controlli Rossetti Carmela

Risorse Umane Nerucci Giuseppina

Risorse Umane Bianchi Walter

Risorse Umane Rossi Paolino

Contabilità Nerini Mariuccia

Contabilità Neretti Aldo

Contabilità Nerucci Erika

… … …

Istruzioni per il trattamento dei dati personali

Ai sensi dell’art. 30 d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) di

seguito Le sono fornite le istruzioni per il trattamento dei dati personali a cui Lei è incaricato.

Nel trattare i dati personali, sia se riferiti a persone fisiche, sia se riferiti a soggetti giuridici e

indipendentemente dalla natura ordinaria o particolare dei dati, si deve operare garantendo la massima

riservatezza delle informazioni, considerando tutti i dati personali confidenziali e, di norma, soggetti al

segreto d’ufficio; fatta eccezione per i soli dati anonimi, generalmente trattati per elaborazioni statistiche, e

quelli acquisibili da chiunque perché contenuti in atti, liste ed elenchi pubblici (seguendo comunque le

prescrizioni di legge).

La procedura di lavoro e la condotta tenuta nello svolgimento delle operazioni di trattamento, dovranno

evitare che i dati personali siano soggetti a rischi di distruzione e perdita anche accidentale; che ai dati

possano accedere persone non autorizzate; che vengano svolte operazioni di trattamento non consentite o non

conformi ai fini per i quali i dati sono stati raccolti.

Si deve dunque operare con la massima diligenza ed attenzione in tutte le fasi di trattamento, dalla esatta

acquisizione dei dati, all’eventuale loro aggiornamento, così per la conservazione ed eventuale cancellazione

o distruzione.

Non possono essere eseguite operazioni di trattamento per fini non previsti tra i compiti assegnati dal

responsabile diretto, comunque riferiti alle disposizioni e regolamenti vigenti.

I dati personali particolari possono essere trattati esclusivamente dagli incaricati, ivi compresi i diretti

superiori degli incaricati stessi, secondo l’appartenenza alle seguenti classi omogenee:

Direzione Generale

Qualità e Controlli

Risorse Umane

Contabilità

Produzione

Ricerca e Sviluppo



74

Modulo 2.1.6 – Le misure di sicurezza

Il profilo della sicurezza e dell'integrità delle informazioni oggetto di legittimo trattamento è un

elemento qualificante delle discipline di protezione dei dati personali (artt. 31 ss. del Codice e

disciplinare tecnico di cui all'All. B al Codice).


(G.U. 21 giugno 2007 n. 142)75

Misure di sicurezza

Il titolare del trattamento è tenuto ad adottare tutte le misure idonee, valutate alla luce delle

conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del

trattamento, a ridurre i rischi di distruzione o di perdita anche accidentale dei dati o di accesso non

autorizzato o non consentito ai dati (art. 31 del Codice).

In questo quadro vanno anche attuate le misure minime, applicabili a piccole e medie imprese (artt.

33-35 e all. B del Codice (10)).

L'obbligo generale di adottare idonee misure di sicurezza è posto dal Codice. Il titolare del

trattamento può adempiervi avvalendosi anche di un responsabile (art. 29, comma 2, del Codice).

Misure minime di sicurezza

Le misure minime di sicurezza contenute nell'allegato B) del Codice riguardano anzitutto i

trattamenti effettuati con strumenti elettronici.

Esse comprendono:

un sistema di autenticazione informatica con credenziali di autenticazione (cioè, un codice

per l'identificazione dell'incaricato associato a una parola chiave),

programmi per elaboratore volti a prevenirne la vulnerabilità (ad esempio, antivirus),

procedure per realizzare il salvataggio periodico dei dati (c.d. procedure di back up )

la redazione di un documento programmatico sulla sicurezza in caso di trattamento di dati

sensibili.

Per i trattamenti effettuati senza l'ausilio di strumenti elettronici rientrano tra le misure minime:

le istruzioni scritte finalizzate al controllo ed alla custodia dei dati impartite agli incaricati

l'uso di contenitori o locali con idonea serratura per custodire i dati personali.

Il Documento Programmatico sulla Sicurezza (DPS)

In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi

informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1, lett.

g) e regola 19 dell'Allegato B al Codice). Si può tener conto dei suggerimenti già formulati dal

Garante che – recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori, con

75






75

particolare riguardo alle piccole e medie imprese – ha già reso disponibile on-line, a far data dal 11

giugno 2004, una “Guida operativa”76

.

Il DPS:

va redatto o aggiornato entro il 31 marzo di ciascun anno;

non deve essere comunicato al Garante, ma semplicemente conservato dal titolare presso la

propria struttura per essere esibito in occasione di eventuali accertamenti ispettivi (art. 34,

comma 1, lett. g) del Codice e regola 19 dell'Allegato B) al Codice);

deve essere redatto dal "[...] titolare di un trattamento di dati sensibili o giudiziari anche

attraverso il responsabile, se designato [...]" (regola 19 dell'All. B) cit.).

Semplificazioni del dicembre 2008

Il 9 dicembre 2008 il Garante per la protezione dei dati personali ha reso noto77

un

provvedimento78



interessano:




sindacali;



In base al provvedimento del Garante, le categorie interessate:

possono impartire agli incaricati le istruzioni in materia di misure minime anche oralmente;

possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di

autenticazione basato su un username e una password; lo username deve essere disattivato

quando viene meno il diritto di accesso ai dati (es. non si opera più all'interno

dell'organizzazione);

in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto

procedure o modalità che consentano comunque l'operatività e la sicurezza del sistema ( ad

es. l'invio automatico delle mail ad un altro recapito accessibile);

devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno, e

effettuare backup dei dati almeno una volta al mese.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi

professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune

indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.

Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi

informatici.

76












76

Modulo 2.1.7 – La formazione

Il “Disciplinare tecnico in materia di misure minime di sicurezza” (allegato B79

) prevede al punto

19.6. che il titolare effettui una previsione di interventi formativi degli incaricati del trattamento,

per renderli edotti:

dei rischi che incombono sui dati,

delle misure disponibili per prevenire eventi dannosi,

dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle

relative attività,

delle responsabilità che ne derivano,

delle modalità per aggiornarsi sulle misure minime adottate dal titolare.

La formazione è programmata già al momento dell'ingresso in servizio, nonché in occasione di

cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al

trattamento di dati personali;

La previsione degli interventi formativi va riportato sul Documento Programmatico sulla

Sicurezza, se redatto.

Già nella precedente legge 675/96 (nel d.p.r. 318/99) era indicato che il DPS dovesse contenere il

piano di formazione per gli incaricati del trattamento; l’allegato B80

è molto più preciso nell'esigere

che il titolare del trattamento provveda a fornire ai propri dipendenti e collaboratori interventi

formativi specifici.

79









77

Esempio di pianificazione di interventi formativi

Ambito di competenza

Descrizione sintetica degli

interventi formativi

Classi di incarico o tipologie

di incaricati interessati:

Tempi previsti

Corso base privacy

(autoformazione e online)

Nuovi assunti Prima di iniziare i trattamenti

Corso privacy per Risorse

Umane (autoformazione e

online)

Risorse Umane Secondo semestre 2008

Legenda

Descrizione sintetica degli interventi formativi: sono descritti sinteticamente gli obiettivi e le

modalità dell’intervento formativo, in relazione a quanto previsto dalla regola 19.6 (ingresso in

servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o

sistemi informatici, ecc) .

Classi di incarico o tipologie di incaricati interessati: sono individuati le classi omogenee di incarico

a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle

strutture di appartenenza.

Tempi previsti: sono indicati i tempi previsti per lo svolgimento degli interventi formativi.



78

Modulo 2.1.8 – I diritti degli interessati

La disciplina di protezione dei dati personali attribuisce a ciascun interessato il diritto di accedere

ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall'art. 7 del Codice.


(G.U. 21 giugno 2007 n. 142)81


all’articolo 7

recita come segue.

Art. 7. Diritto di accesso ai dati personali ed altri diritti

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali

che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma

intelligibile.

2. L'interessato ha diritto di ottenere l'indicazione:

a. dell'origine dei dati personali;

b. delle finalità e modalità del trattamento;

c. della logica applicata in caso di trattamento effettuato con l'ausilio di

strumenti elettronici;

d. degli estremi identificativi del titolare, dei responsabili e del

rappresentante designato ai sensi dell'articolo 5, comma 2;

e. dei soggetti o delle categorie di soggetti ai quali i dati personali possono

essere comunicati o che possono venirne a conoscenza in qualità di

rappresentante designato nel territorio dello Stato, di responsabili o

incaricati.

3. L'interessato ha diritto di ottenere:

a. l'aggiornamento, la rettificazione ovvero, quando vi ha interesse,

l'integrazione dei dati;

b. la cancellazione, la trasformazione in forma anonima o il blocco dei dati

trattati in violazione di legge, compresi quelli di cui non è necessaria la

conservazione in relazione agli scopi per i quali i dati sono stati raccolti o

successivamente trattati;

c. l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a

conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali

i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale

81









79

adempimento si rivela impossibile o comporta un impiego di mezzi

manifestamente sproporzionato rispetto al diritto tutelato.

4. L'interessato ha diritto di opporsi, in tutto o in parte:

a. per motivi legittimi al trattamento dei dati personali che lo riguardano,

ancorché pertinenti allo scopo della raccolta;

b. al trattamento di dati personali che lo riguardano a fini di invio di

materiale pubblicitario o di vendita diretta o per il compimento di ricerche

di mercato o di comunicazione commerciale.

All’articolo 7 sono inoltre collegati:

Art. 8. Esercizio dei diritti

Art. 9. Modalità di esercizio

Art. 10. Riscontro all'interessato

Art. 145. Ricorsi

Art. 146. Interpello preventivo

In pratica:

Esercizio del diritto d'accesso

Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti

che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di

regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).

Sanzioni per il mancato riscontro all'interessato

In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi

all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).



80

Modulo 2.1.9 – Check list di verifica degli

adempimenti Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -

(G.U. 21 giugno 2007 n. 142)”83

Quesito SI NO

1. I soggetti che effettuano il trattamento

È stata effettuata una valutazione circa le operazioni di trattamento di dati personali, anche

sensibili, effettuate dall'impresa?

I dati trattati sono pertinenti e non eccedenti rispetto alle legittime finalità del trattamento,

oltre che esatti e aggiornati?

Le persone fisiche che all'interno dell'impresa trattano dati personali sono state designate

tutte quali "incaricate del trattamento"?

Sono state fornite a tutti gli "incaricati del trattamento" istruzioni scritte circa i propri

compiti?

Se all'interno dell'impresa sono stati individuati soggetti che hanno ambiti di autonomia nel

trattamento dei dati personali, sono stati designati per iscritto "responsabili del trattamento"?

Se fuori dell'impresa enti o persone fisiche trattano dati personali nel suo interesse, obbligati

a seguirne le istruzioni (come accade per i casi di outsourcing), sono stati designati per

iscritto quali "responsabili del trattamento"?

2. La notificazione del trattamento

Si è verificato, prima di intraprendere operazioni di trattamento, se l'impresa effettua i

trattamenti da notificare al Garante?

Se sono intervenute modificazioni relativamente ai trattamenti già eventualmente notificati, è

stato curato il loro aggiornamento in una nuova notificazione?

Se cessano i trattamenti, ciò ha formato oggetto di specifica notificazione?

3. L'informativa

È stata fornita l'informativa agli interessati in caso di dati raccolti presso di essi?

È stata fornita l'informativa agli interessati in caso di dati raccolti presso soggetti diversi

dagli interessati stessi?

4. Il consenso dell'interessato

Il trattamento dei dati personali viene effettuato in presenza di uno dei presupposti di liceità

indicati all'art. 24 del Codice?

Se non ricorre uno dei presupposti di liceità indicati all'art. 24 del Codice, è stato raccolto il

consenso dell'interessato?

Se sono trattati dati sensibili è stato raccolto il consenso scritto degli interessati?

Se sono trattati dati sensibili, è stato verificato se il trattamento rientra tra quelli già

autorizzati dal Garante con le autorizzazioni generali?

Se il trattamento di dati sensibili non rientra tra quelli previsti dalle autorizzazioni generali, è

stata richiesta al Garante un'autorizzazione ad hoc?

5. La sicurezza dei dati

Sono state adottate idonee misure di sicurezza per proteggere i dati personali?

Sono state adottate le misure minime di sicurezza previste per proteggere i dati personali?

Se sono trattati dati sensibili e giudiziari, è stato redatto, quando è necessario, il documento

programmatico per la sicurezza e ne vengono osservate le previsioni?

83






81

Periodicamente, e comunque entro il 31 marzo di ciascun anno, formano oggetto di

rinnovata valutazione le misure di sicurezza individuate con il documento programmatico

per la sicurezza?

6. Il trasferimento dei dati in paesi terzi

Se i dati personali trattati dall'impresa sono soggetti a trasferimento verso Paesi terzi (esterni

all'Unione europea e all'area economica europea), il trasferimento avviene:

in presenza di una delle condizioni previste dall'art. 43 del Codice? oppure

verso uno dei paesi che assicurano un livello adeguato di protezione (Svizzera, Argentina,

Isola di Man, Baliato di Guernsey)? oppure

verso un'impresa statunitense che aderisce al Safe Harbor? oppure

in presenza di clausole contrattuali standard tra esportatore e importatore? oppure

in presenza di un'autorizzazione ad hoc da parte del Garante?

7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. 7 del

Codice

In presenza dell'esercizio del diritto d'accesso, viene dato riscontro all'interessato secondo le

modalità previste dalla legge?



82


Domanda Seconda risposta Terza risposta

Le misure minime di

sicurezza sono uguali

per tutti i titolari.

Falso.

Con le

“semplificazioni” del

2008 artigiani e PMI

non sono più tenute al

rispetto delle misure

minime di sicurezza.

Vero.

Anche con le



sono più tenute al


minime di sicurezza

che tuttavia sono state

semplificate in alcuni

aspetti..

Vero.

Le “semplificazioni”

del 2008 riguardano

solo banche e

assicurazioni..

La formazione sulla

privacy è obbligatoria

e va riportata sul DPS.

Vero.

L’allegato B del

Codice indica

chiaramente tale

obbligo.

Vero.

La formazione è

obbligatoria e deve

essere svolta da

“docenti” certificati

presso il Garante.

Falso.

La formazione è

opzionale e dipende

dalla valutazione dei

rischi svolta dal

titolare.

Con diritto d’accesso

si intende il diritto

dell’interessato a

conoscere quali suoi

dati personali sono

trattati dal titolare.

Vero.

Tale diritto è indicato

all’articolo 7 del

Codice.

Vero.



Codice.

Falso.

Il diritto d’accesso

consiste nella

possibilità del Garante

di entrare nelle

aziende per fare le

verifiche.



83

Lezione 2 –


Provvedimenti più rilevanti

per le aziende

Modulo 2.2.1 – Iniziative e provvedimenti del Garante Modulo 2.2.2 – I nuovi adempimenti per le funzioni di

“amministratore di sistema” Modulo 2.2.3 – Semplificazioni degli adempimenti Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati

dei clienti Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del

Garante Modulo 2.2.6 – Linee guida del Garante per posta elettronica e

internet Modulo 2.2.7 – Linee guida per il trattamento di dati dei

dipendenti privati Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici Modulo 2.2.9 – Videosorveglianza Modulo 2.2.10 – Altri provvedimenti e pubblicazioni Domande di verifica 2.2



84

Modulo 2.2.1 – Iniziative e provvedimenti

del Garante

Il quadro normativo italiano sulla privacy non si limita al Codice ed ai suoi allegati perché il

Garante per la protezione dei dati personali può adottare provvedimenti che assumono valore

normativo.

Inoltre, spesso il Garante, attraverso il suo sito, pubblica linee guida, modelli o anticipa contenuti su

iniziative legislative in corso.

L’elenco completo84

dei provvedimenti è disponibile presso il sito del Garante; di seguito

riportiamo, in ordine cronologico85

,i provvedimenti e le “pubblicazioni” più importanti che

approfondiremo nei moduli di questa unità didattica.

Data Argomento Obbligatorio Nota

24 dicembre

2008

Misure e accorgimenti prescritti ai titolari dei

trattamenti effettuati con strumenti elettronici

relativamente alle attribuzioni delle funzioni di

amministratore di sistema

Sì Modulo 1.3.5

della Lezione 1

27 novembre

2008

Semplificazione delle misure di sicurezza

contenute nel disciplinare tecnico di cui

all'Allegato B) al Codice in materia di protezione

dei dati personali

Sì

novembre 2007 Banche: la ”Guida'' del Garante privacy per l'uso

dei dati dei clienti”

No

luglio 2007 Privacy e pubblico impiego: le linee guida del

Garante

No

marzo 2007 Linee guida del Garante per posta elettronica e

internet

No

novembre 2006 Linee guida del Garante per il trattamento dei

dati dei dipendenti privati

No

ottobre 2005 Impronte digitali ed altri sistemi biometrici Sì

aprile 2004 Videosorveglianza Sì

84

http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Provvedimenti 85

Scritto in data 19 gennaio 2009





85

Altri provvedimenti e pubblicazioni di rilievo (che non approfondiremo) sono:

Data Argomento Obbligatorio Nota

30 dicembre

2008

Inasprimento delle sanzioni privacy86

Sì D.L. n. 207 del

30 dicembre

2008 (articolo

44 )

13 ottobre 2008 Rifiuti di apparecchiature elettriche ed

elettroniche (Raae) e misure di sicurezza dei dati

personali87

Sì

gennaio 2008 Sicurezza dei dati di traffico telefonico e

telematico88

Sì

settembre 2003 Comunicato stampa del Garante del 3 settembre

2003 che sintetizza chiaramente il quadro di

riferimento per le comunicazioni commerciali

indesiderate (spamming)89

Sì

86

http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127 87




http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127














86

Modulo 2.2.2 – I nuovi adempimenti per

le funzioni di “amministratore di sistema”

Questo argomento è già stato affrontato nel modulo 1.3.5 della Lezione 1.



87

Modulo 2.2.3 – Semplificazioni degli

adempimenti

Tra giugno e dicembre 2008 si sono susseguite una serie di “semplificazioni” in relazione agli

adempimenti privacy:

semplificazione delle misure di sicurezza contenute nel disciplinare tecnico di cui

all'Allegato B) al Codice in materia di protezione dei dati personali - 27 novembre 2008 -

G.U. n. 287 del 9 dicembre 2008 (questo argomento è già stato affrontato nel modulo 1.3.4

della Lezione 1);

semplificazioni di taluni adempimenti in ambito pubblico e privato rispetto a trattamenti per

finalità amministrative e contabili - 19 giugno 2008 - Gazzetta Ufficiale 1° luglio 2008, n.

152.

Semplificazioni degli adempimenti per le PMI del giugno 2008

Il Decreto Legge 25 giugno 2008 n.11290

ha abrogato l’obbligo della redazione del Documento

Programmatico sulla sicurezza (DPS) per tutte le aziende che non trattano dati sensibili o che

trattano solo dati sensibili inerenti salute e malattia dei propri dipendenti, senza indicazione della

diagnosi. Tale decreto ha messo in atto quanto anticipato dal Garante il 19 giugno 200891

in

relazione ad una serie di significative semplificazioni degli adempimenti per l'intero settore

pubblico e privato ed in particolare nei riguardi di piccole e medie imprese, liberi professionisti e

artigiani. In sintesi le semplificazioni riguardano:

informativa;

consenso;

designazione degli incaricati;

comunicazioni pubblicitarie;

notificazione dei trattamenti.

Informativa

Sulla base delle nuove disposizioni, i titolari possono:

fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del

rapporto con gli interessati;

fornire a questi ultimi una ricostruzione organica dei trattamenti e con linguaggio semplice,

senza frammentarla o reiterarla inutilmente;

indicare le informazioni essenziali in un quadro adeguato di lealtà e correttezza;

90

http://www.camera.it/parlam/leggi/decreti/08112d.htm 91








88

redigere, per quanto possibile, una prima informativa breve. All'interessato, anche

oralmente, andrebbero indicate sinteticamente alcune prime notizie chiarendo subito, con

immediatezza, le principali caratteristiche del trattamento.

utilizzare per l'informativa, specie per quella breve, gli spazi utili nel materiale cartaceo e

nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e

contabili.

Inoltre:

l'informativa breve può rinviare a un testo più articolato, disponibile agevolmente senza

oneri per gli interessati, in luoghi e con modalità facilmente accessibili anche con strumenti

informatici e telematici (in particolare, tramite reti Intranet o siti Internet, affissioni in

bacheche o locali, avvisi e cartelli agli sportelli per la clientela, messaggi preregistrati

disponibili digitando un numero telefonico gratuito);

è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato (art.

13, commi 2 e 4). (...) Se è prevista la raccolta di dati presso terzi è possibile formulare una

sola informativa per i dati forniti direttamente dall'interessato e per quelli che saranno

acquisiti presso terzi. Per questi ultimi dati, l'informativa può non essere fornita quando vi è

un obbligo normativo di trattarli (art. 13, comma 5);

è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente

uniforme per il settore di attività del titolare del trattamento;

è invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha

caratteristiche del tutto particolari perché coinvolge, ad esempio, peculiari informazioni (es.

dati genetici) o prevede forme inusuali di utilizzazione di dati, specie sensibili, rispetto alle

ordinarie esigenze amministrative e contabili, o può comportare rischi specifici per gli

interessati (ad esempio, rispetto a determinate forme di uso di dati biometrici o di controllo

delle attività dei lavoratori). Se il titolare del trattamento è un soggetto pubblico devono

essere inserite le indicazioni che la legge prevede per i dati sensibili e giudiziari.

Consenso

Il Garante ai sensi degli artt. 2, comma 2, 24 e 154, comma 1, lett. c), del Codice ha invitato tutti i

titolari del trattamento pubblici e privati a non chiedere il consenso degli interessati quando il

trattamento dei dati è svolto, anche in relazione all'adempimento di obblighi contrattuali,

precontrattuali o normativi, esclusivamente per correnti finalità amministrative e contabili, nonché

quando i dati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque, o sono

relativi allo svolgimento di attività economiche o sono trattati da un soggetto pubblico.

Designazione incaricati

Il Garante ha richiamato l'attenzione dei titolari del trattamento sulla circostanza che la

designazione degli incaricati del trattamento può avvenire in modo semplificato evitando singoli atti

circostanziati relativi distintamente a ciascun incaricato, individuando i trattamenti di dati e le

relative modalità che sono consentiti all'unità cui sono addetti gli incaricati stessi (art. 30 del

Codice).

Comunicazioni pubblicitarie

In applicazione del principio del bilanciamento degli interessi (art. 24, comma 1, lett. g), il Garante

ha disposto che i titolari del trattamento in ambito privato che hanno venduto un prodotto o prestato

un servizio, nel quadro del perseguimento di ordinarie finalità amministrative e contabili, possono

utilizzare senza il consenso i recapiti (oltre che di posta elettronica come già previsto per legge) di



89

posta cartacea forniti dall'interessato, ai fini dell'invio diretto di proprio materiale pubblicitario o di

propria vendita diretta o per il compimento di proprie ricerche di mercato o di comunicazione

commerciale. Ciò, rispettando anche le garanzie previste per le attività di profilazione degli

interessati (Provv. 24 febbraio 2005, doc. web n. 1103045), a condizione che:

tale attività promozionale riguardi beni e servizi del medesimo titolare e analoghi a quelli

oggetto della vendita;

l'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione

effettuata per le menzionate finalità, sia informato della possibilità di opporsi in ogni

momento al trattamento, in maniera agevole e gratuitamente, anche mediante l'utilizzo della

posta elettronica o del fax o del telefono e di ottenere un immediato riscontro che confermi

l'interruzione di tale trattamento (art. 7, comma 4);

l'interessato medesimo, così adeguatamente informato già prima dell'instaurazione del

rapporto, non si opponga a tale uso, inizialmente o in occasione di successive

comunicazioni.

Notificazioni dei trattamenti

Il Garante ha ricordato che la notificazione telematica al Garante non è necessaria per perseguire

finalità amministrative e contabili, salvo che per eventuali casi eccezionali indicati per legge (art. 37

Codice)



90

Modulo 2.2.4 – Banche: la “guida” del

Garante per l'uso dei dati dei clienti

Il 25 ottobre 2007 il Garante ha emesso provvedimento a carattere generale che fissa le garanzie

per il corretto uso dei dati personali dei clienti da parte degli istituti bancari e degli operatori postali,

quando operano nell'ambito bancario e finanziario. Il provvedimento affronta diversi aspetti che

regolano il rapporto tra banca e cliente: i casi specifici nei quali è lecito comunicare a terzi

informazioni bancarie, gli obblighi di riservatezza da rispettare, le modalità con le quali le banche

devono soddisfare le richieste di accesso dei clienti ai propri dati personali o quelle per informarli

sull'uso che viene fatto di questi dati.

A tutela dei clienti, il Garante ha stabilito, in particolare, che:

le comunicazioni di informazioni bancarie a terzi devono essere effettuate solo nei casi

espressamente previsti dalla legge, dal Codice della privacy o nel caso in cui sia l'interessato

ad autorizzare terzi (familiari, coniuge, professionisti legati da una rapporto di lavoro) ad

effettuare operazioni per suo conto o a conoscere il tipo di rapporto intrattenuto con la

banca;

le banche possono registrare le telefonate effettuate dalla clientela per dare particolari ordini

e istruzioni o nei servizi di “telephone banking”, ma devono informare gli interessati. È

necessario adottate misure di sicurezza contro alterazione o uso indebito del contenuto delle

conversazioni;

il personale deve evitare le telefonate e i colloqui ad alta voce con la clientela e occorre

predisporre distanze di cortesia agli sportelli;

le informazioni dei clienti trattati dalle banche devono essere sempre esatte ed aggiornate;

il cliente ha diritto a ottenere la comunicazione in forma intelligibile dei dati che lo

riguardano (comprese operazioni effettuate, registrazioni telefoniche, ordini di

investimento), ma non quelli riferiti ad altre persone (se presenti, nella copia dei documenti

da consegnare al cliente devono essere oscurati);

nel caso in cui dare l'informativa singolarmente a ciascun cliente comporti un impiego

sproporzionato di mezzi (es. operazioni di cessione di sportelli), la banca può assolvere tale

obbligo pubblicando l'informativa sulla Gazzetta Ufficiale.




91

Modulo 2.2.5 – Privacy e pubblico

impiego: le “linee guida” del Garante

Le “Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del

rapporto di lavoro in ambito pubblico”92

del 14 giugno 2007 contengono le misure e gli

accorgimenti che il Garante ha individuato nel quadro dei rapporti di lavoro in ambito pubblico.

Tali “Linee guida” seguono quelle già adottate di recente per i lavoratori privati.

Di seguito i punti principali del provvedimento.

Assenze per malattia, certificati e visite mediche: in caso di assenza per malattia

all'amministrazione vanno consegnati certificati medici privi di diagnosi e con la sola

indicazione dell'inizio e della durata dell'infermità. Se il lavoratore produce documentazione

in cui è presente anche la diagnosi, l'ufficio deve astenersi dall'utilizzare queste informazioni

e deve invitare il personale a non produrre altri certificati con le stesse caratteristiche.

Particolari cautele devono essere adottate dall'ente pubblico quando tratta dati sulla salute

dei dipendenti nei casi di visite medico legali, denunce di infortunio all'Inail, abilitazioni al

porto d'armi e alla guida.

Diffusione dei dati in Internet: le amministrazioni devono assicurare l'esattezza,

l'aggiornamento e la pertinenza dei dati pubblicati in rete e garantire il "diritto all'oblio",

cioè una tutela dinamica della riservatezza delle persone (trascorso un certo periodo dalla

pubblicazione è opportuno spostare i nominativi in un parte del sito dove non siano più

rintracciabili dai motori di ricerca esterni). Nelle graduatorie relative a concorsi o selezioni

vanno riportati solo dati pertinenti (elenchi nominativi abbinati ai risultati, elenchi di

ammessi alle prove scritte o orali, no a recapiti telefonici, codice fiscale ecc.) É sempre

vietata la diffusione di informazioni sulla salute del lavoratore o dei familiari interessati.

Dati biometrici dei lavoratori pubblici: anche nell'ambito del pubblico impiego non è

consentito un uso generalizzato dei dati biometrici dei dipendenti (impronte digitali, iride)

per controllare le presenze o gli accessi sul luogo di lavoro. Il Garante può autorizzare

l'attivazione di tali sistemi di rilevazione solo in presenza di particolari esigenze (aree

adibite alla sicurezza dello Stato, torri di controllo, conservazione di oggetti di particolare

valore) e con precise garanzie (verifica preliminare dell'Autorità, no ad archivi centralizzati,

codice cifrato dell'impronta memorizzato solo nel badge del dipendente).

Comunicazioni tra amministrazione e lavoratore: per prevenire la conoscenza

ingiustificata di dati da parte di persone non autorizzate, l'amministrazione deve adottare

forme di comunicazione con il dipendente protette e individualizzate: inoltrando le note in

busta chiusa, inviandole all'e-mail personale o invitandolo a ritirare personalmente la

documentazione.

92








92

Modulo 2.2.6 – Linee guida del Garante

per posta elettronica e internet

Le “Linee guida” del Garante per posta elettronica e internet93

del marzo 2007 forniscono concrete

indicazioni in ordine all'uso dei computer sul luogo di lavoro.

L'Autorità prescrive innanzitutto ai datori di lavoro di informare con chiarezza e in modo

dettagliato i lavoratori sulle modalità di utilizzo di Internet e della posta elettronica e sulla

possibilità che vengano effettuati controlli.

Il Garante vieta poi la lettura e la registrazione sistematica delle e-mail così come il

monitoraggio sistematico delle pagine web visualizzate dal lavoratore, perché ciò realizzerebbe un

controllo a distanza dell'attività lavorativa vietato dallo Statuto dei lavoratori.

Viene inoltre indicata tutta una serie di misure tecnologiche e organizzative per prevenire la

possibilità, prevista solo in casi limitatissimi, dell'analisi del contenuto della navigazione in Internet

e dell'apertura di alcuni messaggi di posta elettronica contenenti dati necessari all'azienda.

Il provvedimento raccomanda l'adozione da parte delle aziende di un disciplinare interno,

definito coinvolgendo anche le rappresentanze sindacali, nel quale siano chiaramente indicate le

regole per l'uso di Internet e della posta elettronica.

Il datore di lavoro è inoltre chiamato ad adottare ogni misura in grado di prevenire il rischio di

utilizzi impropri, così da ridurre controlli successivi sui lavoratori.

Per quanto riguarda Internet è opportuno ad esempio:

individuare preventivamente i siti considerati correlati o meno con la prestazione lavorativa;

utilizzare filtri che prevengano determinate operazioni, quali l'accesso a siti inseriti in una

sortadi black list o il download di file musicali o multimediali.

Per quanto riguarda la posta elettronica, è opportuno che l'azienda:

renda disponibili anche indirizzi condivisi tra più lavoratori ([email protected]; [email protected];

[email protected]), rendendo così chiara la natura non privata della corrispondenza;

valuti la possibilità di attribuire al lavoratore un altro indirizzo (oltre quello di lavoro),

destinato ad un uso personale;

preveda, in caso di assenza del lavoratore, messaggi di risposta automatica con le coordinate

di altri lavoratori cui rivolgersi;

metta in grado il dipendente di delegare un altro lavoratore (fiduciario) a verificare il

contenuto dei messaggi a lui indirizzati e a inoltrare al titolare quelli ritenuti rilevanti per

l'ufficio, ciò in caso di assenza prolungata o non prevista del lavoratore interessato e di

improrogabili necessità legate all'attività lavorativa.

Qualora queste misure preventive non fossero sufficienti a evitare comportamenti anomali, gli

eventuali controlli da parte del datore di lavoro devono essere effettuati con gradualità. In prima

battuta si dovranno effettuare verifiche di reparto, di ufficio, di gruppo di lavoro, in modo da

individuare l'area da richiamare all'osservanza delle regole. Solo successivamente, ripetendosi

l'anomalia, si potrebbe passare a controlli su base individuale.

Il Garante ha chiesto infine particolari misure di tutela in quelle realtà lavorative dove debba essere

rispettato il segreto professionale garantito ad alcune categorie, come ad esempio i giornalisti.

93






93

Modulo 2.2.7 – Linee guida per il

trattamento di dati dei dipendenti privati

Con le “Linee-guida per il trattamento di dati dei dipendenti privati”94

del novembre 2006 il

Garante ha definito, per la prima volta in un quadro unitario, misure ed accorgimenti per

disciplinare la raccolta e l'uso dei dati personali nella gestione del rapporto di lavoro.

Questi in sintesi i punti principali delle linee guida.

Principi generali

Il datore di lavoro può trattare informazioni di carattere personale strettamente indispensabili per

dare esecuzione al rapporto di lavoro. Deve individuare il personale che può trattare tali dati e

assicurare idonee misure di sicurezza per proteggerli da indebite intrusioni o illecite divulgazioni.

Il lavoratore deve essere informato in modo puntuale sull'uso che verrà fatto dei suoi dati e gli

deve essere consentito di esercitare agevolmente i diritti che la normativa sulla privacy gli riconosce

(accesso ai dati, aggiornamento, rettifica, cancellazione etc). Entro 15 giorni dalla richiesta il datore

di lavoro è tenuto a comunicare in modo chiaro tutte le informazioni in suo possesso

Cartellini identificativi, Intranet, bacheche aziendali Nelle aziende private può essere eccessivo indicare sul cartellino identificativo del dipendente dati

anagrafici o generalità: a seconda dei casi può bastare un codice identificativo o il solo nome o solo

il ruolo professionale.

Senza consenso non si possono comunicare informazioni ad associazioni di datori di lavoro, di ex

dipendenti o a conoscenti, familiari, parenti. Il consenso è necessario anche per pubblicare

informazioni personali (foto, curricula) nella Intranet aziendale e a maggior ragione in Internet.

Nella bacheca aziendale possono essere affissi solo ordini di servizio, turni lavorativi o feriali. Non

si possono invece diffondere emolumenti percepiti, sanzioni disciplinari, assenze per malattia,

adesione ad associazioni.

Dati sanitari I dati sanitari vanno conservati in fascicoli separati. Il lavoratore assente per malattia è tenuto a

consegnare al proprio ufficio un certificato senza la diagnosi ma con la sola indicazione dell'inizio e

della durata presunta dell'infermità.Il datore di lavoro non può accedere alle cartelle sanitarie dei

dipendenti sottoposti ad accertamenti dal medico del lavoro. Nel caso di denuncia di infortuni o

malattie professionali all'Inail, il datore di lavoro deve limitarsi a comunicare solo le informazioni

connesse alla patologia denunciata.

Dati biometrici

Non è lecito l'uso generalizzato e incontrollato di dati biometrici, specie se ricavati dalle impronte

digitali. L'uso può essere giustificato solo in casi particolari, per presidiare, ad esempio, accessi ad

"aree sensibili" (processi produttivi pericolosi, locali destinati a custodia di beni, documenti

riservati). Anche quando l'uso è consentito non è ammessa la costituzione di banche dati

centralizzate: è infatti sufficiente la memorizzazione su una smart card in uso esclusivo del

dipendente.

94






94

Modulo 2.2.8 – Impronte digitali e altri

sistemi biometrici

I provvedimenti più importanti in tale ambito sono:

1. parere del 28 settembre 200195

“Videosorveglianza e dati biometrici -

Rilevazioni biometriche presso istituti di credito”;

2. provvedimento del 27 ottobre 200596

sulla rilevazione di impronte

digitali in combinazione con trattamenti di immagini.

Parere del 28 settembre 2001 “Videosorveglianza e dati biometrici -

Rilevazioni biometriche presso istituti di credito”

Fonte immagine97

In questo parere, il Garante nel ribadire il proprio orientamento circa il divieto di utilizzazione

generalizzata di sistemi di rilevazione biometrica all'ingresso delle banche, fissa altresì alcune

condizioni che in attesa di un puntuale intervento legislativo, e a fronte di eccezionali ed acclarate

situazioni di rischio inerenti alla specificità della realtà bancaria, consentono una temporanea

installazione di detti sistemi (rilevazione automatica di una impronta digitale, eventualmente

associabile all'immagine a seguito di decrittazione effettuata dall'autorità giudiziaria) nel rispetto di

alcune imprescindibili garanzie per gli interessati individuati dal provvedimento. Tali condizioni

sono ribadite e chiarite nel successivo provvedimento del 2005 a cui rimandiamo.

Provvedimento del 27 ottobre 2005 sulla rilevazione di impronte digitali in combinazione con

trattamenti di immagini

Il provvedimento, tenuto conto di quanto già indicato nel provvedimento generale 29 aprile 2004

sulla videosorveglianza 98

e nel provvedimento del 28 settembre 2001 relativo alle rilevazioni

biometriche99

presso gli istituti di credito, mira ad individuare le misure e gli accorgimenti a

garanzia degli interessati che dovranno essere posti in essere da tutti gli istituti di credito operanti

sul territorio nazionale che intendano avvalersi di sistemi di rilevazione di impronte digitali

combinati ad altri sistemi (immagini).

I principi fissati dal Garante sono:

l'utilizzo generalizzato ed indiscriminato di sistemi che consentono l'identificazione degli

interessati mediante la combinazione di diversi sistemi di rilevazione dati non è consentito

95





















95

in quanto contrasta con il principio di necessità che impone di configurare i sistemi

informativi e i programmi informatici escludendo il trattamento di dati personali non

necessari - nel caso di specie, biometrici - in rapporto alle finalità che si intende perseguire

(art. 3 del Codice);

tale trattamento di tali dati personali è consentito, con l'osservanza di adeguate garanzie,

soltanto quando debba essere perseguita l'esclusiva finalità di elevare il grado di sicurezza

di beni e persone (segnatamente, del personale dipendente degli istituti di credito e della

clientela);

informativa:

o gli interessati devono essere informati adeguatamente della presenza dei sistemi di

acquisizione delle impronte digitali e dell'associazione di queste ultime con

immagini raccolte (art. 13 del Codice); ciò, prima che i dati siano rilevati e,

comunque, prima dell'accesso a varchi a doppia porta o bussole;

o l'informativa deve fornire gli elementi previsti dal Codice (art. 13) anche con

formule sintetiche, ma chiare e senza ambiguità.; deve essere ben evidenziata la

libertà di accedere in banca senza consentire il rilevamento dell'impronta digitale,

sulla base di un procedimento alternativo basato anche su un'identificazione del

cliente eventualmente necessaria;

o il Garante ha individuato un modello di informativa “minima” che i titolari del

trattamento potranno utilizzare in corrispondenza dei varchi di accesso alle strutture

della banca, che dovrà essere integrato con un'informativa più ampia esposta

all'interno della dipendenza bancaria.

consenso:

o il trattamento dei dati personali è da ritenersi lecito anche in assenza del consenso

degli interessati, ai sensi dell'art. 24, comma 1, lett. g), del Codice.

misure di sicurezza:

o i sistemi per la raccolta delle immagini (fisse o in movimento) e delle impronte

digitali devono prevedere l'immediata cifratura dei dati, prima della loro

registrazione in una banca dati comunque configurata, e devono garantire un livello

elevato di sicurezza;

o deve essere assicurata l'associazione univoca tra le immagini e le impronte digitali,

per evitare errori di identificazione;

conservazione dei dati:

o i dati cifrati relativi alle impronte e alle eventuali immagini devono essere conservati

per un periodo non superiore ad una settimana e devono essere registrati

cronologicamente in modo tale da consentire il loro pronto reperimento anche sulla

base di un' opportuna organizzazione per giorni di rilevazione;

o devono essere predisposti meccanismi di integrale cancellazione automatica delle

informazioni allo scadere del termine previsto; resta fermo che la banca, in presenza

di una richiesta di accesso da parte dell'interessato, oppure di eventi criminosi

verificatisi o, ancora, di una richiesta da parte dell'autorità giudiziaria, potrà

assicurare la disponibilità dei dati raccolti, evitandone l'automatica cancellazione alla

scadenza del periodo di conservazione previsto.

altri adempimenti:

o resta l'obbligo di notificare al Garante il trattamento dei dati secondo le modalità

previste (art. 37, comma 1, lett. a) del Codice).

o ogni istituto di credito che intenda installare nuove apparecchiature, oppure

modificare quelle esistenti, dovrà inoltrare Garante, una specifica richiesta di



96

verifica preliminare100

utilizzando i modelli riprodotti in allegato101

, verifica da

svolgere una tantum ai sensi dell'art. 17 del Codice, prima dell'inizio del

trattamento; a tal fine potrà essere effettuata un'unica comunicazione riguardante

tutti gli sportelli della banca, indicando l'elenco di quelli per i quali intende attivare i

dispositivi menzionati e le condizioni di concreto rischio poste a fondamento della

loro installazione valutate in rapporto alle altre misure adottabili;

o presso ogni sportello bancario dovrà essere comunque conservata e tenuta

aggiornata, anche in previsione di verifiche disposte da questa Autorità, la seguente

documentazione:

a) copia della richiesta di verifica preliminare inviata al Garante;

b) eventuale documentazione dalla quale si possa desumere l'esistenza di

condizioni di rischio concreto dello sportello;

c) documentazione tecnica relativa all'installazione dei sistemi biometrici e di

videosorveglianza adottati, dal quale risulti la conformità dei medesimi alle

condizioni indicate nel presente provvedimento; dalla medesima devono

evincersi:

le caratteristiche dell'impianto di ripresa (ad esempio, localizzazione

della/e telecamera/e con l'indicazione delle caratteristiche tecniche);

le caratteristiche dell'impianto di raccolta del dato biometrico;

le caratteristiche del sistema informatico di gestione delle immagini e

dei dati biometrici, con particolare riguardo alle fasi del processo

crittografico;

l'indicazione del tempo massimo di conservazione dei dati;

d) copia dell'informativa resa alla clientela;

e) documentazione dalla quale si possano desumere le modalità alternative di

accesso alla struttura della banca.

100


http://www.garanteprivacy.it/garante/doc.jsp?ID=1246675#Allegato







97

Modulo 2.2.9 – Videosorveglianza

fonte immagine

102

Tra i provvedimenti più importanti va ricordato il provvedimento generale

29 aprile 2004 sulla videosorveglianza 103

che fissa le regole da seguire

quando si adottano sistemi di video sorveglianza. Le regole variano a

seconda che le immagini siano registrate o meno. Il Garante ha inoltre

pubblicato il 20 maggio 2004 una "guida alla videosorveglianza"104

che

sintetizza i contenuti del più ampio provvedimento del 29 aprile. Al tema

della videosorveglianza è dedicata l’intera lezione 4. Qui ci limitiamo al riepilogo delle disposizioni

più importanti.

L’informativa è sempre necessaria. Chiunque transiti in una zona soggetta a videosorveglianza,

quindi anche un semplice cittadino, deve essere informato che sta per accedere o che si trova in una

zona videosorvegliata e dell’eventuale registrazione. Il Garante ha predisposto un modello

semplificato di informativa minima sotto forma di “cartello” con un simbolo ad indicare l’area

video sorvegliata; questo cartello deve essere chiaramente visibile ed indicare chi effettua la

rilevazione delle immagini e per quali scopi. In presenza di più telecamere, in relazione alla vastità

dell’area e alle modalità delle riprese, vanno installati più cartelli.

Si possono installare telecamere senza il consenso degli interessati, sulla base delle prescrizioni

indicate dal Garante, quando chi intende rilevare le immagini deve perseguire un interesse legittimo

a fini di tutela di persone e beni rispetto a possibili aggressioni, furti, rapine, danneggiamenti, atti di

vandalismo, prevenzione incendi, sicurezza del lavoro ecc.

Se i sistemi di videosorveglianza prevedono la raccolta delle immagini collegata e/o incrociata e/o

confrontata con altri particolari dati personali (ad esempio dati biometrici) oppure con codici

identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce è necessaria

una autorizzazione preliminare da parte del Garante.

102














98

Modulo 2.2.10 – Altri provvedimenti e

pubblicazioni

Altri provvedimenti significativi sono:

Inasprimento delle sanzioni privacy, 30 dicembre 2008105

(D.L. n. 207 del 30 dicembre

2008, articolo 44 )

Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati

personali, 13 ottobre 2008106

Sicurezza dei dati di traffico telefonico e telematico, 17 gennaio 2008107

;

Comunicato stampa del Garante del 3 settembre 2003 che sintetizza chiaramente il quadro di

riferimento per le comunicazioni commerciali indesiderate (spamming)108

.

Inasprimento delle sanzioni privacy

Questo argomento è stato affrontato nel modulo 1.3.6 della Lezione 1

Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati

personali

Il Garante ha messo a punto una serie di indicazioni per evitare che, al momento di dismettere

apparecchiature elettriche ed elettroniche (anzitutto pc, ma anche cd rom o dvd), rimangano in

memoria nomi, indirizzi mail, rubriche telefoniche, foto, filmati, numero di conto bancario, dati

personali in generale, anche di tipo sensibile come quelli sanitari, riferiti non solo all'utilizzatore,

ma anche a terzi.

Da oggi in poi, privati cittadini, professionisti, ma anche aziende pubbliche che intendono

dismettere il proprio “usato” o consegnarlo ai punti di raccolta per lo smaltimento dovranno

preoccuparsi di cancellare in maniera definitiva - anche con l'aiuto degli stessi rivenditori o se

proprio necessario di tecnici specializzati - i dati personali memorizzati. Questo innanzitutto allo

scopo di non esporsi e non esporre altri a rischi anche gravi, come ad esempio la manipolazione di

dati e il furto di identità.

Misure tecniche preventive

È bene proteggere i file usando una password di cifratura, oppure memorizzare i dati su hard disk o

su altri supporti magnetici usando sistemi di cifratura automatica al momento della scrittura.

Misure tecniche di cancellazione sicura

La cancellazione sicura delle informazioni su disco fisso o su altri supporti magnetici è ottenibile

con programmi informatici di “riscrittura” che provvedono - una volta che l'utente abbia eliminato

105

http://www.gazzettaufficiale.it/guridb/dispatcher?service=1&datagu=2008-12-31&task=dettaglio&numgu=304&redaz=008G0232&tmstp=1231080653127 106















99

dei file dall'unità disco con i normali strumenti previsti dai sistemi operativi (ad es., con l'uso del

“cestino” o con comandi di cancellazione) - a scrivere ripetutamente nelle aree vuote del disco. Si

possono anche utilizzare sistemi di formattazione a basso livello degli hard disk o di

“demagnetizzazione”, in grado di garantire la cancellazione rapida delle informazioni.

Smaltimento di rifiuti elettrici ed elettronici

Per la distruzione degli hard disk e di supporti magnetici non riscrivibili, come cd rom e dvd, è

consigliabile l'utilizzo di sistemi di punzonatura o deformazione meccanica o di demagnetizzazione

ad alta intensità o di vera e propria distruzione fisica.

Sicurezza dei dati di traffico telefonico e telematico

Il provvedimento fissa le regole di base per la messa in sicurezza dei dati del traffico telefonico e di

Internet, conservati dai gestori per finalità di accertamento e repressione dei reati e per le altre

finalità ammesse dalla normativa.

Le prescrizioni impartite riguardano in particolare i seguenti ambiti:

Accesso ai dati;

Accesso ai locali;

Sistemi di autorizzazione

Tracciamento dell'attività del personale incaricato;

Conservazione separata dei dati;

Cancellazione dei dati;

Controlli interni;

Sistemi di cifratura.

Comunicato stampa del Garante del 3 settembre 2003 sulle comunicazioni commerciali

indesiderate (spamming)

L’argomento “spamming” è affrontato più in dettaglio nella lezione 5 “Marketing e comunicazioni

commerciali”. Qui possiamo sintetizzare l’argomento riassumendo quanto dice il Garante nel

comunicato stampa del 3 settembre.

Inviare e-mail pubblicitarie senza il consenso del destinatario è vietato dalla legge; se questa

attività, specie se sistematica, è effettuata a fini di profitto si viola anche una norma penale e il

fatto può essere denunciato all’autorità giudiziaria. Sono previste varie sanzioni e, nei casi più

gravi, la reclusione. La normativa sulla privacy non permette di utilizzare indirizzi di posta

elettronica per inviare messaggi indesiderati a scopo promozionale o pubblicitario anche quando si

omette di indicare in modo chiaro il mittente del messaggio e l’indirizzo fisico presso il quale i

destinatari possono rivolgersi per chiedere che i propri dati personali non vengano più usati.



100



Nel 2007 il Garante ha

pubblicato le proprie

linee guida per la posta

elettronica ed Internet

Vero.

L'Autorità prescrive ai

datori di lavoro di

informare con

chiarezza e in modo

dettagliato i lavoratori

sulle modalità di

utilizzo di Internet e

della posta elettronica

e sulla possibilità che

vengano effettuati

controlli.

Vero.

L'Autorità prescrive ai

datori di lavoro di

informare con

chiarezza e in modo

dettagliato i lavoratori

sulle modalità di

utilizzo di Internet e

della posta elettronica

ma vieta che vengano

effettuati controlli..

Falso.

Il documento più volte

annunciato non è stato

ancora pubblicato.


pubblicato le linee-

guida per il

trattamento di dati dei

dipendenti privati

Vero.

Mancano però le

analoghe linee guida

per il settore pubblico.

Vero.

Con tale

provvedimento il

Garante ha definito

misure ed

accorgimenti per

disciplinare la raccolta

e l'uso dei dati

personali nella

gestione del rapporto

di lavoro.

Vero.

Le linee guida del

2006 si riferiscono al

settore pubblico, non a

quello privato.

L’informativa in caso

di videosorveglianza è

necessaria solo nel

caso che le immagini

siano registrate

Vero.

L’informativa va data

solo se le immagini

videoregistrate sono

effettivamente

registrate.

Falso.

L’informativa va data

in ogni caso. Se si

tratta di trattamenti di

videosorveglianza essi

vanno anche notificati

al Garante.

Falso.

In caso di

videosorveglianza

l’informativa va

sempre data. Se non vi

è registrazione di

immagini può essere

fornita una informativa

minima sotto forma di

cartello.



101

Lezione 2 –


Organizzazione della privacy

Modulo 2.3.1 – Il censimento dei dati personali

Modulo 2.3.2 – Il censimento dei dati personali –

elementi da catalogare

Modulo 2.3.3 – I soggetti che effettuano il

trattamento

Modulo 2.3.4 – Titolare, contitolare o

responsabile esterno

Modulo 2.3.5 – Nomina del responsabile interno

Modulo 2.3.6 – Nomina del responsabile esterno




102

Modulo 2.3.1 – Il censimento dei dati

personali

Approccio

Il censimento dei trattamenti è l’attività più importante per una corretta ed efficace gestione degli

adempimenti privacy in azienda.

Riepiloghiamo, con parole semplici, qual è l’approccio migliore per affrontare tale attività.

La definizione di dato personale è così ampia che conviene partire dal presupposto che tutti

i dati e le informazioni che trattiamo in azienda sono personali.

Con trattamento è opportuno intendere “qualsiasi uso” di dati personali e dunque, per

quanto detto al punto precedente, qualsiasi utilizzo di qualsiasi dato è un trattamento

(compresa la cancellazione o distruzione di informazioni).

Quanto detto si riferisce sia ai trattamenti di dati personali effettuati con strumenti

elettronici (sistemi informativi aziendali, pc in rete e stand alone per l’office automation e

la produttività personale, strumenti mobili quali notebook, subnotebook, cellulari evoluti,

ipod e similia) sia ai trattamenti senza l’ausilio di strumenti elettronici (documenti cartacei

vergati a mano o prodotti da strumenti meccanici quali macchine da scrivere e fotocopiatrici

o telematici quali fax); esiste poi una categoria di trattamenti che nasce da elaborazioni con

strumenti elettronici e il cui risultato viene poi riprodotto su carta: ad esempio un report di

stampa; in questo caso scegliamo di identificare nel censimento solo il trattamento

originario mentre demandiamo ai regolamenti organizzativi e alle misure di sicurezza la

gestione delle copie cartacee; in modo analogo ci comportiamo per i trattamenti che a partire

da una certa fonte vengono poi duplicati, distribuiti o rielaborati su supporti diversi (ad

esempio un elenco di clienti creato dal pc della contabilità, poi inviato per posta elettronica

alla funzione marketing e da questa stampato in 100 copie per la forza di vendita).

Vanno censiti i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni

esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.)

interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati.

Useremo, per quanto possibile, il buon senso nei casi non contemplati ai punti precedenti.

Cos’è un trattamento di dati personali?

Al di là della definizione formale di trattamento, la definizione pratica che useremo in questo corso

è “utilizzo di dati personali per una attività o finalità nota”; si tratta di una definizione logica alla

quale devono corrispondere ovviamente i comportamenti (e le elaborazioni) reali svolte in azienda.

In pratica un trattamento è una riga di una tabella ideale comprendente le informazioni richieste dal

Garante come nell’esempio di seguito fornito.

Le finalità in questo caso sono le principali attività di business o di supporto al business aziendale.

Usando l’organigramma (fotografia più o meno aggiornata dell’operatività d’impresa) individua

diamo le principali aree di attività e per ciascuna di queste le attività corrispondenti.



103

Modulo 2.3.2 – Il censimento dei dati

personali – elementi da catalogare

Le norme sulla privacy forniscono indicazioni di principio sugli elementi da catalogare nel

censimento dei dati personali. È possibile usare per il censimento una catalogazione già presente in

azienda per altri scopi. Nel seguito noi faremo riferimento alle indicazioni riportate dal Garante

nella sua “Guida operativa per redigere il Documento programmatico sulla sicurezza”109

del marzo

2004.

Elementi minimi

Descrizione sintetica: definizione del trattamento dei dati personali attraverso l’indicazione

della finalità perseguita o dell’attività svolta (es., fornitura di beni o servizi, gestione del

personale, ecc.) e delle categorie di persone cui i dati si riferiscono (clienti o utenti,

dipendenti e/o collaboratori, fornitori, eccetera).

Natura dei dati trattati: indicazione se, tra i dati personali, sono presenti dati sensibili (S) o

giudiziari (G).

Struttura di riferimento: indica la struttura (ufficio, funzione, ecc.) all’interno della quale

viene effettuato il trattamento.

Altre strutture che concorrono al trattamento: nel caso in cui un trattamento, per essere

completato, comporta l’attività di diverse strutture va indicata, oltre quella che cura

primariamente l’attività, le altre principali strutture che concorrono al trattamento anche

dall’esterno.

Descrizione degli strumenti elettronici utilizzati: va indicata la tipologia di strumenti

elettronici impiegati (elaboratori o p.c. anche portatili, collegati o meno in una rete locale,

geografica o Internet; sistemi informativi più complessi).

Ulteriori elementi, opzionali, per descrivere gli strumenti

Identificativo del trattamento: alla descrizione del trattamento, se ritenuto utile, può essere

associato un codice, facoltativo, per favorire un’identificazione univoca e più rapida di

ciascun trattamento nella compilazione delle altre tabelle.

Banca dati: indicare eventualmente la banca dati (ovvero il data base o l’archivio

informatico), con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento

può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche

dati potranno essere elencate.

Luogo di custodia dei supporti di memorizzazione: indicare il luogo in cui risiedono

fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale

fornitore di servizi, ecc.) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di

conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed

ogni altro supporto rimovibile. Il punto può essere approfondito meglio in occasione di

aggiornamenti.

109

http://www.garanteprivacy.it/garante/document?ID=1007740&DOWNLOAD=true





104

Tipologia di dispositivi di accesso: elenco e descrizione sintetica degli strumenti utilizzati

dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare,

telefonino, ecc.

Tipologia di interconnessione: descrizione sintetica e qualitativa della rete che collega i

dispositivi d’accesso ai dati utilizzati dagli incaricati: rete locale, geografica, Internet, ecc.

Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di

architettura del sistema informativo o da altri.

Descrizione sintetica del trattamento

Natura dei dati trattati

Struttura di riferimento

Altre strutture (anche esterne) che concorrono al trattamento

Descrizione degli strumenti utilizzati S G

Finalità perseguita o attività svolta

Categorie di interessati

Paghe e contributi Personale dipendente X X

Risorse Umane

Società Software 1

PC collegati in Lan,

Internet

Gestione personale Personale dipendente X X

Risorse Umane

Società Software 1


Internet

Legge 626 e sicurezza del

personale Personale dipendente X

Risorse Umane

Società Sicurezza1 Internet, PC stand Alone

Fatturazione attiva Clienti Contabilità


Internet

Acquisti e gestione fornitori Fornitori Contabilità


Internet

Ciclo di produzione Clienti, fornitori Produzione

Società Software 2


Internet

Gestione Qualità Personale dipendente

Qualità e Controlli PC collegati in Lan

Adempimenti societari

Personale dipendente X

Qualità e Controlli

Studi legali 1 e 2 PC collegati in Lan

Guardania, visitatori

Personale dipendente, Visitatori, Clienti,

Fornitori Qualità e Controlli

Società Sorveglianza1 PC collegati in Lan

Prototipi Clienti, fornitori

Ricerca e Sviluppo PC Stand Alone



105

Modulo 2.3.3 – I soggetti che effettuano il

trattamento Tratto da “Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007 -

(G.U. 21 giugno 2007 n. 142)”110

Nello svolgimento dell'attività di impresa è normale che vengano trattati dati personali, vale a dire

informazioni riferibili a soggetti identificati o identificabili (ad esempio, dipendenti, clienti e

fornitori). I dati devono essere pertinenti e non eccedenti rispetto a finalità legittime, esatti e

aggiornati (art. 11 del Codice). Le operazioni di trattamento (quali la raccolta, comunicazione o

diffusione di dati personali) sono effettuate anche a cura del responsabile (se designato) e degli

incaricati del trattamento.

Il titolare del trattamento

Il “titolare del trattamento”, è la “[...] entità che esercita un potere decisionale del tutto autonomo

sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza” (art. 28 del

Codice). In particolare, nell'ambito dello svolgimento dell'attività economica, “titolare del

trattamento” può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad

esempio, la società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la

diffusione).

Il “titolare del trattamento” è chiamato ad attuare gli obblighi in materia (riassunti nella presente

Guida) e, se ritiene di designare uno o più responsabili del trattamento, è tenuto a vigilare sulla

puntuale osservanza delle istruzioni da impartire loro.

I responsabili del trattamento

Il “responsabile del trattamento” (possono essere più d'uno), è una figura che può essere designata a

propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti

affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità,

forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi

compreso il profilo relativo alla sicurezza (art. 29 del Codice).

Tale figura, la cui designazione da parte del “titolare del trattamento” è quindi facoltativa, ricorre

frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa

autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni

aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni

all'impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad

es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di

recupero crediti111

, etc.)

110


In materia v. il provvedimento generale del 30 novembre 2005, doc. web n. 1213644.







106

Gli incaricati del trattamento

Gli “incaricati del trattamento” sono soggetti (solo persone fisiche) che effettuano materialmente le

operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del

responsabile) attenendosi a istruzioni scritte (art. 30 del Codice). Il “titolare del trattamento” è

tenuto a designarli.

È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per

iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento112

.

112

Così, in un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti,

si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta),

qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una

previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono

stati assegnati stabilmente a tale unità.



107

Modulo 2.3.4 – Titolare, contitolare o

responsabile esterno

Alcuni trattamenti potrebbero essere gestiti in parte o totalmente con strutture terze.

I casi possibili sono.

1. Il trattamento ricade nei poteri decisionali dei titolare dell’azienda che semplicemente

esternalizza alcuni aspetti del trattamento ad un terzo o outsourcer. Esempio tipico potrebbe

essere la conservazione delle copie di sicurezza di nastri o tabulati presso una società

specializzata. In questo caso la società terza deve essere nominata “responsabile esterno”

del trattamento in questione mediante forma scritta. Il titolare ha l’obbligo di dare istruzioni

sulle misure, anche di sicurezza, che il responsabile esterno deve adottare e di vigilare che

queste siano effettivamente adottate.

2. Il trattamento è in contitolarità cioè è gestito da più titolari: è il caso in cui due o più

titolari, autonomi fra loro, gestiscono in comune il trattamento e condividono i poteri

decisionali sulle relative finalità e modalità. Esempio tipico: un trattamento, quale una banca

dati, in comune tra due professionisti. Nessuna nomina formale deve essere fatta.

3. Infine se il titolare non affida all’esterno nessun trattamento ma si limita semplicemente a

comunicare dei dati personali a soggetti terzi, in virtù di quanto previsto nell’informativa,

allora tale terzo è a sua volta un “titolare autonomo del trattamento”. Nessuna nomina

formale deve essere fatta anche in questo caso.

La differenza fra titolare e responsabile esterno è facilmente deducibile da una serie di

considerazioni.

Il titolare è l’ente con cui l’interessato contrae un “rapporto contrattuale” in virtù del quale il titolare

raccoglie i dati personali dell’interessato. È facoltà del titolare esternalizzare tale trattamento ad un

terzo (il responsabile esterno) che in tal caso va nominato per iscritto.

Un interessante approfondimento sul tema del “Responsabile esterno” è disponibile nell’articolo “

“Il responsabile esterno privacy”113

di Eric Falzone del 5 maggio 2008.

113

http://www.overlex.com/leggiarticolo.asp?id=1667





108

Modulo 2.3.5 – Nomina del responsabile

interno

Esempio di lettera di nomina a Responsabile (interno) dei trattamenti

(Delibera del Consiglio di Amministrazione)

Ai sensi dell’art.29 del decreto legislativo 30 giugno 2003 n. 196 “Codice in materia di trattamento

dei dati personali”, il Consiglio delibera la nomina del Direttore Generale della società quale

“Responsabile del trattamento dei dati”, concedendo allo stesso la delega a nominare, per conto del

Titolare, ulteriori responsabili (anche esterni) di specifici trattamenti.

La nomina avviene dopo aver constatato che il Direttore Generale, in relazione al grado ricoperto

in azienda che gli permette di avvalersi della collaborazione di tutte le strutture e le risorse interne,

nonché dei poteri di firma e di spesa, possiede i requisiti di esperienza, capacità ed affidabilità

idonei a fornire garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. Il “Responsabile interno” avvalendosi dei responsabili delle altre unità operative e, ove necessario, dei

consulenti esterni (legale, fiscale, del lavoro):

redige, aggiorna almeno annualmente, conserva il Documento Programmatico della Sicurezza;

censisce ed aggiorna l'elenco dei trattamenti dei dati personali in azienda e garantisce il diritto

d’accesso come previsto dalle norme sulla privacy;

con l’assistenza del responsabile “Sistemi e Reti” individua, predispone, verifica, documenta e

rende note le misure di sicurezza (minime e più ampie) necessarie per la protezione dei dati

personali.



109

Modulo 2.3.6 – Nomina del responsabile

esterno

Esempio di lettera di nomina a Responsabile esterno dei trattamenti

Spettabile Società Software1

Arcobaleni196 srl, è “Titolare” di trattamenti di dati personali che sono esternalizzati presso la Vs.

Azienda, per effetto del contratto stipulato il 21 settembre 2005, rif. ABC1230. Con la presente

Arcobaleni196 designa la Vs. Azienda quale “Responsabile del trattamento” ai sensi dell'art. 29 del

d. lgs. 196/2003 “Codice in materia di protezione dei dati personali” (il “Codice”) in relazione ai

trattamenti previsti nel contratto suddetto.

In relazione a tale nomina la Vs. Azienda dovrà seguire le seguenti istruzioni:

garantire che i trattamenti siano svolti nel pieno rispetto delle norme e di ogni prescrizione contenuta nel

Codice, nei relativi allegati compresi i codici deontologici, delle future modificazioni ed integrazioni nonché

informarsi e tenere conto dei provvedimenti, dei comunicati ufficiali, delle autorizzazioni generali emessi

dall'Autorità Garante per la Protezione dei Dati Personali (il “Garante”);

verificare la costante adeguatezza delle misure di sicurezza per la protezione dei trattamenti alle misure

minime di sicurezza di cui agli artt. da 33 a 35 del Codice, da adottarsi nei modi previsti dal Disciplinare

Tecnico allegato B al Codice e secondo le previsioni dell’art. 180, e delle eventuali modificazioni o

integrazioni che dovessero intervenire ai sensi dell’art. 36 nonché a quelle idonee e preventive di cui all’art.

31 così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non

autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta;

segnalare tempestivamente qualsiasi eventuale carenza sulle misure di sicurezza adottate o su qualunque altro

aspetto relativo ai trattamenti conferiti che dovesse comportare responsabilità civili e penali del Titolare;

curare l’aggiornamento periodico, almeno annuale, del Documento Programmatico sulla sicurezza previsto

dalla regola 19 del Disciplinare Tecnico citato, relativamente ai trattamenti di dati personali conferiti col

contratto suddetto, consegnandone copia in tempo utile affinché Arcobaleni196 possa provvedere

all’adempimento rispettando la scadenza prevista dalla normativa in questione;

comunicare tempestivamente qualsiasi richiesta ricevuta ai sensi dell'art. 7 del Codice, per consentirne

l'evasione nei termini previsti dalla legge e, in particolare, disporre l'organizzazione interna per l'eventuale

modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del trattamento ove venisse disposto

dal Garante o dall'Autorità Giudiziaria.

Ci riserviamo, ai sensi dell'art. 29 comma 5 del Codice, la facoltà di effettuare verifiche periodiche

per vigilare sulla puntuale osservanza delle vigenti disposizioni in materia di trattamento, ivi

compreso il profilo relativo alla sicurezza, e delle istruzioni suddette.

Cordiali saluti



110



Il censimento dei

trattamenti va fatto

solo in caso di dati

sensibili o giudiziari.

Vero.

I dati personali comuni

non vanno censiti.

Falso.

I dati sensibili e

giudiziario vanno

notificati al Garante.

Falso.

Il censimento va fatto

per qualsiasi

trattamento di dati

personali

indipendentemente che

si tratti di dati sensibili

o giudiziari.

La nomina del

“Responsabile” dei

trattamenti è

obbligatoria.

Falso

Solo i responsabili

“esterni” vanno

nominati

obbligatoriamente;

quelli interni solo se il

titolare lo ritiene

opportuno.

Falso.

La nomina del

responsabile è in

generale una facoltà

del titolare; tuttavia la

nomina del

responsabile del diritto

d’accesso è

obbligatoria.

Falso.

La nomina del

responsabile è una

facoltà del titolare ma

non è obbligatoria.

Gli incaricati possono

essere solo persone

fisiche.

Vero.

È possibile nominare

le persone giuridiche

quali “responsabili

esterne” del

trattamento.

Vero.



quali “cotitolari” del

trattamento.

Falso.

Anche le persone

giuridiche possono

essere nominate

incaricati.



111

Risposte alle domande di

verifica della lezione 2



Le misure minime di

sicurezza sono uguali

per tutti i titolari.

Vero.

Anche con le



sono più tenute al


minime di sicurezza

che tuttavia sono

state semplificate in

alcuni aspetti..

La formazione sulla

privacy è obbligatoria

e va riportata sul DPS.

Vero.

L’allegato B del

Codice indica

chiaramente tale

obbligo.

Con diritto d’accesso

si intende il diritto

dell’interessato a

conoscere quali suoi

dati personali sono

trattati dal titolare.

Vero.



Codice.




pubblicato le proprie

linee guida per la posta

elettronica ed Internet

Vero.

L'Autorità prescrive

ai datori di lavoro di

informare con

chiarezza e in modo

dettagliato i

lavoratori sulle

modalità di utilizzo

di Internet e della

posta elettronica e

sulla possibilità che



112

vengano effettuati

controlli.


pubblicato le linee-

guida per il

trattamento di dati dei

dipendenti privati

Vero.

Con tale

provvedimento il

Garante ha definito

misure ed

accorgimenti per

disciplinare la

raccolta e l'uso dei

dati personali nella

gestione del rapporto

di lavoro.

L’informativa in caso

di videosorveglianza è

necessaria solo nel

caso che le immagini

siano registrate

Falso.

In caso di

videosorveglianza

l’informativa va

sempre data. Se non

vi è registrazione di

immagini può essere

fornita una

informativa minima

sotto forma di

cartello.



Il censimento dei

trattamenti va fatto

solo in caso di dati


Falso.

Il censimento va fatto

per qualsiasi

trattamento di dati

personali

indipendentemente

che si tratti di dati


La nomina del

“Responsabile” dei

trattamenti è

obbligatoria.

Falso.

La nomina del

responsabile è una

facoltà del titolare

ma non è

obbligatoria.

Gli incaricati possono

essere solo persone

fisiche.

Vero.



quali “responsabili

esterne” del

trattamento.



113

Pagina bianca

Fine del documento


114

Fine del documento

Le successive lezioni saranno pubblicate attraverso i siti ComplianceNet114

, CMa Consulting115

ed

Arcobaleni196116

nelle prossime settimane.

Roma, 23 gennaio 2009

114

http://www.compliancenet.it/ 115

http://www.cmaconsulting.it/ 116

http://www.arcobaleni196.it







adempimenti per ^ u o](] Ì]}v] ... · (Introduzione, Lezione 1, Lezione 2) Creative Commons...

Documents

Transcript of adempimenti per ^ u o](] Ì]}v] ... · (Introduzione, Lezione 1, Lezione 2) Creative Commons...