1. Koinè
Cooperativa sociale
Decreto legislativo 30 giugno 2003, n. 196
Il nuovo testo unico sulla privacy
Definizioni e responsabilità per il trattamento dei dati
Milano - 30/10/2005
1
2. Art. 1: Chiunque ha diritto alla protezione
dei dati personali che lo riguardano
Entrato in vigore il 01/01/2004
Rinnova e consolida la legislazione in materia (vedi
legge 675 del 31/12/96 e successive modifiche)
Rende molto più vincolanti controlli e sanzioni
Semplifica e rende più stringenti i requisiti di
sicurezza richiesti
Milano - 30/10/2005
2
3. Art. 2: Finalità
Il presente testo unico, di seguito denominato codice,
garantisce che il trattamento dei dati personali si
svolga nel rispetto dei diritti e delle libertà
fondamentali, nonché della dignità dell’interessato, con
particolare riferimento alla riservatezza, all’identità
personale e al diritto alla protezione dei dati persona.
Milano - 30/10/2005
3
4. Art. 2: Finalità
Il trattamento dei dati personali è disciplinato
assicurando un elevato livello di tutela dei diritti e
delle libertà di cui al punto precedente nel rispetto
dei principi di semplificazione, armonizzazione ed
efficacia delle modalità previste per il loro esercizio
da parte degli interessati, nonché per l’adempimento
degli obblighi da parte dei titolari al trattamento.
Milano - 30/10/2005
4
5. Art. 3: Principio di necessità nel trattamento
dei dati
I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l’utilizzazione di dati
personali e di dati identificativi, in modo da
escluderne il trattamento quando le finalità
perseguite nei singoli casi possono essere realizzate
mediante, rispettivamente, dati anonimi od opportune
modalità che permettano di identificare l’interessato
solo in caso di necessità.
Milano - 30/10/2005
5
6. Art. 5: Oggetto ed ambito di applicazione
Il presente codice si applica la trattamento di dati
personali, anche detenuti all’estero, da chiunque è
stabilito nel territorio dello Stato o in un luogo
comunque soggetto alla sovranità dello Stato.
Si applica anche al trattamento di dati personali
effettuato da chiunque è stabilito in un Paese non
appartenente alla UE.
Milano - 30/10/2005
6
7. Definizioni
Decreto legislativo 30 giugno 2003, n. 196
Il nuovo testo unico sulla privacy
Definizioni e responsabilità per il trattamento dei dati
Milano - 30/10/2005
7
8. Dato comune, sensibile e trattamento
Dato comune: qualsiasi dato associato ad una
persona fisica e giuridica
Dato sensibile: dato personale che fornisce
indicazioni sulle origini, convinzioni, abitudini e
preferenze
Dato giudiziario: dati personali che forniscono
informazioni inerenti alla situazione giudiziaria
Milano - 30/10/2005
8
9. Definizioni: tipologia dei dati
Dato personale: qualunque informazione relativa a
persona fisica, giuridica, ente, associazione
Dati identificativi: i dati personali che permettono
la identificazione diretta dell’interessato
Dati sensibili: i dati personali idonei a rivelare
l’origine razziale ed etnica, le convinzioni religiose,
filosofiche, le opinioni politiche, l’adesione ai
partiti, sindacati, associazioni o organizzazioni......
segue
Milano - 30/10/2005
9
10. Definizioni: tipologia dei dati
a carattere religioso, filosofico, politico o sindacale,
nonchè i dati personali idonei a rilevare lo stato di
salute e la vita sessuale
Dati giudiziari: i dati personali idonei a rivelare
provvedimenti in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative dipendenti
da reato e dei relativi carichi pendenti, o la qualità
di imputato o indagato
Milano - 30/10/2005
10
11. Definizioni: tipologia dei dati
Dato anonimo: il dato che in origine, o a seguito di
trattamento, non può essere associato ad un
interessato identificato o identificabile
Dati relativi al traffico: qualsiasi dato sottoposto al
trattamento ai fini della trasmissione di una
comunicazione su una rete di comunicazione
elettronica o della relativa fatturazione
Dati relativi alla ubicazione: qualsiasi dato trattato
che indica la posizione geografica della
apparecchiatura terminale dell’utente
Milano - 30/10/2005
11
12. Trattamenti
Trattamenti mediante strumenti elettronici
Trattamenti non elettronici
Milano - 30/10/2005
12
13. Definizioni
Trattamento: qualunque operazione o complesso di
operazioni, effettuati anche senza l’ausilio di
strumenti elettronici, concernenti la raccolta, la
registrazione, l’organizzazione, la conservazione, la
consultazione, l’elaborazione, la modificazione, la
selezione, l’estrazione, il raffronto, l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca dati
Milano - 30/10/2005
13
14. Definizioni: scopi
Scopi storici: le finalità di studio, indagine, ricerca e
documentazione di figure, fatti e circostanze del
passato
Scopi statistici: le finalità di indagine statistica i di
produzione di dati statistici, anche a mezzo di
sistemi informativi statistici
Scopi scientifici: le finalità di studio e si indagine
sistematica finalizzato allo sviluppo delle
conoscenze scientifiche in uno specifico settore
Milano - 30/10/2005
14
15. Trattamenti elettronici
requisiti di massima
Requisiti di autenticazione
Regole sulle password
Sistemi di autorizzazione
Profili di autorizzazione
Individuazione degli ambiti di trattamento
Politiche di backup
Istruzioni e procedure
Milano - 30/10/2005
15
16. Trattamenti non elettronici
requisiti di massima
Istruzioni agli incaricati
Custodia dei dati
Archiviazione dati sensibili e giudiziari
Milano - 30/10/2005
16
17. Informative e consenso
Il trattamento dei dati è possibile solo se è stata
data opportuna informativa sulle modalità e sulle
finalità
I dati possono essere trattati solo con l’espresso
consenso dell’interessato
Milano - 30/10/2005
17
18. Regole per tutti i trattamenti
Art. 11: Modalità del trattamento e requisiti dei dati
1. i dati personali oggetto del trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti
e legittimi;
c) esatti e, se necessario, aggiornati
d) pertinenti, completi e non eccedenti rispetto alle
finalità per le quali sono stati raccolti e trattati;
Milano - 30/10/2005
18
19. Regole per tutti i trattamenti
Art. 11: Modalità del trattamento e requisiti dei dati
1. I dati personali oggetto del trattamento sono:
e) conservati in una forma che consenta
l’identificazione dell’interessato;
2. I dati trattati in violazione della disciplina non
possono essere utilizzati.
Milano - 30/10/2005
19
20. Regole per tutti i trattamenti
Art. 13: Informativa
1. L’interessato devono essere informati (in forma
orale o scritta) circa:
a) le finalità e le modalità del trattamento cui sono
destinati i dati;
b) la natura obbligatoria o facoltativa del
conferimento dei dati;
c) le conseguenze di un eventuale rifiuto a
rispondere;
Milano - 30/10/2005
20
21. Regole per tutti i trattamenti
Art. 13: Informativa
1. L’interessato devono essere informati (in forma
orale o scritta) circa:
d) i soggetti o le categorie di soggetti ai quali i dati
possono essere comunicati o che possono venirne a
conoscenza;
e) diritti dell’interessato (art.7);
f) gli estremi identificativi del titolare e se designati
dei responsabili;
Milano - 30/10/2005
21
22. Regole per tutti i trattamenti
Art. 13: Informativa
3. Il Garante può individuare con proprio
provvedimento modalità semplificate per
l’informativa fornita in particolare da servizi
telefonici di assistenza e informazione al pubblico.
Milano - 30/10/2005
22
23. Regole per tutti i trattamenti
Art. 16: Cessazione del trattamento
1. In caso di cessazione, per qualsiasi causa, di un
trattamento i dati sono:
a) distrutti
b) ceduti ad altro titolare, purchè destinati ad un
trattamento in termini compatibili
c) conservati per fini esclusivamente personali e
non destinati ad una comunicazione sistematica o
alla diffusione
Milano - 30/10/2005
23
24. Regole per tutti i trattamenti
Art. 16: Cessazione del trattamento
2. La cessione dei dati in violazione di quanto
precedentemente descritto è priva di effetti.
Milano - 30/10/2005
24
25. Requisiti minimi
Il codice impone requisiti minimi per cui si rende
possibile il trattamento dei dati sia in forma
cartacea che digitale
Il mancato rispetto dei requisiti minimi ha rilevanza
penale
In caso di mancanza di “sicurezza adeguata” resta la
responsabilità civile
Milano - 30/10/2005
25
26. Entrata in vigore
Il testo unico è in vigore dal 1gennaio 2004
Il termine di adozione delle misure minime entro il
31 dicembre 2005
E’ previsto la revisione obbligatoria annuale ogni 30
marzo
Milano - 30/10/2005
26
27. Titolare, responsabile incaricato e
interessato
Titolare: la persona fisica o giuridica che gestisce il
trattamento dei dati
Responsabile: designati dal titolare per
soprintendere al trattamento
Incaricati: le persona fisiche che eseguono il
trattamento secondo le istruzioni ricevute
Interessato: soggetto a cui si riferiscono i dati
trattati
Milano - 30/10/2005
27
28. Definizioni: figure di riferimento
Titolare: la persona fisica, giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione
od organismo cui competono, anche unitamente ad
altro titolare, le decisioni in ordine alle finalità, alle
modalità del trattamento di dati personali e agli
strumenti utilizzati, compreso il profilo della
sicurezza
Milano - 30/10/2005
28
29. Definizioni: figure di riferimento
Responsabile: la persona fisica, giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione
od organismo preposti dal titolare al trattamento
dei dati personali
Incaricati: le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal
responsabile
Milano - 30/10/2005
29
30. Definizioni: figure di riferimento
Interessato: la persona fisica, giuridica, la pubblica
amministrazione e qualsiasi altro ente o
associazione a cui si riferiscono i dati
Garante: l’autorità istituita dalla legge n. 675 del 31
dicembre 1996
Abbonato: qualunque persona fisica, giuridica, ente
o associazione parte di un contratto con un
fornitore di servizi di comunicazione elettronica
accessibili al pubblico
Milano - 30/10/2005
30
31. Definizioni: figure di riferimento
Utente: qualsiasi persona fisica che utilizza un
servizio di comunicazione elettronica accessibile al
pubblico, per motivi privati o commerciali, senza
esservi necessariamente abbonata
Milano - 30/10/2005
31
32. Diritti dell’interessato
Diritto di ottenere informazioni relativamente
all’esistenza di dati personali che lo riguardano
Diritto di ottenere la loro comunicazione
Diritto di ottenere l’indicazione dell’origine, delle
finalità, delle modalità, della sicurezza e gli estremi
identificativi di tutte le figure interessate al
trattamento ed alla comunicazione
Milano - 30/10/2005
32
33. Diritti dell’interessato
Art. 7-10: Il titolo II della parte I (“Disposizioni
generali”) del Codice della privacy (art. 7-10) regola
i diritti dell’interessato
In base all’art. 7 (“Diritto di accesso ai dati personali
ed altri diritti”), comma 1, del provvedimento,
l'interessato ha dunque, innanzitutto, diritto di
ottenere la conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non ancora
registrati, e la loro comunicazione in forma
intelligibile.
Milano - 30/10/2005
33
34. Diritti dell’interessato
In base al secondo comma l’interessato ha diritto di
ottenere l’indicazione:
a. dell’origine dei dati personali;
b. delle finalità e modalità del trattamento;
c. della logica applicata in caso di trattamento
effettuato con l’ausilio di strumenti elettronici;
d. degli estremi identificativi del titolare, dei
responsabili e del rappresentante designato ai
sensi dell’art. 5 comma 2
Milano - 30/10/2005
34
35. Diritti dell’interessato
In base al secondo comma l’interessato ha diritto di
ottenere l’indicazione:
e. dei soggetti o delle categorie di soggetti ai quali i
dati personali possono essere comunicati o che
possono venirne a conoscenza in qualità di
rappresentante designato nel territorio dello
Stato, di responsabili o incaricati.
Milano - 30/10/2005
35
36. Diritti dell’interessato
L’interessato ha diritto di ottenere (art. 7 comma 3):
a. l’aggiornamento, la rettificazione ovvero, quando
vi ha interesse, l’integrazione dei dati;
b. la cancellazione, la trasformazione in forma
anonima o il blocco dei dati trattati in violazione
di legge, compresi quelli di cui non è necessaria
la conservazione in relazione agli scopi per i quali
i dati sono stati raccolti o successivamente
trattati;
Milano - 30/10/2005
36
37. Diritti dell’interessato
L’interessato ha diritto di ottenere (art. 7 comma 3):
c. l’attestazione che le operazioni di cui alle lettere
[a-b] sono state portate a conoscenza, anche per
quanto riguarda il loro contenuto, di coloro ai
quali i dati sono stati comunicati o diffusi,
eccettuato il caso in cui tale adempimento si
rivela impossibile o comporta un impiego di
mezzi manifestamente sproporzionato rispetto al
diritto tutelato.
Milano - 30/10/2005
37
38. Diritti dell’interessato
L’interessato ha diritto di opporsi, in tutto o in parte
(art. 7 comma 4):
a. per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché pertinenti
allo scopo della raccolta;
b. al trattamento di dati personali che lo
riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di
comunicazione commerciale.
Milano - 30/10/2005
38
39. Diritti dell’interessato
I diritti di cui all’art. 7 non possono essere esercitati
con richiesta al titolare o al responsabile o con ricorso
ai sensi dell’art. 145, se i trattamenti di dati personali
sono effettuati:
a. in base alle disposizioni del D.L. 143/1991, convertito con modificazioni dalla
Legge 197/1991 e successive modificazioni, in materia di riciclaggio;
b. in base alle disposizioni del D.L. 419/1991, convertito con modificazioni dalla
Legge 172/1992 e successive modificazioni, in materia di sostegno alle vittime di
richieste estorsive;
c. da Commissioni parlamentari d’inchiesta istituite ai sensi dell’art. 82 della
Costituzione;
Milano - 30/10/2005
39
40. Diritti dell’interessato
I diritti di cui all’art. 7 non possono essere esercitati
con richiesta al titolare o al responsabile o con ricorso
ai sensi dell’art. 145, se i trattamenti di dati personali
sono effettuati:
d. da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad
espressa disposizione di legge, per esclusive finalità inerenti alla politica
monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e
dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e. ai sensi dell’art. 24/1°/f, limitatamente al periodo durante il quale potrebbe
derivarne un pregiudizio effettivo e concreto per lo svolgimento delle
investigazioni difensive o per l’esercizio del diritto in sede giudiziaria;
Milano - 30/10/2005
40
41. Diritti dell’interessato
I diritti di cui all’art. 7 non possono essere esercitati
con richiesta al titolare o al responsabile o con ricorso
ai sensi dell’art. 145, se i trattamenti di dati personali
sono effettuati:
f. da fornitori di servizi di comunicazione elettronica accessibili al pubblico
relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne
un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni
difensive di cui alla Legge 397/2000;
g. per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il
Consiglio superiore della magistratura o altri organi di autogoverno o il
Ministero della giustizia;
h. ai sensi dell’art. 53, fermo restando quanto previsto dalla Legge 121/1981.
Milano - 30/10/2005
41
42. Diritti dell’interessato
Esercizio dei diritti (art. 8):
Secondo quanto previsto dal presente articolo,
dunque, i diritti di cui all’art. 7 appena esaminato sono
esercitati con richiesta rivolta senza formalità al
titolare o al responsabile del trattamento, anche per il
tramite di un incaricato, alla quale è fornito idoneo
riscontro.
Milano - 30/10/2005
42
43. Diritti dell’interessato
L’art. 9 (“Modalità di esercizio”) del Codice prevede
che la richiesta rivolta al titolare o al responsabile ex
art. 8 possa essere trasmessa anche mediante lettera
raccomandata, telefax o posta elettronica. Il Garante
può d’altra parte individuare altro idoneo sistema in
riferimento a nuove soluzioni tecnologiche.
Milano - 30/10/2005
43
44. Diritti dell’interessato
La richiesta di cui all’art. 7, commi 1 e 2, sopra
esaminati, deve essere formulata liberamente e senza
costrizioni e può essere rinnovata, salva l'esistenza di
giustificati motivi, con intervallo non minore di novanta
giorni.
Milano - 30/10/2005
44
45. Diritti dell’interessato
Al fine di garantire l’effettivo esercizio dei diritti di cui
all’art. 7, il titolare del trattamento è tenuto ad
adottare idonee misure volte, in particolare (art. 10,
comma 1):
a) ad agevolare l'accesso ai dati personali da parte
dell'interessato, anche attraverso l'impiego di
appositi programmi per elaboratore finalizzati ad
un'accurata selezione dei dati che riguardano singoli
interessati identificati o identificabili;
Milano - 30/10/2005
45
46. Diritti dell’interessato
Al fine di garantire l’effettivo esercizio dei diritti di cui
all’art. 7, il titolare del trattamento è tenuto ad
adottare idonee misure volte, in particolare (art. 10,
comma 1):
b) a semplificare le modalità e a ridurre i tempi per il
riscontro al richiedente, anche nell'ambito di uffici o
servizi preposti alle relazioni con il pubblico.
Milano - 30/10/2005
46
47. Diritti dell’interessato
I dati sono estratti a cura del responsabile o degli
incaricati e possono essere comunicati al richiedente
anche oralmente, ovvero offerti in visione mediante
strumenti elettronici, sempre che in tali casi la
comprensione dei dati sia agevole, considerata anche la
qualità e la quantità delle informazioni. Se vi è
richiesta, si provvede alla trasposizione dei dati su
supporto cartaceo o informatico, ovvero alla loro
trasmissione per via telematica.
Milano - 30/10/2005
48. Diritti dell’interessato
Salvo che la richiesta sia riferita ad un particolare
trattamento o a specifici dati personali o categorie di
dati personali, il riscontro all'interessato deve
comprendere tutti i dati personali che riguardano
l'interessato comunque trattati dal titolare.
Milano - 30/10/2005
49. Informazioni
Ulteriori informazioni possono essere reperite su:
http://leggeprivacy.renomo.com
Milano - 30/10/2005
49