Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Doveri e responsabilità*



Tutti possono liberamente raccogliere, per uso strettamente personale, dati personali riguardanti altri individui, a patto di non diffonderli o comunicarli sistematicamente a terzi. (Un esempio: i dati raccolti per uso personale nelle proprie agende cartacee o elettroniche)

 

Quando però i dati sono raccolti e utilizzati per altre finalità (ad esempio, un'azienda che vuole vendere prodotti, un professionista che vuole pubblicizzare i suoi servizi, un'associazione che vuole trovare nuovi iscritti, un partito che fa propaganda politica, ecc.), il trattamento dei dati personali deve rispettare alcune regole:

 

Informativa

 

Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve prima fornire all'interessato alcune informazioni (articolo 13 del Codice) per  metterlo nelle condizioni di esercitare i propri diritti (articolo 7 del Codice).

In particolare, l'informativa deve spiegare:

a) in che modo e per quale scopo verranno trattati i propri dati personali;
b) se il conferimento dei propri dati personali è obbligatorio o facoltativo;
c) le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
d) a chi saranno comunicati o se saranno diffusi i propri dati personali;

e) i diritti previsti dall'articolo 7 del Codice;
f) chi è il titolare e (se è stato designato) il responsabile del trattamento.

Se i dati personali sono stati raccolti da altre fonti (ad esempio, archivi pubblici, familiari dell'interessato, ecc.), cioè non direttamente presso l'interessato, l'informativa deve essere resa:

-  quando i dati sono registrati

oppure

- non oltre la prima comunicazione a terzi


L'omessa o inidonea informativa è punita con la sanzione amministrativa del pagamento di una somma da seimila euro a trentaseimila euro (articolo 161 del Codice).

 

 
Consenso

 

Soggetti privati e enti pubblici economici

Fatte salve alcune eccezioni, per i soggetti privati e gli enti pubblici economici il trattamento di dati personali è possibile con il consenso dell'interessato documentato per iscritto (articolo 23 del Codice), che è valido se:

  • all'interessato è stata resa l'informativa (articolo 13 del Codice);
  • è stato espresso dall'interessato liberamente e specificamente in riferimento ad un trattamento chiaramente individuato (oppure a singole operazioni di trattamento)

Soggetti pubblici

Le pubbliche amministrazioni non devono richiedere il consenso dell'interessato, purché il trattamento sia effettuato nell'ambito dello svolgimento delle proprie funzioni istituzionali (articolo 18 del Codice).

Il trattamento di dati personali effettuato in violazione dell'articolo 23 del Codice è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis, del Codice).

 

 

 

 

 

 

Modalità del trattamento   Misure di sicurezza

 

Il trattamento deve avvenire riducendo al minimo l'utilizzo di dati personali (principio di necessità  - articolo 3 del Codice), oltre che nel rispetto dei seguenti principi (articolo 11 del Codice):

  • liceità e correttezza del trattamento;
  • finalità del trattamento;
  • esattezza e aggiornamento dei dati;
  • pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento;
  • conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento.
 

 

Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta (articolo 31 del Codice).

In particolare, il titolare deve adottare le misure minime di sicurezza (articolo 33 del Codice e Allegato B al Codice) volte ad assicurare un livello minimo di protezione dei dati personali.

L'omessa applicazione delle misure minime di sicurezza è punita con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro ( articolo  162, comma 2 bis  del Codice) e con la sanzione penale dell'arresto fino a 2 anni (articolo 169 del Codice).

 

Notificazione   Verifica preliminare

 

Nei casi espressamente indicati, che presentano rischi particolari legati alla tutela dei diritti e delle libertà delle persone interessate, il titolare deve notificare al Garante per la protezione dei dati personali l'intenzione di effettuare un trattamento prima di iniziarlo (articolo 37 del Codice).

L'omessa, ritardata o incompleta notificazione del trattamento, quando prevista, è punita con la sanzione amministrativa del pagamento di una somma da ventimila euro a centoventimila euro (articolo 163 del Codice).

 

 

Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti rischi specifici per i diritti e le libertà fondamentali ovvero per la dignità delle persone in relazione:

  • alla natura particolare dei dati trattati (ad esempio: dati biometrici);
  • oppure, alle modalità del trattamento (ad esempio: sistemi di raccolta delle immagini associate a dati biometrici);
  • oppure, agli effetti che il trattamento può determinare.

il Garante per la protezione dei dati personali - su richiesta del titolare o d'ufficio - effettua una verifica preliminare all'inizio del trattamento, a seguito della quale può prescrivere misure ed accorgimenti particolari a tutela dell'interessato (articolo 17 del Codice).

Il trattamento di dati personali effettuato in violazione dell'articolo 17 del Codice è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice).

 

     

 

TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI

Soggetti privati e enti pubblici economici

I soggeti privati e gli enti pubblici economici possono effettuare un trattamento di:

- dati sensibili con il consenso scritto dell'interessato e previa autorizzazione del Garante per la protezione dei dati personali (articolo 26 del Codice), salvo alcune eccezioni specificamente previste;

- dati giudiziari se autorizzati da una espressa disposizione di legge o da un  provvedimento del Garante per la protezione dei dati personali (articolo 27 del Codice).

Soggetti pubblici

Le pubbliche amministrazioni possono effettuare un trattamento di dati sensibili e dati giudiziari sulla base delle disposizioni specifiche previste dagli articoli 20, 21 e 22 del Codice in materia di protezione dei dati personali.

 

 

 

TRASFERIMENTO DEI DATI ALL'ESTERO
(vedi anche la sezione del sito dedicata al tema)

Verso Paesi appartenenti all'Unione europea

Le legislazioni dei Paesi aderenti all'Unione europea (adottate in attuazione della direttiva comunitaria 95/46/CE) sono considerate equivalenti in relazione all'adeguata tutela in materia di protezione dei dati personali. Il trasferimento attraverso o verso questi Paesi non è  quindi soggetto a particolari restrizioni (articolo 42 del Codice).

Verso Paesi non appartenenti all'Unione europea

Il  trasferimento di dati personali verso Paesi non appartenenti all'Unione europea è possibile quando:

- ricorre una delle condizioni  previste dall'articolo 43 del Codice in materia di protezione dei dati personali

- oppure, è autorizzato dal Garante per la protezione dei dati personali sulla base di adeguate garanzie per i diritti dell'interessato (articolo 44 del Codice)

Fuori da questi casi, il trasferimento è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati personali non assicura un livello adeguato di tutela delle persone (articolo 45 del Codice).

Il trasferimento di dati personali effettuato in violazione dell'articolo 45 del Codice è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice).

 

 

 

CESSAZIONE DEL TRATTAMENTO

In caso di cessazione del trattamento, i dati personali devono essere (articolo 16 del Codice):

a) distrutti;

b) ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;

c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;

d) conservati o ceduti ad altro titolare per scopi storici, statistici o scientifici.

 

 
Per ulteriori informazioni è anche possibile contattare l'Ufficio relazioni con il pubblico (URP) del Garante
  * (Scheda di sintesi redatta dall'Ufficio del Garante a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell'Autorità. Per dubbi e domande si suggerisce di contattare l'Urp del Garante)