800 likes | 960 Views
D.lgs. 30 Giugno 2003 n. 196 Codice della privacy.
E N D
D.lgs. 30 Giugno 2003 n. 196Codice della privacy Il Codice della privacy - in vigore dal 1° gennaio 2004 - riunisce in un Testo Unico la nota legge 675/1996 - ora abrogata - e gli altri decreti legislativi disciplinanti trattamenti di dati personali in particolari settori, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene altresì rilevanti innovazioni tenendo conto dei più importanti provvedimenti e decisioni adottati dall’Autorità Garante per la protezione dei dati personali e della direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche.
Struttura del Codice della Privacy Il Codice è diviso in tre parti: la prima (artt. 1-45) dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato.
Struttura del Codice della Privacy la seconda (artt. 46- 140) è la parte speciale dedicata a specifici settori: questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti debitori), completa anche la disciplina attesa da tempo per il settore degli organismi sanitari e quella dei controlli sui lavoratori.
Struttura del Codice della Privacy la terza (artt. 141-186) affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all'Ufficio del Garante.
Notificazione del trattamento (art. 37) Una delle principali semplificazioni riguarda l’adempimento della notificazione al Garante, ovvero dell’atto con cui l'impresa, il professionista o la pubblica amministrazione segnala all'Autorità i trattamenti di dati che si intendono effettuare. Mentre con l'originale impianto della legge 675/1996, e le successive modificazioni, dovevano notificare tutti i soggetti non esplicitamente esentati, nel testo unico si rovescia l'impostazione e si indicano solo i pochi casi nei quali la notifica va effettuata.
Casi di notificazione obbligatoria Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
Casi di notificazione obbligatoria b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
Casi di notificazione obbligatoria c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
Casi di notificazione obbligatoria d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
Casi di notificazione obbligatoria e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
Altri casi di notificazione del trattamento (art. 17) Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, o per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, prescritti dal Garante nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
Deroghe ai casi di notificazione obbligatoria (art. 37. co. 2) Il Garante può anche individuare, con proprio provvedimento pubblicato sulla G.U., casi che - pur rientrando nell’elencazione tassativa di trattamenti di dati personali per cui è obbligatoria la notificazione - non sono comunque suscettibili di recare un effettivo pregiudizio all’interessato, e può dunque disporre l’esonero dall’obbligo di notificazione.
Modalità della Notificazione del trattamento La notificazione: 1. è effettuata con unico atto anche quando il trattamento comporta il trasferimento all'estero dei dati; 2. è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e può anche riguardare uno o più trattamenti con finalità correlate.
Modalità della Notificazione del trattamento 3. la notificazione è validamente effettuata solo se è trasmessa per via telematica utilizzando il modello predisposto dal Garante, se è sottoscritta con firma digitale e corredata della conferma del ricevimento della notificazione. 4. una nuova notificazione è richiesta solo anteriormente alla cessazione del trattamento o al mutamento di taluno degli elementi da indicare nella notificazione medesima.
Disciplina delle notificazioni già effettuate Tutti i soggetti tenuti alla notifica sono obbligati all'adempimento previsto sia nel caso che inizino il trattamento ora sia nel caso di trattamento già in essere alla data di entrata in vigore del Codice. Anche chi ha già effettuato in passato la notifica al garante (rispettando la vecchia legge 675/96) deve rifarla se si trova nelle condizioni previste dall'articolo 37 del Codice della privacy.
Disciplina delle notificazioni già effettuate La notificazione va ripetuta utilizzando esclusivamente il modello telematico reperibile sul sito ufficiale del garante (www.garanteprivacy.it) da inviare, sottoscritto con firma digitale, in via telematica. Per i casi in cui la notificazione già effettuata va ripetuta in via telematica il termine ultimo è quello del 30 aprile 2004. Il costo degli adempimenti è di circa 150 euro per ogni notifica. .
Acquisizione della firma digitale La sottoscrizione del modello di notificazione con firma digitale è obbligatoria. Chi non dispone della firma digitale la deve ottenere da un ente convenzionato con il Garante (attualmente le Poste) prima di cominciare il trattamento, onde evitare le sanzioni amministrative previste dal Codice per omessa o incompleta notifica. Chi invece dovesse rendere dichiarazioni false va incontro a sanzioni penali.
Obblighi per soggetti non tenuti alla notificazione Il titolare del trattamento che non è tenuto alla notificazione deve comunque fornire tutte le informazioni richieste dal modello di notificazione a chiunque ne faccia richiesta, salvo che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.
Informativa agli Interessati (art. 13) 1.Rimane fermo l'adempimento dell'informativa agli interessati preventiva al trattamento dei dati personali. 2. Il Garante può individuare modalità semplificate per l’informativa all’interessato, in particolare quando essa è resa da call-center.
Informativa agli Interessati (art. 13) 3. In attuazione di una specifica previsione della direttiva europea n. 95/46, quando l’informativa riguarda dati non raccolti presso l’interessato, essa deve contenere anche le "categorie di dati trattati". 4. Il Garante può prescrivere misure appropriate a garanzia dell’interessato quando l’informativa non è dovuta perché comporta un impiego di mezzi che il Garante stesso giudichi manifestamente sproporzionati o risulti impossibile (es: in caso di cartolarizzazione).
Consenso (art. 23) Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
Consenso (art. 23) Il consenso: 1. può riguardare l'intero trattamento ovvero una o più operazioni dello stesso; 2. è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13; 3. è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
Consenso (art. 23) Il Codice della Privacy sviluppa il principio del bilanciamento degli interessi con uno snellimento degli adempimenti a carico delle aziende. L'area del consenso viene sostanzialmente confermata per ipotesi già esistenti (artt. 11, 12 e 20 della legge 675/1996), con la previsione di alcune altre ipotesi di esonero con riferimento a settori specifici.
Consenso (art. 23) L’utilizzo dei dati per perseguire un legittimo interesse del titolare con particolare riferimento all’attività dei gruppi bancari e per i trattamenti effettuati da associazioni no profit con riferimento a soci e aderenti può essere effettuato senza la richiesta preventiva di consenso.
Consenso (art. 23) Per quanto riguarda i riguarda i dati comuni, il Codice chiarisce meglio che il consenso al trattamento dei dati personali deve essere “espresso liberamente e specificamente in riferimento al trattamento chiaramente individuato,” e non solo reso “in forma specifica”, in linea con quanto già richiesto dalla direttiva europea 95/46.
Casi in cui il trattamento può essere effettuato senza consenso L’articolo 24 del Codice riunisce in una unica disposizione tutte le previgenti norme della L. 675/1996 che autorizzano il trattamento di dati personali anche in assenza del consenso, unificando i previgenti articoli 12 e 20 della legge n. 675/1996 e dettando una unica disciplina anche per quanto riguarda la comunicazione o diffusione dei dati personali non basata sul previo consenso.
Deroghe al consenso di interesse per le imprese E’ stato meglio specificato il presupposto di liceità del trattamento in assenza di consenso relativo alla sussistenza di un obbligo legale, riferita ora correttamente alla necessità di adempiere comunque ad un obbligo previsto dalla legge, e non più solo al caso di "dati raccolti e detenuti" in base al medesimo obbligo.
Deroghe al consenso di interesse per le imprese Si è chiarito che il trattamento è consentito quando è comunque necessario per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato e non solo per eseguire “misure” precontrattuali su richiesta del medesimo interessato. Quest'ultimo intervento è ripetuto in maniera speculare nell'articolo 43 (già 28 della legge n. 675/1996), in relazione al trasferimento di dati all'estero.
Deroghe al consenso di interesse per le imprese Si è esteso l'esonero dall'obbligo di acquisire il consenso ai trattamenti in ambito “interno” effettuati da organismi "no-profit" anche in relazione a dati comuni, in conformità a quanto già previsto per i dati sensibili, a condizione che le modalità di utilizzo dei dati siano esplicitate in un'apposita determinazione resa nota agli associati con l'informativa (analoga condizione è stata inserita per i trattamenti di dati sensibili).
Titolare del Trattamento Per quanto riguarda i soggetti che effettuano il trattamento, rispetto alla normativa previgente, l'art. 28 chiarisce che nel caso in cui il trattamento è effettuato da una persona giuridica, da una pubblica amministrazione o da altro ente, “titolare” è l'entità nel suo complesso, oppure l'unità periferica che esercita un potere decisionale autonomo sulle finalità del trattamento, anziché la persona fisica incardinata nell'organo o preposta all'ufficio.
Responsabile del Trattamento L'art. 29, per fugare ogni possibile dubbio interpretativo emerso in qualche caso, chiarisce ancor più che la nomina del responsabile è meramente facoltativa e compete al solo titolare.
Responsabile del Trattamento Inoltre: 1. se designato, il responsabile è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza. 2. ove necessario per esigenze organizzative, possono essere designati responsabili più soggetti, anche mediante suddivisione di compiti. 3. i compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.
Incaricati del Trattamento L’art. 30 chiarisce che alla designazione espressa e specifica degli incaricati - da effettuarsi in ogni caso per iscritto e con riguardo a specifiche mansioni - è "parificata" la preposizione della persona fisica ad una unità organizzativa per la quale sia individuato per iscritto l'ambito del trattamento consentito agli addetti ivi preposti. Tale previsione rappresenta un’indubbia forma di semplificazione dell'adempimento per i titolari o responsabili.
Incaricati del Trattamento Inoltre: 1. le operazioni di trattamento possono essere effettuate solo da incaricati persone fisiche che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. 2. la designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito.
Violazioni Amministrative Art. 161 Omessa o inidonea informativa all'interessato Sanzione amministrativa da 3.000 a 18.000 Euro Sanzione amministrativa da 5.000 a 30.000 Euro per omessa informativa nei trattamenti di dati sensibili o giudiziari, per trattamenti che presentano rischi specifici o per grave pregiudizio dell’interessato. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.
Violazioni Amministrative Art. 163 Omessa o incompleta notificazione Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.
Violazioni Amministrative Art. 164 Omessa informazione o esibizione al Garante Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante è punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattromila euro. Per tutte le violazioni amministrative menzionate dal Codice può applicarsi la sanzione accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali.
Sanzioni Penali Art. 167 Trattamento illecito di dati Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione del Codice relativamente a: a) principi applicabili ai trattamenti di dati ordinari; b) norme sul consenso;
Sanzioni Penali Art. 167 Trattamento illecito di dati c) norme sul trattamento di dati relativi al traffico telefonico o a servizi di comunicazione elettronica; d) norme su comunicazioni elettroniche non sollecitate; è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
Sanzioni Penali Art. 167 Trattamento illecito di dati Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione del Codice relativamente a:
Sanzioni Penali Art. 167 Trattamento illecito di dati a) principi applicabili ai trattamenti che presentano rischi specifici e requisiti dei dati; b) principi applicabili al trattamento di dati sensibili o giudiziari, incluse le operazioni di comunicazione o diffusione ; c) norme su trasferimenti all’estero dei dati personali, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
Sanzioni Penali Art.168Falsità nelle dichiarazioni e notificazioni al Garante Chiunque, nella notificazione o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.
Sanzioni Penali Art. 169Misure di sicurezza Chiunque, essendovi tenuto, omette di adottare le misure minime di sicurezza è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. E’ comunque previsto un un termine per la regolarizzazione. Se risulta l'adempimento, l'autore del reato può pagare una somma pari al quarto del massimo dell'ammenda, estinguendo il reato.
Sanzioni Penali Art.170Inosservanza di provvedimenti del Garante Chiunque, essendovi tenuto, non osserva taluni provvedimenti adottati dal Garante è punito con la reclusione da tre mesi a due anni.
Sanzioni per illecito trattamento dei dati dei lavoratori I trattamenti di dati personali dei lavoratori che costituiscono violazione degli articoli 8 (Divieto di indagini sulle opinioni dei lavoratori) e 4 (Controllo a distanza dei lavoratori)dello Statuto dei Lavoratori (L. 300/1970) è punita ai sensi dell’articolo 38 della medesima L. 300/1970.
Sanzioni per illecito trattamento dei dati dei lavoratori In tali casi, il reato è punito, salvo che il fatto non costituisca più grave reato, con l'ammenda da € 51,16 ad € 516 o con l'arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente. Quando, per le condizioni economiche del reo, l'ammenda può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo.
Responsabilità Civile Art. 15Danni cagionati per effetto del trattamento Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Il danno non patrimoniale è risarcibile anche in caso di violazione delle norme del Codice che fissano le prescrizioni in materia di modalità del trattamento e requisiti dei dati.
Le norme del Codice sui rapporti di lavoro Titolo VII - Lavoro e Previdenza sociale. Capo I - Profili generali. Art.111 Codice di deontologia e di buona condotta. Art.112 Finalità di rilevante interesse pubblico. Capo II - Annunci di lavoro e dati riguardanti prestatori di lavoro. Art.113 Raccolta di dati e pertinenza.
Le norme del Codice sui rapporti di lavoro Capo III - Divieto di controllo a distanza e telelavoro. Art.114 Controllo a distanza. Art.115 Telelavoro e lavoro a domicilio. Capo IV - Istituti di patronato e di assistenza sociale. Art.116 conoscibilità di dati su mandato dell'interessato.
Il Codice Deontologico sul trattamento di dati nei rapporti di lavoro Il d.lgs 467/2001 prevede, tra gli altri, l’adozione di un codice deontologico relativo ai trattamenti di dati personali effettuati per finalità previdenziali o per la gestione del rapporto di lavoro, con previsione di specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione di annunci per finalità di occupazione ed alla ricezione di curricula vitae contenenti dati personali anche sensibili.