TUTELA DELLA PRIVACY - D. LGS. 196/2003 -
GUIDA PRATICA E MISURE DI SEMPLIFICAZIONE PER LE
PICCOLE E MEDIE IMPRESE - PROVVEDIMENTO DEL GARANTE
Al fine di rendere più agevoli gli adempimenti
previsti dal Codice della Privacy soprattutto per le imprese più piccole, il
Garante per la protezione dei dati personali ha predisposto una ‘’Guida pratica
e misure di semplificazione per le piccole medie imprese” pubblicata nella
Gazzetta Ufficiale n. 142 del 21 giugno 2007.
La guida, pertanto, rappresenta un utile strumento cui
ispirarsi nel trattamento dei dati personali e sensibili al fine di operare
comunque nel rispetto delle regole, con soluzioni semplificate.
Dopo aver inquadrato i soggetti che effettuano il
trattamento, distinguendoli tra il titolare del trattamento, il responsabile
del trattamento e gli incaricati del medesimo, la guida passa alla trattazione
della Notificazione del trattamento, specificando che la medesima, come
dichiarazione con la quale il titolare del trattamento rende nota al Garante
l’esistenza di un’attività di raccolta ed utilizzazione dei dati, non deve
essere effettuata presso le piccole realtà produttive. In tali contesti,
infatti, la notificazione dovrà essere effettuata esclusivamente nelle ipotesi
particolari contenute nell’art. 37 del Codice della Privacy.
Anche per ciò che concerne l’informativa relativa al
trattamento dei dati personali agli interessati, la disciplina contenuta nella
deliberazione indica le modalità per facilitare tale procedura, prevedendo
all’uopo la possibilità di renderla anche oralmente, in modo sintetico e
colloquiale ed elencando i casi in cui l’informativa può essere omessa.
Vengono, quindi, riepilogate le ipotesi in cui non è
necessario registrare il consenso dell’interessato per effettuare un
trattamento lecito, con espresso rimando agli artt. 23 e 24 del Codice, nonchè il profilo della sicurezza nel trattamento dei dati,
ribadendo in particolare l’obbligo di redazione del Documento programmatico sulla
sicurezza (DPS) esclusivamente in caso di trattamento dei dati sensibili e
giudiziari attraverso sistemi informatici (art. 34, comma 1, lett. g e regola
19 dell’Allegato B del Codice).
Su tale ultimo aspetto si rammenta che da ultimo un
disegno di legge, attualmente all’esame del Senato, prevede l’esclusione delle
piccole imprese dagli adempimenti in materia di trattamento dei dati personali
con espresso riferimento agli obblighi di sicurezza. Di conseguenza
l’approvazione di tale disegno di legge vanificherebbe il provvedimento del
Garante per la parte in questione.
Da ultimo vengono ribaditi i limiti in cui operare nei
casi di trasferimento dei dati personali al di fuori dell’Unione europea, che a
titolo puramente esemplificativo sono rappresentati dal consenso espresso del
titolare o dall’esecuzione di obblighi derivanti da un contratto.
L’accesso ai dati personali da parte dell’interessato
determina poi l’obbligo in capo al
titolare del trattamento o del responsabile di fornire un riscontro entro quindici
giorni dal ricevimento dell’istanza (art. 146 del Codice).
La deliberazione del Garante termina con una Check List con la quale l’impresa
potrà testare in maniera semplice e rapida il livello di adeguamento alla
normativa sulla privacy fino ad ora adottato.
Guida pratica e misure di semplificazione per le
piccole e medie imprese
Sommario
1. I soggetti che effettuano il trattamento
2. La notificazione del trattamento
3. L’informativa
4. Il consenso dell’interessato
5. La sicurezza dei dati
6. Il trasferimento dei dati in paesi terzi
7. I doveri del titolare del trattamento in caso di
esercizio dei diritti degli interessati ai sensi dell’art. 7 del codice
8. Check list
Con la disciplina contenuta nel decreto legislativo n.
196 del 2003 (Codice in materia di protezione dei dati personali) l’ordinamento
italiano si è dotato di un quadro organico per attuare obblighi internazionali
nascenti dalla Convenzione del Consiglio d’Europa sulla protezione delle
persone rispetto al trattamento automatizzato di dati di carattere personale
(Strasburgo, 28 gennaio 1981) e per recepire direttive comunitarie (95/46/Ce e
2002/58/Ce).
Specie nello svolgimento delle ordinarie attività
d’impresa, e in particolare per le realtà produttive di piccole dimensioni,
alcuni adempimenti contenuti nella disciplina di protezione dei dati personali
vengono reputati talvolta onerosi. Una giusta protezione dei dati personali e
della riservatezza può in verità rappresentare una risorsa per l’impresa,
rendendone più efficiente l’attività in modo da incrementare la fiducia di
consumatori e utenti.
Questa guida intende fornire a chi opera nella realtà
delle medie e piccole imprese uno strumento utile per curare gli adempimenti
derivanti dalla normativa vigente, indicando le soluzioni semplificate a
disposizione.
La guida, integrata da una check
list e pubblicata sul sito web dell’Autorità, potrà
subire aggiornamenti nel tempo. (1)
1. I soggetti che effettuano il
trattamento
Nello svolgimento dell’attività di impresa è normale
che vengano trattati dati personali, vale a dire informazioni riferibili a
soggetti identificati o identificabili (ad esempio, dipendenti (2), clienti e fornitori). I dati devono
essere pertinenti e non eccedenti rispetto a finalità legittime, esatti e
aggiornati (art. 11 del Codice). Le operazioni di trattamento (quali la
raccolta, comunicazione o diffusione di dati personali) sono effettuate anche a
cura del responsabile (se designato) e degli incaricati del trattamento.
1.1. Chi è il titolare del trattamento?
Il “titolare del trattamento”, è la “[...] entità che
esercita un potere decisionale del tutto autonomo sulle finalità e sulle
modalità del trattamento, ivi compreso il profilo della sicurezza” (art. 28 del
Codice). In particolare, nell’ambito dello svolgimento dell’attività economica,
“titolare del trattamento” può essere la persona fisica (si pensi
all’imprenditore individuale) o giuridica (ad esempio, la società) che tratta i
dati (con la raccolta, la registrazione, la comunicazione o la diffusione).
Il “titolare del trattamento” è chiamato ad attuare
gli obblighi in materia (riassunti nella presente Guida) e, se ritiene di
designare uno o più responsabili del trattamento, è tenuto a vigilare sulla
puntuale osservanza delle istruzioni da impartire loro.
1.2. Chi sono i responsabili del trattamento?
Il “responsabile del trattamento” (possono essere più
d’uno), è una figura che può essere designata a propria discrezione dal
titolare del trattamento con un atto scritto nel quale vanno indicati i compiti
affidati. Occorre scegliere persone fisiche od organismi che per esperienza,
capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle
vigenti disposizioni in materia di trattamento, ivi compreso il profilo
relativo alla sicurezza (art. 29 del Codice).
Tale figura, la cui designazione da parte del
“titolare del trattamento” è quindi facoltativa, ricorre frequentemente in
presenza di articolazioni interne delle realtà produttive dotate di una certa
autonomia (ad es., possono essere designati responsabili del trattamento i
dirigenti di funzioni aziendali, quali quelle del personale o del settore
marketing) o, rispetto a soggetti esterni all’impresa, per svariate forme di
outsourcing che comportino un trattamento di dati personali (ad es., per i
centri di elaborazione dati contabili, per i servizi di postalizzazione,
per le società di recupero crediti (3),
etc.)
1.3. Chi sono gli incaricati del trattamento?
Gli “incaricati del trattamento” sono soggetti (solo
persone fisiche) che effettuano materialmente le operazioni di trattamento dei
dati personali e operano sotto la diretta autorità del titolare (o del
responsabile) attenendosi a istruzioni scritte (art. 30 del Codice). Il
“titolare del trattamento” è tenuto a designarli.
È sufficiente assegnare un dipendente ad una unità
organizzativa, a condizione che risultino per iscritto le categorie di dati cui
può avere accesso e gli ambiti del trattamento.
(4)
2. La notifica del trattamento
La notificazione è una dichiarazione con la quale il titolare
del trattamento, prima di iniziarlo, rende nota al Garante (che la inserisce
nel registro pubblico dei trattamenti consultabile da chiunque sul sito web
dell’Autorità) l’esistenza di un’attività di raccolta e di utilizzazione dei
dati personali.
2.1. È sempre necessario notificare il trattamento dei
dati al Garante?
In linea di principio i trattamenti ordinari svolti
presso piccole realtà produttive non vanno notificati: si pensi ai trattamenti
di dati relativi ai dipendenti, ai fornitori o alla clientela (5). In particolare, non devono essere
notificati i dati relativi agli inadempimenti dei propri clienti tenuti da
ciascuna impresa.
In questo quadro la notificazione deve essere
effettuata in ipotesi particolari (indicate all’art. 37 del Codice). Con
specifico riguardo all’attività di impresa, i trattamenti soggetti a
notificazione sono quelli relativi a:
- dati registrati in apposite banche di dati gestite
con strumenti elettronici e relative al rischio sulla solvibilità economica,
alla situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti; come detto, non rientrano in
quest’ambito, i dati relativi agli inadempimenti dei propri clienti tenuti da
ciascuna impresa.
- dati genetici
(6), biometrici o dati che indicano la posizione geografica di persone
od oggetti mediante una rete di comunicazione elettronica (ad esempio, dati
trattati mediante sistemi di geolocalizzazione
installati su veicoli al fine di individuarne la posizione);
- dati trattati con l’ausilio di strumenti elettronici
volti a definire il profilo o la personalità dell’interessato, o ad analizzare
abitudini o scelte di consumo (c.d. profilazione),
ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con
esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
- dati sensibili registrati in banche di dati a fini
di selezione del personale per conto terzi (non, quindi, quelli trattati
direttamente dall’imprenditore), nonché dati sensibili utilizzati per sondaggi
di opinione, ricerche di mercato e altre ricerche campionarie.
2.2. Come si effettua la notificazione al Garante?
Solo utilizzando l’interfaccia disponibile sul sito
web dell’Autorità e seguendo le istruzioni ivi indicate (v. art. 38 del
Codice).
2.3. Quando occorre fare una nuova notificazione?
Solo in caso di cessazione del trattamento o di
mutamento di alcuni elementi dell’originaria notificazione.
3. L’informativa
Chi effettua operazioni di trattamento di dati personali
deve rappresentare agli interessati le caratteristiche essenziali dei
trattamenti effettuati. L’informativa deve essere resa per i dati raccolti
presso l’interessato e per quelli reperiti presso terzi. La disciplina prevede
alcune ipotesi di semplificazione e di esonero.
3.1. Cosa è l’informativa?
L’informativa, da rendersi con chiarezza e senza
inutili formalità, anche in modo sintetico e colloquiale, contiene i seguenti
elementi (art. 13 del Codice):
- finalità e modalità del trattamento;
- natura obbligatoria o facoltativa del conferimento
dei dati e conseguenze di un eventuale rifiuto di rispondere;
- soggetti o categorie di soggetti ai quali i dati
personali possono essere comunicati o che possono venirne a conoscenza;
- diritti riconosciuti all’interessato dall’articolo 7
del Codice;
- estremi identificativi del titolare e, se designato,
del responsabile del trattamento.
Se taluno di questi elementi è già noto
all’interessato, non è necessario farlo presente nuovamente.
3.2. Quando deve essere resa l’informativa?
In caso di dati raccolti presso l’interessato,
l’informativa deve essere resa, anche in forma orale, prima delle operazioni
del trattamento. Nel rapporto con fornitori, clienti, dipendenti e
collaboratori non è necessario ripeterla in occasione di ogni contatto: è
sufficiente fornirla con una formula generale una tantum, all’inizio delle
operazioni di trattamento (che potranno anche protrarsi nel tempo).
L’informativa deve essere resa anche nel caso in cui i
dati personali sono raccolti presso terzi; in tal caso, deve essere fornita al
momento della registrazione dei dati o, se è prevista la comunicazione a terzi
da parte del titolare, non oltre la prima comunicazione. Vanno indicate anche
le categorie dei dati trattati.
3.3. È possibile rendere l’informativa in una forma
semplificata?
È possibile fornire l’informativa anche oralmente, in
modo sintetico e colloquiale, senza includere elementi già noti all’interessato
(art. 13, comma 2, del Codice). Si può utilizzare anche uno spazio all’interno
dell’ordinario materiale cartaceo e della corrispondenza.
Inoltre la disciplina prevede margini ulteriori di
semplificazione (art. 13, comma 3, del Codice), tenendo conto delle circostanze
concrete da rappresentare al Garante, formulando apposita istanza, anche
tramite associazioni di categoria.
3.4. In quali casi non è necessario rendere
l’informativa agli interessati?
In relazione ai dati raccolti presso terzi, tenuto
conto delle circostanze concrete, si può omettere di fornire l’informativa se i
dati sono trattati (art. 13, comma 5, lett. c), del Codice):
- in base ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
- ai fini dello svolgimento delle investigazioni
difensive (legge 7 dicembre 2000, n. 397) o per far valere o difendere un
diritto in sede giudiziaria.
Inoltre, è prevista la possibilità di esonero totale o
parziale dall’obbligo di fornire l’informativa:
- nei casi in cui renderla, a giudizio del Garante
−cui può essere inviata apposita istanza−, risulti impossibile o
manifestamente sproporzionato rispetto al diritto fatto valere.
4. Il consenso dell’interessato
Talora il soggetto privato che effettua operazioni di
trattamento è tenuto a raccogliere il consenso dell’interessato per effettuare
un trattamento di dati lecito (art. 23 del Codice). Più spesso, però, nello
svolgimento dell’ordinaria attività d’impresa, il consenso dell’interessato non
è necessario (art. 24 del Codice).
4.1. Nello svolgimento dell’attività d’impresa è
necessario acquisire il consenso degli interessati?
Con particolare riferimento ai trattamenti di dati
personali (non sensibili) nell’ordinaria attività d’impresa, non è necessario
il consenso nei casi in cui (cfr. art. 24 del Codice):
- i dati vengono trattati nell’esecuzione di un
contratto o in fase pre-contrattuale (art. 24, comma 1, lett. b), del Codice);
- il trattamento viene posto in essere per dare
esecuzione a un obbligo legale (art. 24, comma 1, lett. a) del Codice);
- i dati provengono da registri ed elenchi pubblici (art.
24, comma 1, lett. c), del Codice);
- i dati sono relativi allo svolgimento di attività
economiche da parte dell’interessato (art. 24, comma 1, lett. d), del Codice).
A queste macro-categorie, che comprendono larga parte
dei trattamenti effettuati ordinariamente da un’impresa, devono essere aggiunte
le ulteriori ipotesi di esonero enumerate all’art. 24 del Codice. (7)
Nei casi restanti, l’interessato deve aver manifestato
un consenso libero, specifico e informato in relazione al trattamento
effettuato. Il consenso deve essere documentato per iscritto (art. 23 del
Codice).
4.2. Quali sono gli adempimenti da osservare per
trattare dati sensibili?
Cautele maggiori devono essere osservate nel
trattamento dei dati sensibili: tali sono considerate le informazioni idonee a
rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o
di altro genere, le opinioni politiche, l’adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico, politico o
sindacale, nonché dei dati personali idonei a rivelare lo stato di salute e la
vita sessuale (art. 4, comma 1, lett. d), del Codice).
Per il trattamento dei dati sensibili di regola è
necessario il consenso scritto, oltre l’autorizzazione del Garante.
Il Garante ha rilasciato sette autorizzazioni generali
che comprendono tutti i trattamenti abitualmente effettuati nell’ordinaria
attività di impresa. Non vi è quindi bisogno di rivolgere una richiesta al
Garante, che va presentata solo per casi del tutto eccezionali non contemplati
dalle medesime autorizzazioni già rilasciate (questa ipotesi si è sinora
verificata in casi rari). (8)
Inoltre, per i dati sensibili il Codice non richiede
il consenso dell’interessato se:
- il trattamento è necessario per svolgere le investigazioni
difensive di cui alla legge 7 dicembre 2000, n. 397 o per far valere o
difendere in sede giudiziaria un diritto. I dati vanno trattati solo per tali
finalità e per il periodo strettamente necessario al loro perseguimento (art.
26, comma 4, lett. c) del Codice); (9)
il trattamento
è necessario per adempiere a specifici obblighi o compiti previsti dalla legge
oppure da un regolamento o dalla normativa comunitaria per la gestione del
rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della
popolazione e di previdenza e assistenza. Occorre rispettare i limiti previsti
dall’autorizzazione generale del Garante (art. 26, comma 4, lett. d) del
Codice).
5. La sicurezza dei sistemi
Il profilo della sicurezza e dell’integrità delle informazioni
oggetto di legittimo trattamento è un elemento qualificante delle discipline di
protezione dei dati personali (artt. 31 ss. del Codice e disciplinare tecnico
di cui all’All. B al Codice).
5.1. Chi deve adottare le misure di sicurezza
L’obbligo generale di adottare idonee misure di
sicurezza è posto dal Codice. Il titolare del trattamento può adempiervi
avvalendosi anche di un responsabile (art. 29, comma 2, del Codice).
5.2. Quali misure di sicurezza devono essere adottate?
Il titolare del trattamento è tenuto ad adottare tutte
le misure idonee, valutate alla luce delle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento,
a ridurre i rischi di distruzione o di perdita anche accidentale dei dati o di
accesso non autorizzato o non consentito ai dati (art. 31 del Codice).
In questo quadro vanno anche attuate le misure minime,
applicabili a piccole e medie imprese (artt. 33-35 e all. B del Codice (10) ).
5.3. Come e quando deve essere redatto il DPS?
In base alla vigente disciplina, in caso di
trattamento di dati sensibili e giudiziari attraverso sistemi informatici deve
essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1,
lett. g) e regola 19 dell’Allegato B al Codice). Si può tener conto dei
suggerimenti già formulati dal Garante che –recependo
le esigenze e le istanze peculiari di professionisti e piccoli operatori, con
particolare riguardo alle piccole e medie imprese– ha
già reso disponibile on-line, a far data dal 11 giugno 2004, una “Guida
operativa”.
Il Dps:
- va redatto o aggiornato entro il 31 marzo di ciascun
anno;
- non deve essere comunicato al Garante, ma
semplicemente conservato dal titolare presso la propria struttura per essere
esibito in occasione di eventuali accertamenti ispettivi (art. 34, comma 1,
lett. g) del Codice e regola 19 dell’Allegato B) al Codice);
- deve essere redatto dal “[...] titolare di un
trattamento di dati sensibili o giudiziari anche attraverso il responsabile, se
designato [...]” (regola 19 dell’All. B) cit.).
6. Il trasferimento di dati personali in paesi terzi
Nello svolgimento dell’attività di impresa può
risultare necessario trasferire dati personali fuori dell’Unione europea (ad
esempio relativi alla clientela o ai dipendenti). Il Codice prevede specifiche
regole al riguardo.
6.1. Quando si applica la disciplina del Codice in
materia di trasferimento di dati fuori dall’Unione europea?
La disciplina in materia di trasferimento di dati
fuori dall’Unione europea (Ue) riguarda principalmente i flussi di dati
personali verso i c.d. Paesi terzi, considerato che i Paesi situati all’interno
dell’Ue hanno attuato, nei rispettivi ambiti, la direttiva 95/46/Ce, adottando
specifiche normative in materia di protezione dei dati personali. Il loro
rispetto è considerato idoneo per trasferire dati nell’Ue (art. 42 del Codice).
6.2. In quali casi è consentito il trasferimento dei
dati fuori dall’Unione europea?
Il trasferimento è sempre consentito in varie ipotesi
(art. 43 del Codice), tra le quali, con particolare riferimento alle attività
d’impresa, possono ricordarsi i casi in cui:
- l’interessato ha manifestato il proprio consenso
espresso e, se si tratta di dati sensibili, in forma scritta;
- il trasferimento è necessario per eseguire obblighi
derivanti da un contratto del quale è parte l’interessato o per adempiere,
prima della conclusione del contratto, a specifiche richieste dell’interessato,
ovvero per la conclusione o per l’esecuzione di un contratto stipulato a favore
dell’interessato;
- il trasferimento è necessario per la salvaguardia di
un interesse pubblico rilevante individuato con legge o con regolamento;
- è necessario ai fini dello svolgimento delle
investigazioni difensive (legge 7 dicembre 2000, n. 397), o, comunque, per far
valere o difendere un diritto in sede giudiziaria;
- il trattamento concerne dati riguardanti persone
giuridiche, enti o associazioni.
6.3. Qualora non sussistano i presupposti sopra
indicati, in quali circostanze il trasferimento è comunque autorizzato?
Il trasferimento è consentito anche quando è
autorizzato dal Garante in presenza di adeguate garanzie per i diritti
dell’interessato:
- individuate dal Garante;
- in base alle decisioni di adeguatezza adottate dalla
Commissione europea in ordine al livello di protezione dei dati garantito
dall’ordinamento del Paese destinatario (artt. 25, par. 6, e 26, par. 4, della
direttiva 95/46/CE); (11)
- in base alla decisione di adeguatezza delle garanzie
contenute nel Safe Harbor per il trasferimento verso
organizzazioni stabilite negli Stati Uniti d’America che ad esso
aderiscono; (12)
- in base all’adozione di clausole contrattuali
standard tra “esportatore” e “importatore” di dati, il cui contenuto è stato
ritenuto idoneo dalla Commissione europea (artt. 25, par. 6, e 26, par. 4,
della direttiva 95/46/CE). (13)
7. I doveri del titolare del trattamento in caso di
esercizio dei diritti degli interessati ai sensi dell’art. 7 del Codice
La disciplina di protezione dei dati personali
attribuisce a ciascun interessato il diritto di accedere ai dati personali a sé
riferiti e di esercitare gli altri diritti previsti dall’art. 7 del
Codice. (14)
7.1. Cosa si deve fare quando l’interessato esercita
il diritto d’accesso?
Se l’interessato esercita il proprio diritto d’accesso
ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti,
il titolare del trattamento (o il responsabile) deve fornire riscontro (di
regola) entro quindici giorni dal ricevimento dell’istanza (art. 146 del
Codice).
7.2. Quali sono le conseguenze nel caso in cui non
venga fornito il riscontro all’interessato?
In caso di omesso o incompleto riscontro, i predetti
diritti possono essere fatti valere dinanzi all’autorità giudiziaria o con
ricorso al Garante (art. 145 del Codice).
8. Check list
La seguente lista di controllo è predisposta per i
“titolari del trattamento”; mira a riassumere, in forma interrogativa, i punti
sopra riassunti. La risposta negativa ad uno dei quesiti, denota un possibile
profilo critico dal punto di vista della protezione dei dati personali.
|
Quesiti |
SI |
NO |
|
1. I soggetti che effettuano il trattamento |
||
|
È stata effettuata una valutazione circa le
operazioni di trattamento di dati personali, anche sensibili, effettuate
dall’impresa? |
|
|
|
I dati trattati sono pertinenti e non eccedenti
rispetto alle legittime finalità del trattamento, oltre che esatti e
aggiornati? |
|
|
|
Le persone fisiche che all’interno dell’impresa
trattano dati personali sono state designate tutte quali “incaricate del
trattamento”? |
|
|
|
Sono state fornite a tutti gli “incaricati del
trattamento” istruzioni scritte circa i propri compiti? |
|
|
|
Se all’interno dell’impresa sono stati individuati
soggetti che hanno ambiti di autonomia nel trattamento dei dati personali,
sono stati designati per iscritto “responsabili del trattamento”? |
|
|
|
Se fuori dell’impresa enti o persone fisiche
trattano dati personali nel suo interesse, obbligati a seguirne le istruzioni
(come accade per i casi di outsourcing), sono stati designati per iscritto
quali “responsabili del trattamento”? |
|
|
|
2. La notificazione del trattamento |
||
|
Si è verificato, prima di intraprendere operazioni
di trattamento, se l’impresa effettua i trattamenti da notificare al Garante? |
|
|
|
Se sono intervenute modificazioni relativamente ai
trattamenti già eventualmente notificati, è stato curato il loro
aggiornamento in una nuova notificazione? |
|
|
|
Se cessano i trattamenti, ciò ha formato oggetto di
specifica notificazione? |
|
|
|
3. L’informativa |
||
|
È stata fornita l’informativa agli interessati in
caso di dati raccolti presso di essi? |
|
|
|
È stata fornita l’informativa agli interessati in
caso di dati raccolti presso soggetti diversi dagli interessati stessi? |
|
|
|
4. Il consenso dell’interessato |
||
|
Il trattamento dei dati personali viene effettuato
in presenza di uno dei presupposti di liceità indicati all’art. 24 del
Codice? |
|
|
|
Se non ricorre uno dei presupposti di liceità
indicati all’art. 24 del Codice, è stato raccolto il consenso dell’interessato? |
|
|
|
Se sono trattati dati sensibili è stato raccolto il
consenso scritto degli interessati? |
|
|
|
Se sono trattati dati sensibili, è stato verificato
se il trattamento rientra tra quelli già autorizzati dal Garante con le
autorizzazioni generali? |
|
|
|
Se il trattamento di dati sensibili non rientra tra
quelli previsti dalle autorizzazioni generali, è stata richiesta al Garante
un’autorizzazione ad hoc? |
|
|
|
5. La sicurezza dei dati |
||
|
Sono state adottate idonee misure di sicurezza per
proteggere i dati personali? |
|
|
|
Sono state adottate le misure minime di sicurezza
previste per proteggere i dati personali? |
|
|
|
Se sono trattati dati sensibili e giudiziari, è
stato redatto, quando è necessario, il documento programmatico per la
sicurezza e ne vengono osservate le previsioni? |
|
|
|
Periodicamente, e comunque entro il 31 marzo di
ciascun anno, formano oggetto di rinnovata valutazione le misure di sicurezza
individuate con il documento programmatico per la sicurezza? |
|
|
|
6. Il trasferimento dei dati in paesi terzi |
||
|
Se i dati personali trattati dall’impresa sono
soggetti a trasferimento verso Paesi terzi (esterni all’Unione europea e
all’area economica europea), il trasferimento avviene: - in presenza di una delle condizioni previste
dall’art. 43 del Codice? Oppure - verso uno dei paesi che assicurano un livello
adeguato di protezione (Svizzera, Argentina, Isola di Man, Baliato di Guernsey)? oppure - verso un’impresa statunitense che aderisce al Safe Harbor? oppure - in presenza di clausole contrattuali standard tra
esportatore e importatore? oppure - in presenza di
un’autorizzazione ad hoc da parte del Garante? |
||
|
7. I doveri del titolare del trattamento in caso di
esercizio dei diritti degli interessati ai sensi dell’art. 7 del Codice |
||
|
In presenza dell’esercizio del diritto d’accesso,
viene dato riscontro all’interessato secondo le modalità previste dalla
legge? |
|
|
(1) La guida ha
mero valore indicativo ed esemplificativo rispetto al contenuto delle
disposizioni normative, alla cui osservanza chiunque resta vincolato.
(2) In
relazione al trattamento dei dati personali dei dipendenti si vedano altresì
le “Linee guida in materia di
trattamento di dati personali di lavoratori per finalità di gestione del
rapporto di lavoro alle dipendenze di datori di lavoro privati” , doc. web
n. 1364099.
(3) In materia v. il provvedimento generale del 30 novembre 2005 , doc. web n. 1213644.
(4) Così, in
un’azienda nella quale ad una unità organizzativa sono stati assegnati un
determinato numero di dipendenti, si potrà ovviare ad una formale designazione
(ad esempio, mediante consegna di apposita comunicazione scritta), qualora si
individuino gli ambiti di competenza (in ordine ai trattamenti di dati
consentiti) di quella unità mediante una previsione scritta (ad es.
nell’organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che
tali dipendenti sono stati assegnati stabilmente a tale unità.
(5) Specifiche indicazioni sono contenute anche nel
provvedimento del Garante del 31 marzo 2004 Provvedimento relativo ai casi da
sottrarre all’obbligo di notificazione, in G.U. del 6 aprile 2004, n. 81 e in
www.garanteprivacy.it, doc. web 852561.
V. pure, Chiarimenti sui trattamenti da
notificare al Garante , 23 aprile 2004, doc. web. n. 993385.
(6) V. in materia Provv. 22 febbraio 2007 , doc. web n. 1389918.
(7) Art. 24.
Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi
previsti nella Parte II, quando il trattamento:
a) è necessario per adempiere ad un obbligo previsto
dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un
contratto del quale è parte l’interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste dell’interessato;
c) riguarda dati provenienti da pubblici registri,
elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le
modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono
per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività
economiche, trattati nel rispetto della vigente normativa in materia di segreto
aziendale e industriale;
e) è necessario per la salvaguardia della vita o
dell’incolumità fisica di un terzo. Se la medesima finalità riguarda
l’interessato e quest’ultimo non può prestare il proprio consenso per
impossibilità fisica, per incapacità di agire o per incapacità di intendere o
di volere, il consenso è manifestato da chi esercita legalmente la potestà,
ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui dimora l’interessato. Si
applica la disposizione di cui all’articolo 82, comma 2;
f) con esclusione della diffusione, è necessario ai
fini dello svolgimento delle investigazioni difensive di cui alla legge 7
dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in
sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario al loro perseguimento, nel
rispetto della vigente normativa in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, è necessario, nei
casi individuati dal Garante sulla base dei princìpi
sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un
terzo destinatario dei dati, anche in riferimento all’attività di gruppi
bancari e di società controllate o collegate, qualora non prevalgano i diritti
e le libertà fondamentali, la dignità o un legittimo interesse
dell’interessato;
h) con esclusione della comunicazione all’esterno e
della diffusione, è effettuato da associazioni, enti od organismi senza scopo
di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi
contatti regolari o ad aderenti, per il perseguimento di scopi determinati e
legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto
collettivo, e con modalità di utilizzo previste espressamente con determinazione
resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13;
i) è necessario, in conformità ai rispettivi codici di
deontologia di cui all’allegato A), per esclusivi scopi scientifici o
statistici, ovvero per esclusivi scopi storici presso archivi privati
dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del
decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in
materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi
codici, presso altri archivi privati.
(8) V., allo stato, l’Autorizzazione n. 1/2005 al
trattamento dei dati sensibili nei rapporti di lavoro - 21 dicembre 2005, in
G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web 1203930; Autorizzazione n. 2/2005 al
trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale -
21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc.
web 1203946; Autorizzazione n. 3/2005
al trattamento dei dati sensibili da parte degli organismi di tipo
associativo e delle fondazioni - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio
2006 Suppl. Ordinario n. 1 e doc. web n.
1203934; Autorizzazione n. 4/2005 al trattamento dei dati sensibili da parte
dei liberi professionisti - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006
Suppl. Ordinario n. 1 e doc. web n.
1203954; Autorizzazione n.
5/2005 al trattamento dei dati sensibili
da parte di diverse categorie di titolari - 21 dicembre 2005, in G.U. n. 2 del
3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n. 1203938; Autorizzazione n. 6/2005
al trattamento dei dati sensibili da parte degli investigatori privati -
21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc.
web n. 1203950; Autorizzazione n. 7/2005
al trattamento dei dati a carattere giudiziario da parte di privati, di
enti pubblici economici e di soggetti pubblici - 21 dicembre 2005, in G.U. n. 2
del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n. 1203942.
(9) Tuttavia
“se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il
diritto deve essere di rango pari a quello dell’interessato, ovvero consistente
in un diritto della personalità o in un altro diritto o libertà fondamentale e
inviolabile”.
(10) Le misure
minime di sicurezza contenute nell’allegato B) del Codice riguardano anzitutto
i trattamenti effettuati con strumenti elettronici: esse comprendono un sistema
di autenticazione informatica con credenziali di autenticazione (cioè, un
codice per l’identificazione dell’incaricato associato a una parola chiave),
programmi per elaboratore volti a prevenirne la vulnerabilità (ad esempio,
antivirus), procedure per realizzare il salvataggio periodico dei dati (c.d.
procedure di back up ) e la redazione di un documento programmatico sulla
sicurezza in caso di trattamento di dati sensibili. Per i trattamenti
effettuati senza l’ausilio di strumenti elettronici rientrano tra le misure
minime le istruzioni scritte finalizzate al controllo ed alla custodia dei dati
impartite agli incaricati e l’uso di contenitori o locali con idonea serratura
per custodire i dati personali.
(11) Per
l’Argentina, Decisione della Commissione del 30 giugno 2003, n. 2003/490/CE;
per il Canada, Decisione della Commissione del 20 dicembre 2001, n. 2002/2/CE;
per il Baliato di Guernesy,
Decisione della Commissione del 21 novembre 2003, n. 2003/821/CE; per l’Isola
di Man, Decisione della Commissione del 28 aprile 2004, n. 2004/411/CE; per la
Svizzera, Decisione della Commissione del 26 luglio 2000, n. 2000/518/CE. In
relazione ad esse v., nell’ordine, le autorizzazioni rilasciate dal
Garante: Autorizzazione del 9 giugno
2005 in G.U. del 25 luglio 2005, n. 171,
doc. web n. 1151846; Autorizzazione del
30 aprile 2003 in G.U. n. 191 del 19
agosto 2003, doc. web n. 1075324;
Autorizzazione del 7 settembre 2004 in
G.U. del 22 luglio 2005, n. 169, doc. web n.
1139333; Autorizzazione del 9 giugno 2005 in G.U. del 25 luglio 2005, n. 171, doc. web
n. 1151889; Autorizzazione del 17
ottobre 2001 in G.U. del 26 novembre
2001 n. 275 - Suppl. Ordinario n. 250, doc. web n. 39428.
(12) Cfr.
Decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE e la
correlativa l’ Autorizzazione del 10 ottobre 2001 (in G.U. 26 novembre 2001), doc. web n. 39939. Le organizzazioni aderenti al Safe Harbor sono pubblicate sul sito web:
www.export.gov/....
(13) Cfr.
Decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/Ce,
relativa alle clausole contrattuali tipo per il trasferimento di dati personali
a “incaricati” del trattamento residenti in paesi terzi, a norma della
direttiva 95/46/Ce (e correlativa deliberazione del Garante n. 3 del 10 aprile 2002 , doc. web n. 1065361); Decisione della Commissione europea
del 15 giugno 2001, n. 2001/497/CE, relativa alle clausole contrattuali tipo
per il trasferimento di dati a carattere personale verso paesi terzi a norma
della direttiva 95/46/Ce (e correlativa deliberazione del Garante del 10 ottobre 2001 , doc. web 42156). La Commissione ha altresì individuato
un modello alternativo di clausole contrattuali tipo (definito Insieme II) con
la decisione del 27 dicembre 2004, n. 2004/915/Ce (e la correlativa
autorizzazione del Garante del 9 giugno
2005 , doc. web n. 1151949 ).
(14) Art. 7. Diritto di accesso ai dati personali ed
altri diritti.
1. L’interessato ha diritto di ottenere la conferma
dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora
registrati, e la loro comunicazione in forma intelligibile.
2. L’interessato ha diritto di ottenere l’indicazione:
a) dell’origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento
effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili
e del rappresentante designato ai sensi dell’articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali
i dati personali possono essere comunicati o che possono venirne a conoscenza
in qualità di rappresentante designato nel territorio dello Stato, di
responsabili o incaricati.
3. L’interessato ha diritto di ottenere:
a) l’aggiornamento, la rettificazione ovvero, quando
vi ha interesse, l’integrazione dei dati;
b) la cancellazione, la trasformazione in forma
anonima o il blocco dei dati trattati in violazione di legge, compresi quelli
di cui non è necessaria la conservazione in relazione agli scopi per i quali i
dati sono stati raccolti o successivamente trattati;
c) l’attestazione che le operazioni di cui alle
lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il
loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi,
eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un
impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L’interessato ha diritto di opporsi, in tutto o in
parte:
a) per motivi legittimi al trattamento dei dati
personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano
a fini di invio di materiale pubblicitario o di vendita diretta o per il
compimento di ricerche di mercato o di comunicazione commerciale.