Introduzione al diritto alla protezione dei dati personali · privacy) Diritto alla ... Finalità...

31/10/2014

1

1

Introduzione al diritto alla

protezione dei dati personali

Michela Rossi

[email protected]

2

� il diritto alla riservatezza � diritto “alla tutela di quelle situazionipersonali o familiari svoltesi anche al di fuori del domicilio domestico che nonhanno per i terzi un interesse socialmente apprezzabile, contro le ingerenzenon giustificate da interessi pubblici prevalenti, anche se lecite e tali da nonoffendere l’onore e il decoro. Questo diritto non può essere negato ad alcunacategoria di persone, solo in considerazione della loro notorietà, salvo che unreale interesse sociale all’informazione o altre esigenze pubbliche lo esigano”.(Cass. 27 maggio 1975, n. 2129)

� il diritto alla protezione dei dati personali � Chiunque hadiritto alla protezione dei dati personali che lo riguardano. (art. 1 Codiceprivacy)

Diritto alla riservatezza/Diritto alla protezione

dei dati personali

31/10/2014

2

3

Finalità – art. 2

Dlgs. 30 giugno 2003 n. 196 (Codice in materia diprotezione dei dati personali)

Il presente testo unico, di seguito denominato "codice", garantisce cheil trattamento dei dati personali si svolga nel rispetto dei diritti edelle libertà fondamentali, nonché della dignità dell'interessato,con particolare riferimento alla riservatezza, all'identità personalee al diritto alla protezione dei dati personali.

4

Ambito di applicazione – art. 5

1. ad ogni tipo di trattamento non solo quello elettronico;

2. a qualunque trattamento di dati personali, anche detenutiall’estero, effettuato da chiunque è stabilito nel territorio delloStato o in un luogo comunque soggetto alla sovranità delloStato;

3. ai trattamenti svolti da chiunque è stabilito nel territorio di unpaese non appartenente alla Unione europea e impiegastrumenti situati nel territorio italiano;

4. NON si applica al trattamento dei dati effettuati da personefisiche per fini esclusivamente personali che non prevedano ladiffusione dei dati o la loro comunicazione sistematica.

31/10/2014

3

5

Direttiva 95/46/CEArticolo 25 - Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L'adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate. [....]

Articolo 26 - Deroghe

1. In deroga all'articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi del'articolo 25, paragrafo 2 può avvenire a condizione che:

a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure

b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l'esecuzione di misure precontrattuali prese a richiesta di questa, oppure

c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure

d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure

e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure [...]

2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di datipersonali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate.

6

Trasferimento dei dati all’estero – Titolo VII

Art. 43. Trasferimenti consentiti in Paesi terzi

1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto ditrattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando:

a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;

b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;

c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;

d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da unconvivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;

e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia;

g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati;

31/10/2014

4

7

Trasferimento dei dati all’estero

Art. 44. Altri trasferimenti consentiti

1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato:

a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime;(1)

b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti.

Art. 45. Trasferimenti vietati

1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza

8

DATO PERSONALE � qualunque informazione relativa a personafisica, identificata o identificabile, anche indirettamente, mediante riferimentoa qualsiasi altra informazione, ivi compreso un numero di identificazionepersonale.

DATI IDENTIFICATIVI � i dati che permettono l’identificazionediretta dell’interessato.

DATI ANONIMI � il dato che in origine, o a seguito di trattamento, nonpuò più essere associato ad un interessato identificato o identificabile.

Definizioni – art. 4

31/10/2014

5

9

DATI SENSIBILI �� i dati personali idonei a rivelare l'origine razziale edetnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,l'adesione a partiti, sindacati, associazioni od organizzazioni a caratterereligioso, filosofico, politico o sindacale, nonché i dati personali idonei arivelare lo stato di salute e la vita sessuale;

DATI GIUDIZIARI � i dati personali idonei a rivelare provvedimenti dicui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe dellesanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, ola qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codicedi procedura penale.


10

TRATTAMENTO � qualunque operazione o complesso dioperazioni effettuate, anche senza l’ausilio di strumenti elettronici,concernenti:


la raccolta,

l’organizzazione,

la consultazione,

la modificazione,

l’estrazione,

l’utilizzo,

il blocco,

la diffusione,

la registrazione,

la conservazione,

l’elaborazione,

la selezione,

il raffronto,

l’interconnessione,

la comunicazione,

la cancellazione,

la distruzione.

31/10/2014

6

11

COMUNICAZIONE � il dare conoscenza dei dati personali a uno o più

soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel

territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma,

anche mediante la loro messa a disposizione o consultazione.

DIFFUSIONE � il dare conoscenza di dati personali a soggetti

indeterminati, in qualunque forma, anche mediante la loro messa a

disposizione o consultazione.


12

Ambito soggettivo

TITOLAREpersona fisica, persona giuridica,

pubblica amministrazione e qualsiasi altro ente, associazione od organismo

INCARICATOPersona fisica

RESPONSABILEpersona fisica, persona giuridica,


INTERESSATOLa persona cui i

dati si riferiscono

31/10/2014

7

13

INTERESSATO del trattamento � la persona fisica cui si riferiscono i

dati personali.

TITOLARE del trattamento � la persona fisica, la persona giuridica, la


cui competono, anche unitamente ad altro titolare, le decisione in ordine alle

finalità, alle modalità del trattamento di dati personali e agli strumenti

utilizzati, ivi compreso il profilo della sicurezza.

L’interessato e il Titolare – art. 28

14

RESPONSABILE del trattamento � la persona fisica, la persona

giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione o

organismo preposti dal titolare al trattamento dei dati personali.

In particolare:

� la sua nomina dal parte del titolare del trattamento è facoltativa;

� requisiti: esperienza, capacità e affidabilità;

� è richiesta per la nomina la forma scritta ad substantiam;

� deve attenersi alle istruzioni impartite dal titolare;

Il responsabile – art. 29

31/10/2014

8

15

INCARICATO del trattamento � è la persona fisica autorizzata daltitolare o dal responsabile a compiere le operazioni di trattamento.

In particolare:

� designazione effettuata dal titolare o dal responsabile per iscritto,

ad substantiam;

� gestisce concretamente i dati;

� è sempre e soltanto una persona fisica;

� deve attenersi alle istruzioni impartite dal titolare o dal responsabile.

L’incaricato – art. 30

16

I principi

ART. 3 – PRINCIPIO di NECESSITA’ NEL TRATTAMENTO DEI DATIConfigurazione dei sistemi informativi e dei programmi informatici in modo da

ridurre al minimo l’utilizzo di dati personali e identificativi.

ART. 11 – MODALITA’ di TRATTAMENTO E REQUISITI DEI DATI-Principio di liceità e correttezza- Principio di finalità (scopi determinati, espliciti e legittimi)-Principio di pertinenza e non eccedenza (non eccedenti le finalità)- conservazione dei dati (diritto all’oblio)

31/10/2014

9

17

Principio di necessità nel trattamento dei dati

Articolo 3: I sistemi informativi e i programmi informatici sono configuratiriducendo al minimo l’utilizzazione di dati personali e di dati identificativi, inmodo da escluderne il trattamento quando le finalità perseguite neisingoli casi possono essere realizzate mediante, rispettivamente, datianonimi od opportune modalità che permettano di identificarel’interessato solo in caso di necessità.

I principi

18

Il trattamento e le condizioni di legittimità.

L’art. 11 regola i diversi momenti del trattamento: quelli relativi allaraccolta dei dati, ai requisiti dei dati, alle modalità di elaborazione edi conservazione.

I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza (principio di liceità ecorrettezza);

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed

utilizzati in altre operazioni del trattamento in termini compatibili con tali

scopi (principio di finalità);

I principi

31/10/2014

10

19

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per

le quali sono raccolti o successivamente trattati (principio dipertinenza e di non eccedenza);

e) conservati in una forma che consenta l’identificazione dell’interessato per

un periodo di tempo non superiore a quello necessario agli scopi per i quali

essi sono stati raccolti o successivamente trattati.

I dati personali trattati in violazione della disciplina rilevante in

materia di trattamento dei dati personali non possono essereutilizzati.

I principi

20

Le misure “idonee” di sicurezza – art. 31

I dati personali oggetto di trattamento sono custoditi e controllati,anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla

natura dei dati e alle specifiche caratteristiche del trattamento, in modo daridurre al minimo, mediante l’adozione di idonee e preventive

misure di sicurezza, i rischi di distruzione o perdita, ancheaccidentale, dei dati stessi, di accesso non autorizzato o ditrattamento non consentito o non conforme alle finalità dellaraccolta.

Tali misure:

� sono ulteriori rispetto a quelle minime;� non sono individuate a priori;� dipendono dal tipo di dati trattati e dal progresso tecnologico.

31/10/2014

11

21

Le misure “minime” di sicurezza

I titolari del trattamento sono tenuti ad adottare le misure minime

di sicurezza, tassativamente individuate dallo stesso Codice e da unapposito disciplinare tecnico, volte ad assicurare un livello minimo diprotezione dei dati personali (art. 33).

Il trattamento effettuato con strumenti elettronici è consentitosolo se sono adottate le seguenti misure minime:

� autenticazione informatica;� adozione di procedure di gestione delle credenziali di autenticazione;� utilizzazione di un sistema di autorizzazione;� aggiornamento periodico dell'individuazione dell'ambito del trattamentoconsentito ai singoli incaricati e addetti alla gestione o alla manutenzionedegli� strumenti elettronici

22

Segue: Le misure “minime” di sicurezza

MANCATA ADOZIONE

DELLE MISURE MINIME

SANZIONIPENALI

E

AMMINISTRATIVE

31/10/2014

12

23

L’informativa – art. 13

L’interessato o la persona presso la quale sono raccolti i dati personalisono previamente informati, oralmente o per iscritto, circa:

� le finalità e le modalità del trattamento cui sono destinati i dati;

� la natura obbligatoria o facoltativa del conferimento dei dati;

� le conseguenze di un eventuale rifiuto di rispondere;

� i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicatio che possono venirne a conoscenza in qualità di responsabili o incaricati;

� l’ambito di diffusione dei dati medesimi;

� i diritti spettanti all’interessato;

� gli estremi identificativi del titolare e, se questo designato, del responsabile

24

L’informativa – art. 13

L’informativa non è dovuta se:

� i dati sono trattati in base ad un obbligo previsto dalla legge;

� i dati sono trattati ai fini dello svolgimento delle investigazionidifensive;

� l’informativa all’interessato comporta un impiego di mezzi che ilGarante dichiari manifestamente sproporzionati rispetto aldiritto tutelato, ovvero si riveli, a giudizio del Garante,impossibile.

31/10/2014

13

25

L’informativa (art. 13)

OMESSA O INCOMPLETA INFORMATIVA

SANZIONI AMMINISTRATIVE

26

Presupposti di legittimità del trattamento

Trattamento dei dati effettuato da un SOGGETTO

PRIVATO

Trattamento dei dati effettuato da un SOGGETTO

PUBBLICO

DATI PERSONALI

Informativa + consenso dell’interessato

DATI SENSIBILI

Informativa + Consenso scritto dell’interessato + autorizzazione del Garante

DATI PERSONALI

Informativa + finalizzato all’adempimento delle funzioni istituzionali + nel rispetto dei limiti stabili dal Garante

DATI SENSIBILI e DATI GIUDIZIARI

solo se autorizzato da espressa previsione di legge

DATI GIUDIZIARI

solo se autorizzato da espressa previsione di legge

31/10/2014

14

27


Per il trattamento di dati personali da parte di SOGGETTI

PRIVATI:

� è necessario che l’interessato sia previamente informato(informativa);

� è indispensabile il consenso dell’interessato al trattamento(documentato per iscritto);

� il consenso deve essere espresso (non tacito), libero,specifico, informato.

In taluni casi tassativamente elencati è possibile effettuare il trattamento senza il consensodell’interessato: ad es. per adempiere ad un obbligo previsto dalla legge, se i dati provengono dapubblici registri, per la salvaguardia della vita o dell’incolumità fisica di un terzo […] (art. 24).

28


Se i SOGGETTI PRIVATI trattano:

dati sensibili� è necessario che il consenso scritto dell’interessato (formascritta ad substantiam);

� è richiesta l’autorizzazione preventiva al trattamento da partedell’Autorità garante.

dati giudiziari:

� è necessaria la presenza di una norma di legge cheespressamente autorizzi il trattamento e ne disciplini le modalità.

31/10/2014

15

29

Art. 5 comma 3 e Facebook

L’utente del social network Interessato

Titolare del trattamento

Art. 5 comma 3 del Codice in base al quale il trattamento dei dati

personali effettuato da persone fisiche per fini esclusivamente personali è soggetto

all’applicazione del presente codice solo se i dati sono destinati ad una

comunicazione sistematica o alla diffusione. Si applicano in ogni caso le

disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli artt. 15

e 31.

30


Per il trattamento di dati personali da parte di SOGGETTI

PUBBLICI:

� è necessario che l’interessato sia previamente informato(informativa);

� sussiste il limite dello svolgimento della funzione

istituzionale.

� non è richiesto il consenso dell’interessato al trattamento (népreventivo né successivo);

31/10/2014

16

31


Se i SOGGETTI PUBBLICI trattano:

dati sensibili o giudiziari:� è necessaria la presenza di una norma di legge che

espressamente autorizzi il trattamento e ne disciplini lemodalità.

32

La notificazione – art. 37

Il titolare deve notificare al Garante che intende procedere altrattamento dei dati solo se tale trattamento riguarda:

� dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggettimediante una rete di comunicazione elettronica;

� dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita;

� dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti odorganismi senza scopo di lucro;

� dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalitàdell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo diservizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabiliper fornire i servizi medesimi agli utenti;

� dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchédati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

� dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischiosulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni,a comportamenti illeciti o fraudolenti.

31/10/2014

17

33

La notificazione

La notificazione non è un’istanza di autorizzazione, ma è unasemplice comunicazione che il titolare effettua al Garante.

Deve essere inoltrata utilizzando l’apposito modello

Ricevuta la notificazione il Garante è tenuto a registrare leinformazioni in essa contenute nel Registro dei Trattamenti che èaccessibile al pubblico.

34

La notificazione

OMESSA O INCOMPLETA

NOTIFICAZIONE

SANZIONI AMMINISTRATIVE

NOTIFICAZIONE CON NOTIZIE

FALSE

SANZIONIPENALI

31/10/2014

18

35

I diritti dell’interessato – art. 7

L’interessato ha diritto di ottenere:

� la conferma dell’esistenza o meno di dati personali che loriguardano;

� la loro comunicazione in forma intellegibile;

� l’indicazione dell’origine dei dati, delle finalità e modalità ditrattamento, della logica applicata in caso di trattamentoeffettuato con l’ausilio di mezzi elettronici, degli estremiidentificativi del titolare, dei responsabili, dei soggetti o categoriedi soggetti ai quali i dati possono essere comunicati.

36


L’interessato ha, inoltre, diritto di ottenere:

� l’aggiornamento, la rettificazione ovvero, quando vi hainteresse, l’integrazione dei dati;

� la cancellazione, la trasformazione in forma anonima o ilblocco dei dati trattati in violazione di legge, compresi quelli dicui non è necessaria la conservazione in relazione agli scopi per iquali i dati sono stati raccolti o successivamente trattati,

� l’attestazione che le operazione di cui ai primi due punti sonostate portate a conoscenza, anche per quanto riguarda il lorocontenuto, di coloro ai quali i dati sono stati comunicati o diffusi,eccetto il caso in cui tale adempimento si rileva impossibile ocomporta un impiego di mezzi manifestamente sproporzionatorispetto al diritto tutelato.

31/10/2014

19

37


L’interessato ha, infine, diritto di opporsi, in tutto o in parte:

� per motivi legittimi, al trattamento dei dati personali che loriguardano, ancorché pertinenti allo scopo della raccolta;

� al trattamento di dati personali che lo riguardano a fini di invio dimateriale pubblicitario o di vendita diretta per il compimento diricerche di mercato o di comunicazione commerciale.

38

Esercizio dei diritti – art. 8

I diritti dell’interessato sono esercitati con richiesta rivolta, senza

formalità, al titolare o al responsabile del trattamento, anche per iltramite di un incaricato. (interpello preventivo)

Il titolare (o il responsabile del trattamento) è tenuto a fornireidoneo riscontro senza ritardo alla richiesta dell’interessato.

Il riscontro deve essere fornito entro 15 g. dal ricevimento dellarichiesta (art. 146).

Il titolare è tenuto, inoltre, ad adottare idonee misure volte adagevolare l’accesso ai dati personali da parte dell’interessato e asemplificare le modalità e a ridurre i tempi per il riscontro alrichiedente.

31/10/2014

20

39

Tutela giurisdizionale dei diritti

Per le controversie relative ai diritti di cui all’art. 7, dopo che

siano trascorsi 15 g. dalla richiesta di cui all’art. 8 (interpello preventivo)

� È possibile adire all’autorità giudiziaria (Tribunale monocratico

civile)

� In alternativa è possibile ricorrere dinanzi al Garante (Tutela

amministrativa )

Per tutte le controversie che riguardano l’applicazione del Codiceprivacy la competenza è dell’autorità giudiziaria ordinaria che decidecon procedimento camerale ed in composizione monocratica(Tribunale civile in composizione monocratica).

40

Il Garante per la protezione dei dati personali

� È un’autorità amministrativa indipendente (istituita nel 1996);

� è organo collegiale costituito da quattro componenti, eletti duedalla Camera dei deputati e due dal Senato della Repubblica;

I componenti:

� sono scelti tra esperti di riconosciuta competenza;

� durano in carica sette anni;

� eleggono nel loro ambito un presidente, il cui voto prevale in casodi parità.

31/10/2014

21

41

Funzioni del Garante – art. 153

� (…)

�controlla se i trattamenti sono effettuati nel rispetto della disciplinaapplicabile;

� provvede sui ricorsi presentati dagli interessati o dalleassociazioni che li rappresentano;

� promuove la sottoscrizione di codici deontologici;

� segnala al Governo e al Parlamento l’opportunità di interventinormativi;

� esprime pareri;

� (…).

42

La responsabilità nel trattamento dei dati

La responsabilità civile

Art 15, Codice privacy: «Chiunque cagiona danno ad altri pereffetto del trattamento dei dati personali è tenuto al risarcimento aisensi dell’art. 2050 del codice civile».

Art. 2050 c.c.: «Chiunque cagiona danno ad altri nello svolgimentodi un’attività pericolosa, per sua natura o per la natura dei mezziadoperati, è tenuto al risarcimento, se non prova di avere

adottato tutte le misure idonee a evitare il danno».

31/10/2014

22

43


«Chiunque cagiona danno …»:

− titolare del trattamento;− responsabile del trattamento, qualora nominato, in solido con il titolare (inquanto «Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal

titolare», art. 29, con eventuale diritto di rivalsa).

«… ai sensi dell’art. 2050 c.c.»:

- l’interessato dovrà provare: l’evento lesivo, il danno subito ed il nesso dicausalità, ma non la colpa del titolare o del responsabile (presunzione di

colpevolezza);- il titolare (o il responsabile), per non essere tenuto al risarcimento, dovràprovare «di aver adottato tutte le misure idonee ad evitare», in astratto, «il danno».

44


«… danno (risarcibile)…»:

� patrimoniale;

� non patrimoniale.

Art. 15. comma 2

« Il danno non patrimoniale è risarcibile anche in caso di violazione

dell'articolo 11».

31/10/2014

23

45


Illeciti penali

Il Codice privacy prevede sanzioni penali al fine di garantire il rispetto della normativasulla tutela dei dati personali.

Art. 167. Trattamento illecito di dati

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altriprofitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di

quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è

punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste

nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altriprofitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di

quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fattoderiva nocumento, con la reclusione da uno a tre anni.

46


In particolare, in caso di:

� trattamento illecito dei dati (art. 167), quando vi è:

� violazione degli artt. 18, 19, 23, …;

� «nocumento»;

� dolo specifico � «al fine di trarne per sé o per altri profitto o direcare ad altri un danno».

31/10/2014

24

47


Ed ancora, in caso di:

� falsità nelle dichiarazioni e notificazioni al Garante (art. 168);

� mancata adozione delle misure minime di sicurezza (art. 169);1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due

anni.

2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una

prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in

caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta

giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a

pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il

pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli

articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

� inosservanza di provvedimenti del Garante (art. 170);

� Pene accessorie: pubblicazione della sentenza (art. 172).

48


Sanzioni amministrative

Il Codice privacy prevede sanzioni amministrative in caso di:

� omessa o inidonea informativa all’interessato (art. 161);

� mancata adozione di misure minime di sicurezza (art. 162);

� omessa o incompleta notificazione (art. 163);

� omessa informazione o esibizione di documenti al Garante(art. 164);�(…).

31/10/2014

25

49

In caso di cessazione, per qualsiasi causa, di un trattamento i dati devono

essere:� Distrutti

� Ceduti ad altro titolare purchè destinati ad un trattamento in termini compatibili agli

scopi per i quali sono stati raccolti

� Conservati esclusivamente per fini personali e non destinati ad una comunicazione

sistematica o alla diffusione

� Conservati o ceduti ad altro titolare per scopo storici, statistici, scientifici, in

conformità alla legge, ai regolamenti […]

La cessione in violazione delle disposizioni vigenti è priva di effetti.

Cessazione trattamento – art. 16

50

Cookie – Provvedimento del Garante del 8/05/2014

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente invianoal suo terminale (solitamente al browser), dove vengono memorizzati per essere poiritrasmessi agli stessi siti alla successiva visita del medesimo utente. Sono usati perdifferenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni,memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al

server, ecc.

I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazionesu una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di unservizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogaretale servizio" (cfr. art. 122, comma 1, del Codice).

I cookie di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine diinviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito dellanavigazione in rete. In ragione della particolare invasività che tali dispositivi possono averenell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debbaessere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso.(art. 122 del Codice)

31/10/2014

26

51

Cookie - Provvedimento del Garante del 8/05/2014

il Garante ha stabilito che, d'ora in poi quando si accede alla home page o ad un'altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

2) che il sito consente anche l'invio di cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

3) un link a una informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti";

4) l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.

Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente.

L'utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l'informativa estesa, che deve essere linkabile da ogni pagina del sito.

Introduzione al diritto alla protezione dei dati personali · privacy) Diritto alla ... Finalità...

Documents

Transcript of Introduzione al diritto alla protezione dei dati personali · privacy) Diritto alla ... Finalità...