NORME SU PRIVACY

NORME SU PRIVACY (Reg. 679/16; Legge 167/17; D.Lgs. 196/03, 51/18, 101/18)       (social21)

Soggetti interessati:

Garante della privacy (Garante), tutti i cittadini e le imprese.

Iter procedurale:

D.Lgs. 196/03, come modificato da ultimo da D.Lgs. 101/18, definisce le norme in materia di protezione dei dati personali che prevede, tra l’altro, ad:

Art. 1 trattamento dei dati personali avviene nel rispetto del presente Codice e “della dignità umana, diritti e libertà fondamentali della persona”

Art. 2 codice in questione reca le disposizioni nazionali della Legge 679/16

Art. 2 bis Autorità di controllo è individuata nel Garante per la protezione dei dati personali (Garante)

Art. 2 ter comunicazione tra titolari che eseguono trattamenti di dati personali diversi da quelli compresi in particolari categorie del Reg. 679/16 e da quelli relativi a condanne penali e reati per esecuzione di compiti di interesse pubblico è ammessa se è prevista dal Reg. 679/16, o se è necessaria per lo svolgimento di compiti di interesse pubblico e di funzioni istituzionali e può essere iniziata se trascorsi 45 giorni dalla comunicazione al Garante questo non ha adottato misure a garanzia degli interessati. Diffusione di dati personali per l’esecuzione di compiti di interesse pubblico o connessi all’esercizio di poteri pubblici sono ammessi se previsti dal Reg. 679/16

Art. 2 quater Garante adotta regole deontologiche per trattamento dei dati, il cui schema è sottoposto alla consultazione pubblica per almeno 60 giorni (conclusa la consultazione, regole sono approvate dal Garante e pubblicate su GU), ne verifica la conformità alle disposizioni vigenti e contribuisce alla loro diffusione e rispetto (tali regole costituiscono condizioni essenziali per “liceità e correttezza del trattamento dei dati personali”)

Art. 2 quinquies minore con oltre 14 anni può esprimere consenso al trattamento dei propri dati personali (Per minore con meno di 14 anni, tale operazione è svolta da chi esercita la responsabilità genitoriale) in relazione all’offerta di servizi da parte della società di informazione che deve essere redatta con linguaggio “chiaro e semplice, conciso ed esaustivo, facilmente comprensibile dal minore”

Art. 2 sexies trattamento dei dati personali per motivi di interesse pubblico sono ammessi se previsti dal diritto UE o nazionale e riguardano:

a)accesso ai documenti amministrativi ed accesso civico;

b)tenuta degli atti e dei registri di stato civile; anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all’estero; liste elettorali; rilascio di documenti di riconoscimento, o di viaggio, o di cambiamento di generalità;

c)tenuta dei registri pubblici relativi a beni mobili o immobili;

d)tenuta di: anagrafe nazionale dei soggetti abilitati alla guida; archivio nazionale dei veicoli;

e)cittadinanza, immigrazione, asilo, condizione di straniero e di profugo, stato di rifugiato;

f)elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare; documentazione inerente ad attività istituzionale degli organi pubblici (in particolare: redazione di verbali e di resoconti dell’attività delle assemblee rappresentative; commissioni ed altri organi collegiali ed assembleari);

g)esercizio del mandato degli organi rappresentativi, compresa: loro sospensione o scioglimento; accertamento delle cause di ineleggibilità, incompatibilità, decadenza o rimozione/sospensione da cariche pubbliche;

h)svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare, accesso a documenti riconosciuto dalla legge e dai regolamenti interni per esclusive finalità connesse all’espletamento del mandato elettivo;

i)attività di soggetti pubblici diretti ad applicare le disposizioni vigenti in materia tributaria e doganale;

j)attività di controllo ed ispettiva;

k)concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, altri emolumenti e abilitazioni

l)conferimento di onorificenze e di compensi, riconoscimento di personalità giuridica ad Associazioni, fondazioni, Enti (anche di culto); accertamento dei requisiti di onorabilità e professionalità a fini di nomina; profili di competenza del soggetto ad uffici pubblici ed a cariche direttive di impresa giuridica, istituzioni scolastiche non statali; rilascio e revoca di autorizzazioni o di abilitazioni; concessione di patrocini e premi di rappresentanza, adesione a Comitati di onore; ammissione a cerimonie e ad incontri istituzionali;

m)rapporti tra soggetti pubblici ed Enti del terzo settore;

n)obiezione di coscienza;

o)attività sanzionatoria e di tutela in sede amministrativa o giudiziaria;

p)rapporti istituzionali con Enti di culto, confessione e comunità religiose;

q)attività socio assistenziali a tutela dei minori e di soggetti bisognosi, non autosufficienti, incapaci;

r)attività amministrative e certificative connesse a diagnosi, assistenza o terapia sanitaria o sociale (comprese quelle correlate a: trapianti di organi e tessuti; trasfusioni di sangue);

s)compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario; compiti di igiene e sicurezza sui luoghi di lavoro; sicurezza e salute della popolazione; protezione civile; salvaguardia di incolumità fisica;

t)programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, compresa la gestione, pianificazione e controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;

u)vigilanza su sperimentazioni, autorizzazioni ed immissioni in commercio, nonché importazione di medicinali ed altri prodotti di rilevanza sanitaria;

v)tutela sociale della maternità; interruzione volontaria della gravidanza; dipendenza, assistenza, integrazione sociale e diritti dei disabili;

w)istruzione e formazione in ambito scolastico, professionale, superiore, universitario;

x)trattamenti a fini di archiviazione dei dati per pubblico interesse, o per ricerca storica, o per ricerca scientifica o fini statistici concernenti l’Archivio di Stato o quelli di Enti pubblici o di soggetti privati;

y)instaurazione, gestione ed estinzione di rapporti di lavoro di qualunque tipo (anche non retribuito ed altre forme di impiego) in materia sindacale, occupazione, collocamento obbligatorio, previdenza ed assistenza; tutela delle minoranze e pari opportunità nell’ambito di rapporti di lavoro; adempimento agli obblighi contributivi, fiscali e contabili; accertamenti di responsabilità civile e contabile

Art. 2 septies dati genetici, biometrici e relativi alla salute sono oggetto di  trattamento in presenza di una delle condizioni previste da Art. 9, senza possibilità di una loro diffusione. Le suddette condizioni di garanzia riviste ogni 2 anni, previa consultazione pubblica per un periodo di almeno 60 giorni, tenendo conto di:

a)linee guida e migliori prassi pubblicate dal Comitato europeo per la protezione dati;

b)evoluzione scientifica e tecnologica nel settore oggetto delle misure;

c)interesse alla libera circolazione dei dati personali nel territorio UE

Misure di garanzia riguardano anche cautele da adottare in merito a: contrassegni sui veicoli ed accessi alle zone a traffico limitato; profili organizzativi e gestionali nell’ambito sanitario; modalità di comunicazione all’interessato delle diagnosi e dei dati relativi alla propria salute; prescrizioni medicinali

Misure adottate possono prevedere ulteriori condizioni in relazione ad ogni categoria di dati personali (v. Misure di sicurezza per accesso selettivo ai dati in modo da garantire diritti degli interessati alla privacy)

Misure di garanzia riguardanti i dati genetici e quelli relativi alla salute ai fini della prevenzione, diagnosi e cura sono adottate da MISA e comprendono: consenso dell’interessato per una loro diffusione; accesso ai dati biometrici sono ai soggetti autorizzati

Art. 2 octies trattamento dei dati personali relativi a condanne penali e a reati o misure di sicurezza è consentito solo se:

a)autorizzato da norme di legge, o da decreto di Ministero Giustizia, che prevede comunque garanzie per i diritti degli interessati;

b)riguardano in particolare:

–         azione di mediazione volta a conciliare controversie civili e commerciali;

–         esercizio degli obblighi e dei diritti da parte del titolare o dell’interessato in materia di lavoro;

–         verifica dei requisiti di onorabilità, soggettivi ed interdittivi previsti dalla Legge;

–         accertamento delle responsabilità per il corretto esercizio dell’attività assicurativa in relazione a: sinistri o eventi attinenti alla vita umana; prevenzione, accertamento, contrasto di frodi o situazioni di rischio;

–         accertamento, esercizio o difesa dei diritti in sede giudiziaria;

–         esercizio del diritto di accesso ai dati e documenti amministrativi;

–         esecuzione di investigazioni, o di ricerche/raccolta di informazioni per conto terzi;

–         adempimento agli obblighi in materia di comunicazioni antimafia o di prevenzione della delinquenza di tipo mafioso ed altri gravi forme di pericolosità sociale;

–         accertamento del requisito di idoneità morale e della documentazione prescritta per partecipare a gare di appalto;

–         attribuzione del rating di legalità alle imprese;

–         adempimento degli obblighi previsti in materia di prevenzione dell’uso del sistema finanziario a scopo di: riciclaggio dei proventi di attività criminose; finanziamento del terrorismo

Se il trattamento dei dati avviene sotto il controllo dell’Autorità pubblica si applicano disposizioni di Art. 2 sexies

Art. 2 novies disposizioni di Art. 2 sexies, 2 septies, 2 octies recano principi applicabili al trattamento delle categorie di dati personali di cui al Reg. 679/16

Art. 2 decies dati personali trattati in violazione della disciplina non possono essere utilizzati, salvo quanto previsto da Art. 160 bis

Art. 2 undecies diritti di interessato alla privacy non possono essere esercitati se da questi può derivare un pregiudizio effettivo e concreto per:

a)interessati tutelati in materia di riciclaggio;

b)interessati tutelati in materia di sostegno alle vittime di estorsione;

c)attività di Commissioni parlamentari di inchiesta;

d)attività svolte da soggetti pubblici (Esclusi Enti pubblici economici) per finalità inerenti a: politica monetaria e valutaria; sistema dei pagamenti; controllo di intermediari e dei mercati creditizi e finanziari e tutela della loro stabilità;

e)svolgimento di investigazioni difensive o esercizio dei diritti in sede giudiziaria;

f)riservatezza nella identità del dipendente che segnala illecito di cui è venuto a conoscenza

Esercizio dei diritti di cui sopra può essere limitato, ritardato o escluso (con comunicazione motivata inviata ad interessato) “per il tempo e nei limiti in cui ciò costituisce una misura necessaria e proporzionale, tenuto conto dei diritti fondamentali dell’interessato”. In tale casi diritti possono essere esercitati anche tramite il Garante, che informa l’interessato di aver eseguito le verifiche necessarie, fermo restando diritto dell’interessato di proporre ricorso giurisdizionale (titolare del trattamento informa l’interessato di tale opportunità)

Art. 2 duodecies in relazione al trattamento dei dati personali per ragioni di giustizia nell’ambito di procedimenti davanti agli Uffici giudiziari di ogni ordine e grado, diritti alla privacy sono disciplinati con appositi provvedimenti. Esercizio di tali diritti è limitato, ritardato o escluso, salvo che questo possa compromettere le finalità del diritto stesso (con comunicazione motivata inviata all’interessato) “nella misura e per il tempo in cui ciò costituisce misura necessaria e proporzionata, tenuto conto dei diritti fondamentali dell’interessato, per salvaguardare l’indipendenza della magistratura ed i procedimenti giudiziari”

Si intendono effettuati per ragioni di giustizia, il trattamento dei dati personali correlati ad azione giudiziaria di affari e controversie, atti giuridici ed economici inerenti al personale della magistratura o svolti nell’ambito dell’attività ispettive presso Uffici giudiziari, con esclusione di atti connessi alla trattazione giudiziaria dei procedimenti relativi ad ordinaria attività amministrativo gestionale del personale, mezzi o strutture, quando non è pregiudicata la loro segretezza

Art. 2 terdecies diritti per dati personali di persone decedute sono esercitati da chi ha interesse proprio, o agisce a tutela del defunto, o per ragioni familiari. L’esercizio di tali diritti o di alcuni di questi non è ammesso se così ha voluto l’interessato con una dichiarazione scritta presentata al titolare del trattamento. Interessato può sempre revocare o modificare tale divieto, che comunque non può pregiudicare l’esercizio da parte di terzi dei diritti patrimoniali derivanti dalla sua morte o il diritto di difendere in giudizio i propri interessi

Art. 2 quatordecies titolare/responsabile può delegare “specifici compiti connessi al trattamento dei dati a persone fisiche che operano sotto la sua autorità”

Art. 2 quinquiesdecies Garante, in caso di trattamento dei dati per interesse pubblico, può prescrivere misure a garanzia dell’interessato, che titolare del trattamento è tenuto ad adottare

Art. 2 sexiesdecies prevede la designazione di un responsabile della protezione dei dati

Art. 2 septiesdecies istituisce Ente unico nazionale di accreditamento, che in caso di inadempimento (anche in riferimento ad una o più esigenze di trattamento dei dati) può essere sostituito dal Garante

Art. 3 abrogato da D.Lgs. 101/18

Art. 4 abrogato da D.Lgs. 101/18

Art. 5 abrogato da D.Lgs. 101/18

Art. 6 abrogato da D.Lgs. 101/18

Art. 28 la designazione di un  responsabile del trattamento dei dati avviene tra quei “soggetti che per esperienza, capacità ed affidabilità forniscono garanzie del pieno rispetto delle disposizioni in materia”. Per esigenze organizzative possono essere designati più soggetti, con conseguente suddivisione dei compiti, che vengono analiticamente riportati per iscritto.

Titolare può avvalersi per il trattamento dei dati (anche sensibili) di soggetti pubblici o privati esterni, che forniscono idonee garanzie, con i quali stipula accordi scritti (secondo schemi predisposti dal Garante), contenenti: finalità perseguite; tipologia dei dati trattati; durata del trattamento; obblighi e diritti del responsabile del trattamento; modalità di trattamento dei dati.

Il suddetto incaricato effettua il trattamento dei dati attenendosi alle suddette condizioni, nonché alle istruzioni impartite dal titolare che, anche tramite periodiche verifiche, vigila sulla loro  osservanza.

Art. 50 violazione del divieto di cui al presente articolo è punita ai sensi di Art. 684 del Codice penale

Art. 58 al trattamento dei dati personali effettuato da soggetti pubblici per finalità di difesa o di sicurezza dello Stato o coperti da segreto di Stato si applicano le disposizioni di Art. 160. In appositi regolamenti, adottati con decreto del Presidente Consiglio Ministri (decreto del Presidente della Repubblica in caso di difesa e sicurezza nazionale), sono definite le modalità di applicazione di questi, tenendo conto di: tipologia dei dati; soggetti interessati; operazioni di trattamento eseguibili; persone autorizzate al trattamento sotto l’autorità diretta del titolare

Art. 59 modalità e limiti per l’esercizio del diritto di accesso a documenti amministrativi contenenti dati personali sono definiti dalla Legge 241/90 e suoi regolamenti attuativi

Art. 60 se il trattamento concerne dati genetici, o relativi alla salute, o alla vita sessuale della persona, l’accesso è consentito se la valenza della richiesta è di rango almeno pari ai diritti dell’interessato o riguarda il diritto della personalità o altro diritto/libertà fondamentale

Art. 61 Garante promuove l’adozione di regole deontologiche per il trattamento dei dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da soggetti pubblici, anche individuando i casi in cui occorre indicare la fonte di acquisizione dei dati e prevedendo le garanzie adeguate per l’associazione di dati provenienti da più archivi. I dati personali da inserire in un Albo professionale possono essere comunicati a soggetti pubblici e privati, o diffusi mediante reti di comunicazione elettronica. Ordini/Collegi professionali possono, su richiesta della persona iscritta in Albo:

a)integrare i dati con ulteriori elementi in relazione all’attività professionale;

b)fornire a terzi notizie relative a specifiche qualifiche professionali non menzionate nell’Albo o alla disponibilità ad assumere determinati incarichi o a ricevere materiale di carattere scientifico

Art. 75 trattamento dei dati personali volto a tutelare la salute ed incolumità fisica dell’interessato o di soggetti terzi o della collettività è eseguito nel rispetto di specifiche disposizioni di settore

Art. 76 abrogato da D.Lgs. 101/18

Art. 77 definite le modalità per informare l’interessato in merito al trattamento dei dati personali da applicare da parte di soggetti pubblici di cui ad Art. 80, nonché di strutture pubbliche e private che erogano prestazioni sanitarie e socio-sanitarie o esercitano professioni sanitarie

Art. 78 medico o pediatra informano, anche per scritto, interessato circa il trattamento dei dati personali a loro necessari per eseguire diagnosi, assistenza e terapia sanitaria. Analogo comportamento deve tenere medico o pediatra che sostituisce a tempo determinato quello di libera scelta, o fornisce prestazioni specialistiche su richiesta di questo, o presta attività in forma associata, o fornisce i farmaci prescritti

Informazioni rese debbono evidenziare che si potrebbero ledere i diritti, libertà fondamentali e dignità dell’interessato per trattamento dei dati attuato:

a)per fini di ricerca scientifica e sperimentazione clinica;

b)nell’ambito di teleassistenza o telemedicina;

c)al fine di fornire altri beni/servizi all’interessato, tramite la rete di comunicazione elettronica;

d)per implementare il fascicolo aziendale;

e)nell’ambito dei sistemi di sorveglianza e registri di cui alla Legge 221/12

Art. 79 strutture pubbliche e private erogatrici di prestazioni sanitarie e socio-sanitarie possono avvalersi delle modalità di cui ad Art. 78 con riferimento alle prestazioni erogate, anche da distinti reparti ed unità della stessa struttura o di articolazioni ospedaliere, purché le informazioni fornite siano annotate con modalità omogenee, in modo da consentirne una facile verifica da parte di altri reparti ed unità

Art. 80 componenti dei servizi/strutture di soggetti pubblici, diversi da quelli di Art. 79, operanti nell’ambito sanitario o della protezione e sicurezza sociale possono fornire un’unica informativa, relativa al trattamento dei dati effettuato a fini amministrativi, anche in tempi diversi rispetto a quando raccolti presso l’interessato e/o terzi

Tali informazioni sono integrate con cartelli ed avvisi facilmente visibili al pubblico, affissi e diffusi nell’ambito delle Istituzioni pubbliche e in siti interni (se di rilevante interesse pubblico, loro divulgazione non richiede il consenso degli interessati)

Art. 81 abrogato da D.Lgs. 101/18

Art. 82 informazioni sono rese senza ritardo in caso di:

a)emergenza sanitaria od igiene pubblica per cui l’Autorità competente ha adottato un’ordinanza contingibile ed urgente;

b)impossibilità fisica, o incapacità di agire o di intendere e volere da parte dell’interessato;

c)impossibilità a fornire le informazioni a chi esercita legalmente la rappresentanza o prossimo congiunto o familiare o convivente, o, in caso di loro assenza, al responsabile della struttura presso cui dimora l’interessato;

d)rischio grave, imminente ed irreparabile per la salute dell’interessato;

e)prestazione medica che può essere pregiudicata da un preventivo rilascio delle informazioni

Informazioni sono fornite direttamente all’interessato una volta raggiunta la maggiore età

Art. 83 abrogato da D.Lgs. 101/18

Art. 84 abrogato da D.Lgs. 101/18

Art. 87 abrogato da D.Lgs. 101/18

Art. 88 abrogato da D.Lgs. 101/18

Art. 89 abrogato da D.Lgs. 101/18

Art. 89bis per prestazioni di medicinali, laddove non è necessario inserire il nominativo dell’interessato, si adottano le cautele disposte dal Garante, anche ai fini di: controllo della correttezza della prescrizione medica; adempimenti amministrativi; ricerca scientifica nel settore della sanità pubblica

Art. 91 abrogato da D.Lgs. 101/18

Art. 94 abrogato da D.Lgs. 101/18

Art. 95 abrogato da D.Lgs. 101/18

Art. 96 Istituzioni del sistema nazionale di istruzione, Centri per la formazione professionale regionale, scuole private non paritarie, Istituzioni di alta formazione artistica, Università statali e non possono comunicare, anche a privati e per via telematica, i dati relativi agli esiti formativi (intermedi e finali) degli studenti, compresa pubblicazione dell’esito degli esami mediante affissione nell’Albo dell’Istituto ed il rilascio di diplomi e certificazioni, fermo restando il diritto dello studente alla riservatezza

Art. 97 disciplina il trattamento dei dati personali a fini di archiviazione nel pubblico interesse, o di ricerca scientifica o storica, o a fini statistici

Art. 98 abrogato da D.Lgs. 101/18

Art. 99 trattamento dei dati di cui ad Art. 91:

a)è effettuato anche oltre il periodo di tempo necessario per cui questi sono raccolti o trattati per conseguire altri scopi

b)prevede la loro conservazione o cessione ad altro titolare qualora, per qualunque causa, sia cessato il loro trattamento

Art. 100 soggetti pubblici (comprese Università ed Enti di ricerca) possono diffondere, anche per via telematica, dati relativi ad attività di studio e di ricerca a laureati, dottori di ricerca, tecnici e tecnologici, ricercatori, docenti, esperti, studiosi, nonché a privati, fermo restando il diritto dell’interessato alla rettifica, cancellazione, limitazione od opposizione, in quanto non costituiscono documenti amministrativi (Al riguardo loro trattamento ammesso solo per gli scopi per cui diffusi)

Art. 101 dati raccolti a fini di archiviazione sono utilizzabili e divulgabili solo se indispensabili per il pubblico interesse o di ricerca storica (ammessa loro diffusione se relativi a fatti resi noti dall’interessato, anche tramite suo comportamento in pubblico)

Art. 102 Garante promuove la sottoscrizione di regole deontologiche per soggetti pubblici e privati (comprese società scientifiche ed Associazioni professionali) interessati al trattamento dei dati a fini di archiviazione per motivi di pubblico interesse o di ricerca storica, riguardanti:

a)correttezza e non discriminazione da osservare nei confronti di utenti nella diffusione dei dati;

b)cautela nella raccolta, consultazione e diffusione dei dati relativi a stati di salute, vita sessuale, rapporti di tipo familiare, identificando i casi in cui l’interessato deve essere informato da chi diffonde i dati;

c)modalità di applicazione agli archivi privati della disciplina sul trattamento dei dati, ai fini della loro consultazione e diffusione

Art. 103 consultazione dei documenti in Archivio di Stato, Enti pubblici, archivi privati dichiarati di interesse storico disciplinata con le regole deontologiche di Art. 102

Art. 104 disciplina sul trattamento dei dati a fini statistici o di ricerca scientifica tiene conto dei mezzi ragionevolmente utilizzati (anche in base alle conoscenze acquisite con il progresso tecnico) dal titolare per identificare l’interessato

Art. 105 dati personali raccolti per fini statistici o di ricerca scientifica non possono essere utilizzati per prendere decisioni o provvedimenti nei confronti dell’interessato, né per altri scopi se non chiaramente determinati e resi noti all’interessato.

Se un soggetto è in grado di rispondere per conto di un altro familiare o convivente, le precedenti informazioni sono fornite all’interessato tramite questo, salvo che “richiedono uno sforzo sproporzionato rispetto al diritto tutelato e siano adottate idonee forme di pubblicità individuate in regole deontologiche”

Art. 106 Garante promuove la sottoscrizione di regole deontologiche per soggetti pubblici e privati (comprese società scientifiche ed Associazioni professionali) interessati al trattamento dei dati a fini scientifici e statistici, volte a tutelare i diritti dell’interessato, individuando in particolare:

a)procedimenti per verificare che il trattamento dei dati sia eseguito per effettivi fini statistici o di ricerca scientifica;

b)informazioni da fornire agli interessati, anche in riferimento a: raccolta (anche presso terzi) e durata della conservazione dei dati; misure specifiche di sicurezza adottate per loro diffusione; modalità per modificare i dati e l’esercizio dei diritti dell’interessato;

c)insieme dei mezzi utilizzabili dal titolare del trattamento per identificare l’interessato;

d)modalità semplificate per acquisire il consenso dell’interessato al trattamento dei dati e garanzie da osservare qualora si possa prescindere dal suo consenso;

e)casi in cui i diritti dell’interessato possono essere limitati;

f)regole di correttezza da osservare nella raccolta dei dati;

g)istruzioni da dare alle persone autorizzate al trattamento dei dati personali sotto l’autorità del responsabile;

h)misure da adottare per rispettare il principio della minimizzazione, comprese: precauzioni per impedire l’accesso ai dati da parte di persone non autorizzate e l’identificazione non autorizzata degli interessati; interconnessione con sistemi informativi per facilitare scambio di dati, a fini statistici o di ricerca scientifica, con Enti/Uffici all’estero;

i)impegno a rispettare le regole deontologiche da parte della persone autorizzate al trattamento dei dati personali che non sono tenute al segreto d’ufficio o professionale, in modo da assicurarne un analogo livello di sicurezza e riservatezza

Art. 107 consenso dell’interessato quando è richiesto, può essere fornito con modalità semplificate, individuate dalle regole deontologiche

Art. 108 trattamento dei dati personali da parte del sistema statistico nazionale, oltre alle regole deontologiche, avviene nel rispetto delle norme indicate nel programma statistico nazionale, in particolare in merito a: informazioni da fornire all’interessato; esercizio dei suoi diritti; dati non tutelati dal segreto statistico

Art. 109 si osservano per la rilevazione dei dati statistici relativi alle nascite (compresi nati morti, nati con malformazioni) le modalità definite dall’Istituto di statistica, sentito MISA

Art. 110 consenso dell’interessato al trattamento dei dati personali relativi alla salute, a fini di ricerca scientifica, non è necessario:

a)quando questa è eseguita in base a disposizioni di legge, o rientra nel programma di ricerca biomedica o sanitaria, ed è resa pubblica;

b)quando, a causa di particolari ragioni, risulta impossibile o pregiudizievole ai fini della ricerca stesso informarlo

In tali casi il titolare adotta misure per tutelare i diritti e legittimi interessi del soggetto, compresa la possibilità di rettificare od integrare i dati annotati senza modificarli, quando i risultati di tali operazioni non producono effetti significativi sul risultato della ricerca

Art. 110 bis Garante può autorizzare un ulteriore trattamento dei dati personali ai fini della ricerca scientifica o per scopi statistici da parte di determinate categorie di soggetti terzi, quando informare gli interessati risulta impossibile, o con costi sproporzionati, o rischia di pregiudicare i risultati della ricerca, purché vengano adottate idonee misure per tutelare i diritti e legittimi interessi di questo

Garante comunica la decisione adottata entro 45 giorni, altrimenti la richiesta si intende rigettata. Con il provvedimento di autorizzazione e le successive verifiche, il Garante stabilisce le condizioni necessarie per garantire la tutela degli interessati

Non rientra in tale casistica il trattamento dei dati personali raccolti ai fini di ricerca da parte di Istituti di ricovero (pubblici o privati) in quanto considerati strumenti dell’attività clinica di assistenza sanitaria

Art. 111 Garante promuove regole deontologiche per soggetti pubblici e privati interessati al trattamento dei dati personali nell’ambito del rapporto di lavoro, prevedendo specifiche modalità per le informazioni da rendere all’interessato

Art. 111 bis nessun consenso al trattamento dei dati personali è dovuto in caso di informazioni contenute nel curriculum inviato dall’interessato per instaurare un rapporto di lavoro

Art. 112 abrogato dal D.Lgs. 101/18

Art. 115 nell’ambito del rapporto di lavoro domestico, telelavoro, lavoro agile, il datore di lavoro deve garantire il rispetto della personalità e della libertà morale del lavoratore, mentre il lavoratore domestico deve garantire la riservatezza sui fatti della famiglia

Art. 116 Istituti di patronato ed assistenza sociale possono accedere, per svolgimento delle proprie attività, alle banche dati degli Enti eroganti le prestazioni, al fine di acquisire le informazioni oggetto del consenso fornite dall’interessato con il conferimento del mandato

Art. 117 abrogato dal D.Lgs. 101/18

Art. 118 abrogato dal D.Lgs. 101/18

Art. 119 abrogato dal D.Lgs. 101/18

Art. 120 Istituto per la vigilanza sulle assicurazioni (ISVAS) definisce le modalità di funzionamento e di accesso ai dati personali contenuti nella banca dati dei sinistri, al fine di prevenire e contrastare i comportamenti fraudolenti nel settore delle assicurazioni obbligatorie relative ai veicoli a motore immatricolati in Italia.

Art. 121 fornitura di servizi accessibili al pubblico sulle reti pubbliche di comunicazione elettronica, comprese quelle inerenti i dispositivi di raccolta dati ed identificazione

Art. 122 archiviazione delle informazioni nell’apparecchio terminale del contraente/utente, o accesso alle informazioni archiviate è consentito solo se contraente/utente ne ha dato il consenso, salvo che tale accesso serva alla comunicazione su rete elettronica, o al fornitore di un servizio di informazione richiesto dallo stesso. A tal fine il Garante tiene conto delle proposte formulate dall’Associazione dei consumatori e dalle categorie economiche coinvolte

Ai fini della raccolta del consenso sono ammesse “specifiche configurazioni di programmi informatici di facile utilizzo per il contraente/utente”

E’ vietato usare una rete di comunicazione elettronica per accedere alle informazioni archiviate nell’apparecchio terminale del contraente/utente e per monitorare le sue operazioni

Art. 123 dati relativi al traffico di contraenti/utenti trattati dal fornitore di un servizio o dalla rete pubblica di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non più necessari ai fini della comunicazione elettronica, salvo:

a)se necessari ai fini della fatturazione o del pagamento in caso di contestazione della fattura o del pagamento (comunque per periodo di non oltre 6 mesi);

b)nella misura e per la durata necessaria ai fini della commercializzazione del servizio, purché il contraente/utente ha espresso un consenso preliminare (revocabile in ogni momento);

c)se consentito solo a persone autorizzate, operanti sotto la diretta autorità del fornitore del servizio, che si occupano di fatturazione e gestione del traffico o di analisi per conto dei clienti, accertamento di frodi, commercializzazione dei servizi limitatamente a tali prestazioni e purché venga assicurata l’identificazione della persona autorizzata.

Autorità per garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari alla risoluzione di controversie al riguardo

Art. 125 il fornitore del servizio di comunicazione elettronica accessibile al pubblico informa i contraenti/utenti se è possibile  impedire gratuitamente e mediante una semplice funzione: la identificazione della linea chiamante e delle chiamate entranti; il respingimento delle chiamate entranti qualora la linea chiamante identificata è stata eliminata da utente; la identificazione di linea collegata all’utente chiamante

Art. 126 dati relativi al traffico di contraenti/utenti di reti pubbliche o di servizi di comunicazione elettronica accessibili al pubblico possono essere trattati solo se anonimi, o se utente vi ha acconsentito preventivamente (consenso revocabile in ogni momento nella misura e per la durata necessari alla fornitura del servizio a valore aggiunto)

Fornitore informa utente sulla natura dei dati relativi al traffico oggetto di trattamento, suoi scopi e durata, nonché eventuale loro trasmissione ad un terzo

Utente, che fornisce consenso al trattamento di dati diversi da quelli relativi al traffico, conserva il diritto di chiedere gratuitamente e mediante una funzione semplice, l’interruzione temporanea del loro trattamento per ogni collegamento a rete o trasmissione di comunicazioni

Trattamento di dati diversi dal traffico è consentito solo:

  • a persone autorizzate identificate (anche mediante interrogazione automatizzata) operanti sotto la diretta autorità del fornitore del servizio;
  • se strettamente necessario alla fornitura del servizio

Art. 129 Garante individua le modalità per manifestare il consenso dei contraenti relativamente a:

1)                   inclusione dei loro dati personali in Elenchi cartacei o elettronici a disposizione del pubblico per l’invio di materiale pubblicitario o la vendita diretta, o ricerche di mercato, o comunicazione di tipo commerciale od interpersonale

2)                   trattamento dei dati qualora esuli da tali scopi

3)                   problema della verifica, rettifica o cancellazione dei dati senza oneri per utente

Art. 130 uso dei sistemi automatizzati di chiamata, senza intervento dell’operatore (compresa posta elettronica, telefax, sms, mms), per l’invio di materiale pubblicitario, o la vendita diretta, o esecuzione di ricerche di mercato, o comunicazione di tipo commerciale è consentito solo con il consenso dell’utente

In deroga l’impiego del telefono o della posta cartacea è ammesso solo nei confronti di chi non ha esercitato il diritto di opposizione

E’ istituito il Registro di opposizione da parte del Consiglio dei Ministri, previa acquisizione del parere dell’Autorità per garanzie nelle comunicazioni, da rilasciare entro 30 giorni dalla richiesta, seguendo la seguente procedura:

a)individuazione dell’Ente pubblico, titolare di competenze in materia, a cui attribuire l’istituzione e gestione del Registro;

b)tale Ente provvede alla gestione del Registro, utilizzando proprie risorse umane e strumentali, o affidandone la realizzazione, mediante contratto di servizio, a soggetti terzi che se ne assumono interamente gli oneri finanziari ed organizzativi. I soggetti che si avvalgono del Registro per effettuare comunicazioni, corrispondono una tariffa di accesso fissata da MISE;

c)definizione delle modalità tecniche di funzionamento ed accesso al Registro, mediante: interrogazioni selettive, che non consentono il trasferimento dei dati presenti nel Registro stesso; tracciamento delle operazioni eseguite e conservazione dei dati relativi agli accessi;

d)disciplina dei tempi e delle modalità di iscrizione al Registro e del suo relativo aggiornamento, senza distinzione di settore di attività o categoria merceologica, nonché periodo massimo di utilizzo dei dati (fermo restando la revocabilità del consenso in ogni momento);

e)obbligo per i soggetti che effettuano il trattamento dei dati per gli scopi di cui sopra, di garantire l’identificazione della linea chiamante e di fornire all’utente informazioni sulle modalità di iscrizione nel Registro (avvalendosi di numerazione di cui è intestatario), in modo da opporsi a futuri contatti;

f)iscrizione nel Registro non prevede il trattamento dei dati

g)vigilanza sull’organizzazione e funzionamento del Registro affidata al Garante

Se il titolare del trattamento dati utilizza, a fini di vendita diretta dei propri prodotti/servizi, le coordinate di posta elettronica fornite dall’interessato può fare a meno del suo consenso di interessato, purché questo:

a)non rifiuti tale uso sin dalla fase iniziale o in occasione di successive comunicazioni;

b)venga informato, al momento della raccolta o in occasione di ogni comunicazione, della possibilità di opporsi al trattamento, in modo agevole e gratuito

E’ sempre vietato l’invio di comunicazioni a scopo promozionale, “camuffando o celando l’identità del mittente”, o senza fornire un idoneo recapito presso cui l’interessato possa esercitare i propri diritti, o esortando i destinatari a visitare i siti web in violazione delle norme di D.Lgs. 70/03

In caso di reiterata violazione delle suddette disposizioni, il Garante prescrive ai fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio

Art. 131 fornitore del servizio di comunicazione elettronica accessibile al pubblico informa l’utente circa la possibilità di apprendere in modo non intenzionale il contenuto delle comunicazioni/conversazioni da parte di soggetti estranei, a causa del tipo di apparecchiature utilizzate o del collegamento vigente tra queste presso la sede del contraente stesso. Utente è tenuto ad informare l’altro utente se nel corso della conversazione vengono usati dispositivi che ne consentono l’ascolto a soggetti terzi

Art. 132 dati relativi al traffico telefonico sono conservati dal fornitore per 24 mesi dalla comunicazione ai fini di accertamento e repressione di reati (12 mesi in caso di traffico telematico; 30 giorni per dati relativi a chiamate senza risposta trattati da fornitori di servizi di comunicazione elettronica accessibili al pubblico). Entro tale periodo i suddetti dati possono essere acquisiti presso il fornitore su istanza di: Pubblico Ministero; difensore dell’imputato; persona sottoposta ad indagine; persona offesa; altri parti private. Richiesta di accesso alle comunicazioni telefoniche in entrata ammessa solo se possa “derivarne un pregiudizio effettivo e concreto per lo svolgimento di investigazione difensive”

I responsabili degli uffici specialistici in materia informatica/telematica della Polizia di Stato, Arma dei Carabinieri, Guardia di Finanza possono ordinare al fornitore di conservare per non oltre 90 giorni (termine prorogabile fino a 6 mesi), dati relativi al traffico telematico, ai fini investigativi o per accertamento/repressione di reati. Il fornitore deve ottemperare a tale ordine,  mantenendo il segreto al riguardo, pena l’applicazione di Art. 326 del Codice penale. Provvedimenti adottati sono comunicati entro 48 ore al destinatario ed al Pubblico Ministero competente che li convalida (se ciò non avviene, provvedimenti perdono di efficacia)

Il trattamento dei dati è effettuato nel rispetto delle misure a garanzia dell’interessato prescritte dal Garante (dati conservati debbono possedere identici requisiti di qualità e sicurezza di quelli in rete)

Art. 132 ter fornitore di servizio di comunicazione elettronica accessibile al pubblico adotta adeguate al rischio esistente, in modo da garantire che i dati personali siano assicurati contro: perdite o alterazioni (anche accidentali) dovute ad archiviazione, trattamento; accesso al personale non autorizzato; divulgazione non autorizzata; illeciti relativi al traffico

Se la sicurezza richiede l’adozione di misure riguardanti la rete pubblica di comunicazione, il fornitore del servizio adotta tali misure insieme con il fornitore di rete (In caso di mancato accordo, la controversia è definita dall’Autorità per garanzie nella comunicazione)

Art. 132 quater fornitore del servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati (e se possibile gli utenti) utilizzando un linguaggio adeguato alla categoria e fascia di età di riferimento (particolare attenzione ai minori) circa eventuale rischio di violazione della sicurezza della rete (in particolare quelli fuori dalla sua competenza) con possibili rimedi e costi presumibili. Analoghe informazioni andranno rese al Garante ed all’Autorità per garanzie nelle comunicazioni

Art. 136 soggetti iscritti nell’elenco dei giornalisti pubblicisti debbono applicare regole deontologiche di cui ad Art. 139 nel trattamento dei dati effettuato nell’esercizio della professione, ai fini della pubblicazione o diffusione (anche occasionale) di articoli, saggi o altre manifestazioni del pensiero (comprese quelle di tipo accademico, artistico, letterario)

Art. 137 dati possono essere trattati anche senza il consenso dell’interessato, purché nel rispetto delle regole deontologiche. Al trattamento dei dati di cui ad Art. 136 non si applicano le disposizioni relative a: misure di garanzia di cui ad Art. 2 septies; provvedimenti generali di cui ad Art. 2 quinquiesdecies; trasferimento dei dati verso Paesi Terzi od Organizzazioni internazionali

In caso di diffusione dati per finalità di cui ad Art. 136 restano fermi i limiti del diritto di cronaca a tutela delle privacy, salvo “circostanze o fatti resi noti direttamente dagli interessati” o di interesse pubblico

Art. 139 Garante promuove l’adozione da parte del Consiglio nazionale dell’ordine dei giornalisti, di regole deontologiche relative al trattamento dei dati di cui ad Art. 136 a garanzia degli interessati (in particolare in materia di salute, vita, orientamento sessuale). Tali regole (o loro modifiche/integrazioni) sono adottate dal Consiglio entro 6 mesi dalla proposta del Garante, e sono valide a partire dai 15 giorni successivi alla loro pubblicazione su G.U. e fino a quando non interviene una diversa disciplina

In caso di violazione delle suddette regole, il Garante può vietare il trattamento dei dati

Garante può prescrivere eventuali misure a garanzia degli interessati che il Consiglio è tenuto a recepire

Art. 140 bis se ritiene violati i diritti inerenti alla protezione dei propri dati, l’interessato può presentare reclamo al Garante o ricorso all’Autorità giudiziaria (In tal caso escluso il precedente)

Art. 142 reclamo deve contenere indicazione dettagliata dei fatti e delle circostanze su cui si fonda; disposizioni che si presume violate; misure richieste; estremi del titolare o del responsabile del trattamento (dove conosciuto). Reclamo è sottoscritto dall’interessato o dall’Ente terzo delegato e corredato sia dalla documentazione utile alla sua valutazione, sia ai recapiti (PEC, fax, telefono) dove inviare le comunicazioni

Il Garante predispone il modello per il reclamo, nonché definisce la procedura per il suo esame

Art. 141 definite possibilità per interessati di presentare reclamo al Garante

Art. 143 se reclamo non è manifestamente infondato, il Garante può adottare provvedimenti pubblicati sulla G.U. se i destinatari non sono facilmente identificabili

Il Garante decide sul reclamo entro 9 mesi dal suo invio (Prorogato a 12 mesi in caso di motivate esigenze), ma è tenuto entro 3 mesi ad informare l’interessato sullo stato del procedimento

Contro la decisione del Garante è ammesso il ricorso giurisdizionale

Art. 144 chiunque può rivolgere segnalazione al Garante che la valuta ai fini dell’emanazione dei provvedimenti da prendere.

Garante può anche intervenire d’ufficio

Art. 152 tutte le controversie inerenti materie oggetto di ricorsi giurisdizionali e quelle riguardanti l’applicazione della normativa sulla protezione dei dati personali, che prevede il risarcimento del danno sono di competenza dell’Autorità giudiziaria

Art. 153 Garante è costituito da un Ufficio e un Collegio, composto di 4 membri, di cui 2 eletti dalla Camera e 2 dal Senato con voto limitato tra persone di comprovata esperienza nel settore della protezione dei dati personali ed in particolare nelle discipline giuridiche od informatiche, scelte mediante selezione a seguito di avviso pubblicato nei siti internet di Camera, Senato e Garante per almeno 60 giorni, in modo che candidati possano inviare domanda, almeno 30 giorni prima della nomina, corredata del relativo curriculum. Membri del Collegio eleggono Presidente e VicePresidente con durata di 7 anni, non rinnovabile. Durante la durata dell’incarico, Presidente e membri:

a)non possono esercitare, pena decadenza, alcuna attività professionale o di consulenza (anche gratuita), né essere amministratori o dipendenti di Enti pubblici o privati, né ricoprire cariche elettive;

b)debbono mantenere il segreto (anche dopo la cessazione dall’incarico) in merito alle informazioni riservate a cui hanno avuto accesso nell’esercizio dei poteri;

c)sono collocati fuori ruolo od in aspettativa se dipendenti pubblici o magistrati, fermo restando che tale personale non può essere sostituito

Al Presidente compete un’indennità di funzione pari a quella del Presidente della Corte di Cassazione, mentre ai membri del Collegio un’indennità pari a 2/3 di quella del Presidente

Presidente, membri, segretario generale, dipendenti si astengono dal trattare, per i 2 anni successivi alla cessazione dall’incarico, procedimenti davanti al Garante, compresa la presentazione di reclami per conto di terzi

Art. 154 Garante ha il compito di:

a)controllare se il trattamento dei dati personali è eseguito nel rispetto della disciplina sulla privacy;

b)trattare i reclami presentati, fissando le priorità sulle questioni da istruire nel corso dell’anno;

c)promuovere l’adozione delle regole deontologiche;

d)denunciare fatti configurabili come reati dei quali è venuto a conoscenza;

e)inviare una relazione annuale al Parlamento ed al Governo entro il 31 Maggio;

f)assicurare la tutela dei diritti e delle libertà fondamentali degli individui;

g)provvedere ad espletare i compiti affidati dalla UE/Stato;

h)fornire assistenza in materia di trattamento dei dati personali previsti dalla ratifica di accordi o convenzioni internazionali o da atti UE;

i)disciplinare, con proprio regolamento, l’esercizio dei compiti e poteri affidati dal D.Lgs. 196/03;

j)collaborare con altre Autorità amministrative indipendenti nazionali nello svolgimento dei rispettivi compiti;

k)comunicare il parere entro 45 giorni dal ricevimento della richiesta. Termine può essere interrotto 1 sola volta per chiedere elementi integrativi (in tal caso parere espresso entro 20 giorni dall’invio di questi);

l)ricevere copia dei provvedimenti emessi dall’Autorità giudiziaria in materia di D.Lgs. 196/03 o di criminalità informatica

Art. 154 bis Garante, al fine di proteggere i dati personali, può:

a)adottare linee guida, anche per singoli settori, riguardanti misure organizzative e tecniche per attuare i principi del Reg. 679/16;

b)invitare rappresentanti di altre Autorità amministrative indipendenti alle proprie riunioni, in cui discutere argomenti di comune interesse;

c)chiedere collaborazione al personale specializzato di altre Amministrazioni;

d)pubblicare i provvedimenti presi su G.U. e nel proprio sito internet;

e)promuovere modalità semplificate a favore di titolari di micro, piccole e medie imprese per adempiere agli obblighi relativi al trattamento dei dati personali

Art. 154 ter Garante è legittimato ad agire in giudizio nei confronti del titolare/responsabile del trattamento dei dati in caso di violazione delle disposizioni in materia. In tal caso è rappresentato dall’Avvocatura di Stato o, in caso di conflitto di interessi, da propri funzionari iscritti nell’Elenco speciale degli avvocati del libero foro

Art. 155 ad ufficio del Garante applicati principi riguardanti: individuazione e funzioni del responsabile del procedimento; distinzione tra le funzioni di indirizzo e di controllo; funzioni di gestione attribuite di dirigenti

Art. 156 all’ufficio del Garante è preposto un Segretario generale, scelto tra magistrati ordinari e amministrativi, avvocati di Stato, professori universitari di ruolo in materie giuridiche ed economiche avente comprovata qualificazione professionale in materia

Garante definisce con propri regolamenti:

a)organizzazione e funzionamento dell’ufficio;

b)ordinamento delle carriere e modalità di reclutamento del personale;

c)ripartizione dell’organico tra le diverse aree e qualifiche;

d)trattamento giuridico ed economico del personale, tenendo conto delle esigenze funzionali ed organizzative dell’ufficio (comunque non oltre 80% del trattamento economico del personale dell’Autorità per garanzie nella comunicazione);

e)gestione amministrativa e contabile

Organico del Garante è fissato in 162 unità, a cui si accede solo tramite concorso pubblico, eventualmente riservando non oltre il 50% dei posti al personale di ruolo di Amministrazioni pubbliche con esperienza di almeno 3 anni

Ufficio può avvalersi di dipendenti pubblici collocati fuori ruolo o in aspettativa per non oltre 20 unità e 20% delle qualifiche dirigenziali. Il personale addetto all’ufficio del Garante, nonché eventuali consulenti sono tenuti, sia durante che dopo il mandato, a mantenere il segreto sulle notizie di cui sono venuti a conoscenza nell’esercizio delle proprie funzioni

Spese di funzionamento del Garante, comprese quelle per il personale, locali ed infrastrutture necessarie per l’esercizio dei compiti assegnati, sono a carico dello Stato, con rendiconto della gestione soggetta al controllo della Corte dei Conti.

Garante può esigere dal titolare del trattamento dei dati personali il versamento di diritti di segreteria per particolari procedimenti

Art. 157 Garante può chiedere al titolare, responsabile, interessato, soggetti terzi di fornire informazioni e documenti anche con riferimento al contenuto delle banche dati

Art. 158 Garante può avere accesso a banche dati, archivi o altri luoghi dove si svolge il trattamento dei dati, o in cui si ritiene utile eseguire rilevamenti per controllare il rispetto delle norme sulla privacy (v. reti di comunicazione accessibili al pubblico)

I controlli sono eseguiti dal personale dell’ufficio del Garante con l’eventuale partecipazione del personale dell’Autorità di controllo di altri Stati membri o di altri Organi dello Stato

Gli accertamenti, se svolti nelle abitazioni o nelle relative pertinenze, sono eseguiti con l’assenso del titolare/responsabile, o previa autorizzazione del Presidente del Tribunale competente e debbono avvenire entro 3 giorni dalla richiesta documentata del Garante

Art. 159 personale del Garante, munito di un documento di riconoscimento, può essere supportato da consulenti e da copia di atti e documenti (estratti anche a campione). Di ogni accertamento sarà redatto un verbale sottoscritto dalle parti, in cui riportate eventuali dichiarazioni dei presenti.

Soggetti presso cui è eseguito l’accertamento, a cui sarà consegnata copia di autorizzazione del Tribunale, sono tenuti a prestare collaborazione (in caso di rifiuto, l’accertamento viene comunque eseguito con spese a loro carico). Gli accertamenti vengono eseguiti non prima delle ore 7 né dopo le ore 20 previa informazione al titolare/rappresentante al fine di potervi assistere (accertamenti possono essere eseguiti anche senza preavviso)

Informazioni, richieste e provvedimenti possono essere inviati anche via PEC

Art. 160 accertamento dei dati personali è eseguito da un componente designato dal Garante, che qualora rileva un trattamento dei dati non conforme, indica al titolare/responsabile di questi le necessarie modifiche o integrazioni da apportare

Gli accertamenti non sono delegabili, salvo se ciò sia necessario per “la specificità della verifica”, pur se componente designato può farsi assistere da personale specializzato, che è tenuto a custodire atti e documenti acquisiti in modo da assicurarne la segretezza. Nel caso di documenti coperti dal segreto di Stato, il componente designato ne prende visione e riferisce oralmente al Garante

Art. 160 bis validità, efficacia, utilizzo nel procedimento giudiziario di atti, documenti e provvedimenti basati sul trattamento di dati personale non conformi, sono disciplinati dalle corrispondenti disposizioni processuali

Art. 162 abrogato dal D.Lgs. 101/18

Art. 162 bis abrogato dal D.Lgs. 101/18

Art. 162 ter abrogato dal D.Lgs. 101/18

Art. 163 abrogato dal D.Lgs. 101/18

Art. 164 abrogato dal D.Lgs. 101/18

Art. 164 bis abrogato dal D.Lgs. 101/18

Art. 165 abrogato dal D.Lgs. 101/18

Art. 166 le violazioni delle disposizioni di cui ad Art. 2 quinquies, 2 quindiesdecies, 92, 93, 110, 123, 128, 129 e 132 o la mancata valutazione dell’impatto di cui ad Art. 110 o la mancata consultazione preventiva del Garante del programma di ricerca: sanzione fino a 10.000.000 € o 2% del fatturato di impresa anno precedente

Spetta al Garante imporre provvedimenti correttivi o irrogare sanzioni (compresa pena accessoria della pubblicazione dell’ordinanza ingiunzione del Garante sul suo sito internet), tramite procedimento avviato nei confronti di soggetti privati o di Autorità/Organismi pubblici a seguito di reclami, o di attività istruttoria intrapresa dal Garante stesso

Ufficio del Garante, se ritiene che gli elementi acquisiti nel corso dell’attività di accertamento configurano violazioni, avvia il procedimento sanzionatorio, notificando al titolare/responsabile del trattamento dei dati le presunte violazioni (salvo che tale notifica non risulti incompatibile con la natura del provvedimento da adottare). Entro 30 giorni dalla notifica il contravventore può inviare scritti difensivi e/o chiedere di essere sentito dal Garante

Proventi delle sanzioni sono assegnati per il 50% al Fondo di cui ad Art. 156 per essere destinati all’attività di sensibilizzazione ed ispezione

Il trasgressore e gli obbligati in solido con questo possono definire la controversia entro il termine fissato, o adeguandosi alle prescrizioni del Garante, o pagando un importo pari al 50% della sanzione irrogata

Il Garante definisce le procedure per l’adozione dei provvedimenti e delle sanzioni con i relativi termini, nel rispetto del  principio del contraddittorio in fase di verbalizzazione e della distinzione tra funzioni istruttorie e decisorie

Le disposizioni relative alle sanzioni amministrative non vengono applicate in relazione ai trattamenti eseguiti in ambito giudiziario

Art. 173 abrogato dal D.Lgs. 101/18

Art. 174 abrogato dal D.Lgs. 101/18

Art. 175 abrogato dal D.Lgs. 101/18

Art. 176 abrogato dal D.Lgs. 101/18

Art. 177 abrogato dal D.Lgs. 101/18

Art. 178 abrogato dal D.Lgs. 101/18

Art. 179 abrogato dal D.Lgs. 101/18

Art. 184 abrogato dal D.Lgs. 101/18

Art. 185 abrogato dal D.Lgs. 101/18

 

D.Lgs. 51/18 stabilisce le disposizioni relative alla protezione delle persone fisiche in merito al trattamento (interamente o parzialmente automatizzato) dei loro dati personali (contenuti in un archivio o a questo destinati) da parte delle Autorità competenti, ai fini di: prevenzione, indagine, accertamento e perseguimento dei reati (inclusa prevenzione e/o salvaguardia contro le  minacce alla sicurezza pubblica); esecuzione di sanzioni penali; libera circolazione di tali dati in ambito nazionale, UE, internazionale. È escluso il trattamento dei dati personali effettuati da Istituzioni, organi, uffici, agenzie di UE, nell’ambito delle attività concernenti la sicurezza nazionale. In particolare il D.Lgs. 51/18 afferma ad

Art. 3 che i dati personali debbono essere:

a)trattati in modo lecito e corretto

b)raccolti per determinate finalità (“espresse e legittime”) e trattati in modo conforme a queste

c)adeguati, pertinenti, “non eccedenti” rispetto alle finalità per cui vengono raccolti

d)esatti ed aggiornati (adottate idonee misure per cancellare o rettificare subito dati inesatti rispetto alle finalità per cui sono trattati)

e)conservati, in modo da consentire l’identificazione degli interessati, per il tempo necessario a perseguire le finalità per cui sono trattati

f)sottoposti ad una costante verifica per accertarne la “persistente necessità” di conservazione

g)cancellati o resi anonimi alla scadenza dei termini di cui sopra

h)oggetto di idonee misure tecniche ed organizzative in modo da garantirne un’adeguata protezione contro: trattamenti non autorizzati o illeciti; perdita, distruzione o danni accidentali

Titolare del trattamento è sempre responsabile del rispetto dei suddetti principi.

Art. 4 Titolare del trattamento suddivide i dati personali in relazione a:

1)       diverse categorie di interessati ed in particolare: persone sottoposte ad indagine e/o imputate (anche se coinvolte in procedimenti connessi); persone condannate con sentenza definitiva; persone offese dal reato; parti civili; persone informate sui fatti; testimoni.

2)       dati fondati su fatti e dati fondati su valutazioni

Autorità competente adotta misure adeguate per garantire che i dati personali risultati inesatti, o incompleti, o non aggiornati non vengano trasmessi, né siano resi disponibili. A tal fine verifica la qualità dei dati personali disponibili prima del loro invio o di una apertura di accesso. Se risulta che i dati sono stati trasmessi illecitamente o inesatti, Autorità provvede a:

1)       informare subito il destinatario

2)       rettificare o cancellare i suddetti dati

3)       limitare il trattamento dei dati stessi.

Art. 5 Trattamento si considera lecito se necessario all’esecuzione dell’attività dell’Autorità competente. Con decreto del Presidente della Repubblica si può definire per trattamenti non occasionali: termini e modalità di conservazione dei dati, in funzione delle diverse categorie di interessati e delle finalità perseguite; soggetti legittimati ad accedere ai dati; condizioni per l’esercizio del diritto alla privacy.

Art. 6 Dati personali raccolti per determinate finalità non possono essere trattati per finalità diverse (comprese attività di archiviazione nel pubblico interesse, o di ricerca scientifica o storica, o per finalità statistiche), salvo che ciò sia consentito dal diritto UE o dalla legge nazionale (eventualmente applicando condizioni specifiche per il trattamento dei dati personali).

Autorità competente nel trasmettere i dati ai destinatari di altri Stati membri è tenuta a rispettare le disposizioni vigenti in questi.

Art. 7 Trattamento dei dati è autorizzato solo se: assistito da garanzie adeguate a tutela dei diritti e della libertà dell’interessato; necessaria in quanto previsto dal diritto UE o dalle leggi nazionali, o “per salvaguardare l’interesse vitale di un’altra persona fisica, o se ha per oggetto dati resi manifestamente pubblici dall’interessato stesso”.

Art. 8 Vietate decisioni basate solo sul trattamento automatizzato dei dati (compresa profilazione), che producono effetti negativi nei confronti dell’interessato, salvo se autorizzate dal diritto UE o dalle leggi nazionali, e purché siano previste garanzie adeguate per i diritti e la libertà dell’interessato (può sempre chiedere l’intervento umano nel trattamento dei dati).

Decisioni di cui sopra non possono neppure basarsi su categorie particolari di dati personali, salvo che non sussistano misure a tutela dei diritti, libertà e legittimi interessi della persona fisica.

Vietata qualunque profilazione finalizzata alla discriminazione delle persone in base a categorie particolari di dati personali.

Art. 9 Titolare del trattamento adotta idonee misure per fornire all’interessato (con qualunque mezzo, compresa la via elettronica) tutte le informazioni richieste, in forma gratuita, senza ingiustificati ritardi, in forma scritta concisa, in modo facilmente accessibile ed utilizzando un linguaggio semplice e chiaro.

Art. 10 Titolare del trattamento mette a disposizione di interessato (anche mediante proprio sito internet), le seguenti informazioni:

a)identità e dati di contatto del titolare del trattamento

b)dati di contatto del responsabile della protezione dei dati personali

c)finalità e titolo giuridico del trattamento a cui sono destinati i dati personali

d)sussistenza del diritto di proporre reclamo al Garante, con i suoi dati di contatto

e)sussistenza del diritto di chiedere al titolare del trattamento l’accesso ai propri dati con conseguente loro rettifica, o cancellazione, o limitazione del trattamento

f)categorie di destinatari dei dati personali, anche se relativi a Paesi Terzi od Organizzazioni internazionali

g)ulteriori informazioni ritenute utili all’esercizio dei suoi diritti (vedi dati raccolti ad insaputa di interessato)

Art. 11   L’interessato ha diritto di ottenere dal titolare conferma dell’esistenza di un trattamento di dati in corso nei suoi confronti, nonché di poter accedere alle seguenti informazioni:

a)finalità e titolo giuridico del trattamento

b)destinatari, a cui dati personali vengono comunicati

c)periodo di conservazione dei dati (o criteri per sua determinazione)

d)diritto di chiedere al titolare la rettifica, o la cancellazione, o la limitazione del trattamento dei suoi dati personali

e)diritto di proporre reclamo al Garante, con relativi dati di contatto

f)comunicazione dei dati personali oggetto di trattamento ed ogni informazione disponibile sulla loro origine

Titolare del trattamento informa interessato, senza ritardo, di: un eventuale rifiuto o limitazione nell’accesso ai dati, con i relativi motivi; diritto di proporre reclamo al Garante o ricorso giurisdizionale. Tali informazioni sono rese disponibili anche al Garante.

Art. 12 Interessato ha diritto di ottenere, senza ritardo, dal titolare del trattamento la rettifica di dati personali inesatti e/o la integrazione di quelli incompleti. Titolare cancella senza ritardo i dati personali qualora il trattamento si dimostra in contrasto con le disposizioni di cui agli art. 3, 5, 7, o ne limita l’utilizzo se la loro esattezza (contestata dall’interessato) non può essere accertata, o se i dati debbono essere conservati  a fini probatori (obbligo di informare l’interessato prima di revocare la suddetta limitazione).

Titolare del trattamento deve comunicare a:

a)interessato per iscritto: l’eventuale rifiuto di eseguire la rettifica, o cancellazione, o limitazione del trattamento richiesta (evidenziandone i motivi); la sua possibilità di ricorrere al Garante o per via giurisdizionale

b)Autorità competente di provenienza la rettifica dei dati personali ritenuti inesatti

c)destinatario se i dati personali sono stati rettificati, o cancellati, o limitati, affinché provveda, a sua volta, alla loro rettifica, cancellazione o limitazione.

Art. 13 Titolare del trattamento informa interessato che suoi diritti, salvo casi di trattamento eseguiti dall’Autorità giudiziaria, possono essere esercitati anche tramite il Garante, il quale informa l’interessato delle verifiche eseguite, nonché il suo diritto di proporre un ricorso giurisdizionale.

Art. 14 Diritti di cui agli art. 10, 11, 12 inerenti ai dati personali contenuti nelle decisioni giudiziarie, o in atti/documenti relativi ad indagini in corso, o nel casellario giudiziario, o in fascicoli relativi a procedimenti penali, sono esercitati nel rispetto delle leggi di riferimento. Chiunque vi abbia interesse, durante o dopo la definizione del procedimento, può chiedere la rettifica, o la cancellazione, o la limitazione del trattamento dei propri dati, a cui il giudice è tenuto a provvedere.

Esercizio dei diritti di cui ad art. 11 e 13 può essere ritardato, limitato o escluso “nella misura e per il tempo, in cui ciò costituisca una misura necessaria e proporzionata, tenuto conto dei legittimi interessi della persona fisica”, al fine di:

a)non compromettere le attività di prevenzione, indagine, accertamento e perseguimento dei reati, od esecuzione delle sanzioni penali, od applicazione delle misure di prevenzione personali e patrimoniali, o delle misure di sicurezza

b)tutelare la sicurezza pubblica, sicurezza nazionale, diritti e libertà altrui

Art. 15 Titolare mette in atto misure tecniche ed organizzative (aggiornate se necessario) atte a garantire che il trattamento dei dati personali venga eseguito nel rispetto del D.Lgs. 51/18.

Art. 16 Titolare mette in atto misure tecniche ed organizzative adeguate (quale psedonimizzazione) per garantire:

a)protezione dei dati e tutela dei diritti degli interessati

b)una impostazione predefinita solo per i dati personali connessi ad ogni specifica finalità di trattamento (garantire non accessibilità ai dati personali ad un numero indefinito di persone). Obbligo vale per: quantità dei dati personali raccolti; portata del trattamento; periodo di conservazione ed accessibilità

Art. 17 Contitolari del trattamento sono 2 o più soggetti che determinano insieme le finalità ed i mezzi del trattamento stesso, definendo, con modalità trasparente, mediante accordo:

1)       gli ambiti delle rispettive responsabilità, salvo che questi non siano già stati i propri fissati dalla normativa UE o nazionale

2)       il punto di contatto per gli interessati, che comunque possono esercitare diritti nei confronti di ogni titolare del trattamento.

Art. 18 Titolare può ricorrere a responsabili esterni del trattamento, in grado di “garantire  misure tecniche ed organizzative adeguate ad assicurare la protezione dei dati personali o la tutela dei diritti dell’interessato”. Responsabile del trattamento non può invece ricorrere ad un altro responsabile, salvo una preventiva autorizzazione scritta da parte del titolare.

Esecuzione del trattamento da parte del responsabile viene disciplinato attraverso un contratto scritto (stipulato anche in formato elettronico) contenente: oggetto; durata; natura e finalità del trattamento; tipo dei dati personali; categorie di interessati; obblighi e diritti del titolare del trattamento. Contratto deve inoltre prevedere che il responsabile:

a)agisce solo sulla base di istruzioni fornite dal titolare del trattamento

b)garantisce che le persone autorizzate al trattamento si impegnano alla riservatezza dei dati personali

c)assiste il titolare del trattamento con ogni mezzo, al fine di garantire il rispetto delle disposizioni relative ai diritti dell’interessato

d)cancella le copie esistenti o restituisce al titolare tutti i dati personali a conclusione dei servizi di trattamento, salvo che il diritto UE o le disposizioni nazionali ne prescrivono la conservazione

e)rispetta le condizioni di cui sopra, anche in caso di ricorso ad un altro responsabile del trattamento

Se il responsabile determina le finalità ed i mezzi del trattamento è considerato egli stesso titolare del trattamento.

Art. 19 Responsabile del trattamento, o chiunque agisce sotto la sua autorità, o sotto quella del titolare può trattare i dati personali a cui ha accesso solo In conformità alle istruzioni fornite dal titolare, salvo se diversamente previsto dal diritto UE o dalle norme nazionali.

Art. 20 Titolari  del trattamento tengono un registro, in cui riportare:

a)norme e dati del contatto del titolare e di quello di eventuali contitolari e responsabili del trattamento

b)finalità del trattamento

c)categoria dei destinatari, a cui i dati personali  saranno comunicati, compresi quelli di Paesi Terzi ed Organizzazioni internazionali

d)descrizione delle categorie di interessati e dei dati personali trattati

e)eventuale  ricorso alla profilazione

f)eventuali categorie di trasferimenti di dati personali verso Paese Terzo od Organizzazione internazionale

g)indicazione del titolo giuridico del trattamento a cui sono destinati i dati personali

h)termini ultimi previsti per la cancellazione delle diverse categorie di dati personali

i)descrizione delle misure di sicurezza (tecniche ed organizzative) adottate

Responsabili del trattamento tengono un registro, in cui riportare:

a)nome e dati del contatto del responsabile, nonché di ogni titolare per conto del quale agiscono e dell’eventuale responsabile della protezione dati

b)categoria dei trattamenti effettuati per conto di ogni titolare del trattamento

c)trasferimenti di dati personali, eseguiti su indicazione del titolare, verso un Paese terzo od Organizzazione internazionale

d)descrizione delle misure di sicurezza (tecniche ed organizzative) adottate

Registri, tenuti anche in formato elettronico, sono messi a disposizione, su richiesta, del Garante della privacy.

Art. 21 Operazioni di raccolta, modifica, consultazione, comunicazione, trasferimento, interconnessione e cancellazione dei dati in sistemi automatizzati sono registrati in file di LOG da conservare per una durata di 5 anni, in cui riportare: motivi; data e ora delle suddette operazioni; persona che ha eseguito le operazioni; destinatari dei dati.

Tali registrazioni possono essere usate solo ai fini della verifica di leicità del trattamento, nonché a livello di controllo interno (per accertare l’integrità e la sicurezza dei dati personali) e nell’ambito di  procedimenti penali.

Titolare e responsabile del trattamento mettono a disposizione i dati al Garante, su sua richiesta.

Art. 22 Titolare e responsabile del trattamento collaborano con il Garante, su sua richiesta.

Art. 23 Se il trattamento dei dati presenta un rischio elevato per i diritti e la libertà delle persone fisiche, il titolare, prima di procedere al trattamento, esegue una valutazione del suo impatto sulla protezione dei dati personali, descrivendo: trattamenti previsti; valutazione dei rischi; garanzie e misure di sicurezza da adottare per proteggere i dati personali.

Art. 24 Titolare e responsabile del trattamento consulta il Garante prima del trattamento dei dati personali da inserire in nuovo archivio, qualora:

a)valutazione di impatto di cui sopra indica che il trattamento dei dati presenta un  rischio elevato in assenza di adeguate misure

b)tipo di trattamento presenta un rischio elevato per i diritti e la libertà degli interessati, anche tenendo conto dell’utilizzo delle nuove tecnologie, procedure o meccanismi, o di dati genetici o biometrici

Garante viene consultato preventivamente anche in caso di progetto di legge o schema di regolamento/decreto suscettibili di avere un impatto sul “diritto alla protezione dei dati personali o su un elenco di trattamenti predisposti dallo stesso Garante”.

Titolare del trattamento invia al Garante la valutazione di impatto sulla protezione dei dati personali, nonché ogni altro elemento utile a valutare sia la conformità del trattamento, sia i rischi per la protezione dei dati personali dell’interessato con le relative garanzie.

Qualora si ritenga che il trattamento viola le disposizioni di cui al D.Lgs. 50/18, il Garante fornisce, entro 6 settimane dalla richiesta (termine prorogato di 1 mese in caso di trattamento complesso) un parere al titolare e responsabile del trattamento.

Art. 25 Titolare e responsabile del trattamento, tenuto conto delle conoscenze tecniche disponibili, costi di attuazione, natura dell’oggetto/contesto, diritti e libertà delle persone, adottano misure tecniche ed organizzative atte a garantire un rischio “marginale” nella violazione dei dati. Nel caso di trattamento automatizzato, tali misure riguardano:

a)divieto alle persone non autorizzate di accedere ad attrezzature per il trattamento dei dati

b)impossibilità di lettura, copia, modifica o asportazione dei dati da parte di persone non autorizzate

c)impossibilità di inserimento dei dati personali senza autorizzazione, nonché, durante il periodo di conservazione, di una loro visione, o modifica, o cancellazione senza autorizzazione

d)impedimento a persone non autorizzate di usare sistemi di trattamento automatizzato, avvalendosi di mezzi di trasmissione dati

e)accesso alle persone autorizzate solo ai dati personali riportati nell’autorizzazione

f)possibilità di individuare i soggetti a cui vengono trasmessi o resi disponibili i dati personali

g)possibilità di verificare a posteriori: quali dati personali sono stati introdotti nei sistemi di trattamento automatizzato; momento della loro introduzione; persona che ha effettuato l’operazione

h)impossibilità di lettura, copia, modifica o cancellazione dei dati personali durante il loro trasferimento, senza autorizzazione

i)ripristino tempestivo dei sistemi in caso di interruzione

j)operatività delle funzioni del sistema, con garanzia che i dati personali vengono conservati non falsati da eventuali errori di funzionamento del sistema stesso (in tal caso tempestiva segnalazione)

Art. 26 Titolare del trattamento notifica eventuale violazione dei dati personali al Garante. Se la violazione riguarda dati personali trasmessi dal titolare di un altro Stato membro, informazione viene subito comunicata al titolare di tale Stato membro.

Art. 27 Se violazione dei dati personali può presentare un rischio elevato per i diritti e la libertà della persona fisica si osservano le disposizioni UE in tema di comunicazione.

Comunicazione all’interessato può essere ritardata, limitata,  omessa alle condizioni e per i motivi riportati in Art. 14

Art. 28 Titolare del trattamento:

  • designa un responsabile della protezione dei dati, tenendo conto della sua conoscenza specialistica in materia e della capacità di assolvere ai compiti assegnati. Può essere designato unico responsabile per più Autorità competenti
  • pubblica i dati di contatto dei responsabili della protezione dei dati e li comunica al Garante.

Art. 29 Titolare del trattamento si assicura che il responsabile sia coinvolto subito ed adeguatamente nelle questioni riguardanti la protezione dei dati personali, collaborando con questo e fornendogli le risorse necessarie per assolvere i compiti affidati (in primo luogo accesso ai dati personali oggetto di trattamento)

Art. 30 Titolare del trattamento affida al suddetto responsabile i seguenti compiti:

  1. informare il titolare stesso ed i dipendenti esecutori del trattamento circa gli obblighi derivanti dal D.Lgs. 51/18 e dalle disposizioni UE in materia di protezione dei dati
  2. vigilare sulla corretta applicazione del D.Lgs. 51/18, disposizioni UE, programma previsionale del titolare in materia di protezione dei dati personali, compresa l’attribuzione della responsabilità, la sensibilizzazione e formazione del personale impegnato nell’attività di trattamento e controllo dei suddetti dati
  3. fornire pareri in merito alla valutazione di impatto sulla protezione dei dati, verificandone l’esecuzione
  4. cooperare con il Garante della privacy
  5. fungere da punto di contatto per il Garante sulle questioni connesse al trattamento dei dati (compresa consultazione preventiva) e fornirgli se necessario, supporto su qualunque altra questione

Art. 31 Trasferimento di dati oggetto di trattamento, o destinati ad esserne oggetto dopo il loro trasferimento in Paese Terzo od in Organizzazione internazionale, è consentito qualora:

a)trasferimento sia necessario per conseguire le finalità di cui ad Art. 1

b)dati personali vengono trasferiti al titolare del trattamento di Paese Terzo o di Organizzazione internazionale, che riveste qualifica di Autorità competente per le finalità di cui ad Art. 1

c)dati personali sono trasferiti o resi disponibili dallo Stato membro, perché questo abbia fornito una autorizzazione preliminare al loro trasferimento

d)Commissione UE abbia adottato una decisione di adeguatezza del procedimento (in mancanza, occorre fornire garanzie adeguate)

e)in caso di successivo trasferimento ad un altro Paese Terzo o ad Organizzazione internazionale, Autorità competente autorizza tale trasferimento solo dopo aver valutato tutti i fattori pertinenti (tra cui gravità del reato, finalità per cui i dati personali vengono trasferiti, livello di protezione di questi nel Paese Terzo o presso le Organizzazioni internazionali di destinazione)

In assenza di autorizzazione preliminare di Stato membro, il trasferimento è consentito solo se necessario per prevenire una grave ed immediata minaccia alla sicurezza pubblica dello Stato membro/Paese terzo in questione e l’autorizzazione preliminare non è immediatamente ottenibile.

Art. 32  Trasferimento dei dati personali verso Paese Terzo e Organizzazione internazionale è consentito se la Commissione UE ha deciso che Paese Terzo (o un suo territorio, o settori specifici) garantisce un livello di protezione adeguato (in tal caso non necessaria autorizzazione specifica)

Art. 33 In assenza, della decisione di adeguatezza o in caso di sua revoca, modifica, sospensione, il trasferimento dei dati personali  verso Paese Terzo od Organizzazione internazionale, è consentito se:

a)fornite (tramite strumento giuridico vincolante) forme di garanzie adeguate per la protezione dei dati personali

b)titolare del trattamento, valutate tutte le circostanze, ritiene che sussistano garanzie adeguate per la protezione dei dati personali

Titolare del trattamento informa il Garante dei trasferimenti eseguiti, conservando la relativa documentazione da esibire, su richiesta, al Garante stesso, specificando: data ed ora del trasferimento; Autorità competente ricevente; motivi del trasferimento; dati personali trasferiti.

Art. 34 In assenza, della decisione di adeguatezza o in caso di sua revoca, modifica o sospensione, e di mancanza di garanzie adeguate, il trasferimento dei dati personali verso il  Paese Terzo o l’Organizzazione internazionale è consentito solo se volto a:

1)       tutelare l’interesse vitale dell’interessato, o di altra persona

2)       tutelare i legittimi interessi del soggetto, previsti dal diritto dello Stato membro in cui vengono trasferiti i dati

3)       prevenire una grave ed immediata minaccia per la sicurezza pubblica dello Stato membro o del Paese Terzo

4)       accertare, esercitare, diffondere un diritto in sede giudiziaria, fermo restando che dati non vengono trasferiti se Autorità competente “valuta i diritti e le libertà fondamentali di interessato prevalenti rispetto all’interesse pubblico del trasferimento”.

Trasferimento deve essere documentato e tali atti messi a disposizione del Garante, specificando: data ed ora del trasferimento; Autorità competente ricevente; motivi del trasferimento; dati personali trasferiti.

Art. 35 Autorità competente può per casi specifici previsti dal diritto UE, trasferire i dati personali direttamente al destinatario stabilito nel Paese Terzo se:

a)trasferimento è necessario ad assolvere i compiti previsti dal diritto UE, o dall’ordinamento interno per conseguire le finalità di cui ad Art. 1

b)Autorità competente valuta i diritti e la libertà dell’interessato non prevalenti rispetto all’interesse pubblico che ne impone il trasferimento

c)Autorità competente ritiene che il trasferimento all’Autorità del Paese Terzo per le finalità di cui ad Art. 1 sia inefficace e non idoneo, in quanto non attuabile tempestivamente

d)Autorità competente di Paese Terzo ne viene informata senza ritardo, “salvo che ciò pregiudichi le finalità per cui il trasferimento è effettuato”

e)Autorità competente informa il destinatario in merito ai motivi per cui i dati personali devono essere trattati, anche in base ad accordi internazionali, o a qualsiasi altro accordo di tipo bilaterale o multilaterale vigente tra gli Stati Membri ed i Paesi Terzi nel settore della cooperazione giudiziaria e di polizia.

Autorità competente informa il Garante del trasferimento dei dati effettuati ai sensi del presente articolo.

Art. 36 Restano in vigore fino alla loro modifica, sostituzione o revoca gli accordi internazionali relativi al trasferimento dei dati personali verso Paesi Terzi ed Organizzazioni internazionali conclusi prima del 06/05/2016 e conformi al diritto UE.

Art. 37 Garante della privacy è l’Autorità di controllo incaricata di vigilare sul D.Lgs. 51/18, al fine di tutelare i diritti e la libertà delle persone fisiche in merito al trattamento dei dati personali. Al riguardo il Garante svolge le seguenti funzioni:

a)diffondere la conoscenza circa i rischi, norme, garanzie, diritti relativi al trattamento dei dati

b)promuovere la consapevolezza da parte del titolare e responsabile del trattamento dati  circa gli obblighi imposti dal Lgs. 51/18

c)esprimere un parere nei casi previsti dalla legge

d)fornire, su richiesta dell’interessato, informazioni in merito all’esercizio dei suoi diritti previsti dal D.Lgs. 51/18, anche tramite collaborazione con le Autorità di controllo di altri Stati membri

e)trattare i reclami presentati dall’interessato o da Organismo, od Organizzazione od Associazione, eseguendo indagini al riguardo ed informando l’interessato circa l’esito delle suddette indagini “entro un termine ragionevole”

f)supportare gli interessati nella presentazione dei reclami

g)accertare la liceità del trattamento dei dati, informando l’interessato circa l’esito della verifica intrapresa od i motivi per cui non è stata eseguita

h)collaborare, anche tramite scambio di informazioni, con le altre Autorità di controllo, al fine di garantire la piena applicazione della D.Lgs. 51/18

i)verificare gli sviluppi tecnologici e sociali (in particolare della tecnologia di informazione e comunicazione) aventi un impatto sulla protezione dei dati personali

j)prestare consulenza in merito al trattamento dei dati

Per eseguire tali attività il Garante può:

a)eseguire indagine sull’applicazione del Lgs. 51/18, anche avvalendosi delle informazioni ricevute da un’altra Autorità di controllo

b)ottenere dal titolare e dal responsabile del trattamento, l’accesso a tutti i dati personali oggetto del trattamento stesso ed ogni altra informazione utile per adempiere ai propri compiti

c)inviare avvertimenti al titolare ed al responsabile del trattamento dati  circa le possibili violazioni al D.Lgs. 51/18

d)imporre al titolare ed al responsabile del trattamento dati di conformarsi a quanto prescritto dal Lgs. 51/18, fissando un determinato termine ed ordinando rettifica o cancellazione dei dati personali, o la limitazione del loro trattamento

e)imporre una limitazione provvisoria o definitiva al trattamento dei dati, incluso suo divieto o blocco

f)segnalare le violazioni accertate del D.Lgs. 51/18

g)denunciare eventuali reati di cui viene a conoscenza nell’esercizio delle proprie funzioni

h)predisporre una relazione annuale sull’attività svolta da inviare al Parlamento ed al  Governo e da mettere a disposizione del pubblico, della Commissione UE e del Comitato, in cui riportare l’elenco delle violazioni notificate e le sanzioni applicate imposte

Le funzioni precedenti sono esercitate dal Garante senza alcuna spesa per l’interessato e per il responsabile della protezione dati.

Garante non prende in considerazione richieste manifestamente infondate” o inammissibili, qualora riproposte, senza nuovi elementi, richieste già respinte.

Garante non è competente in merito ai controlli relativi ai trattamenti effettuati dall’Autorità giudiziaria e dal Pubblico Ministero nell’esercizio delle loro funzioni giurisdizionali.

Art. 38 Garante collabora con la Commissione UE al fine di applicare in modo uniforme il diritto comunitario in materia di protezione dei dati personali, nell’ambito di un processo che prevede assistenza reciproca (compreso scambio di informazioni, esecuzione di ispezioni, indagini, consultazioni) con le Autorità di controllo di altri Stati membri.

Garante non può rifiutarsi di dare seguito a tali richieste, “salvo che sia incompetente, o intervento richiesto violi il diritto interno o quello di UE”.

Art. 39 Interessato, se ritiene che il trattamento dei dati personali viola le disposizioni del D.Lgs. 51/18, inoltra reclamo al Garante, che è tenuto ad informarlo circa l’esito del reclamo stesso (compresa la possibilità di inoltrare ricorso giurisdizionale, qualora l’inosservanza delle disposizioni del D.Lgs. 51/18 viola i suoi diritti).

Art. 40  Interessato può dare mandato ad un Ente del terzo settore (“attivo nel settore della tutela dei diritti della libertà degli interessati, con riguardo alla protezione dei dati personali”) di esercitare per suo conto i diritti di cui ad Art. 39.

Art. 41 Titolare o responsabile del trattamento dati è tenuto al risarcimento del danno patrimoniale o meno, cagionato dal trattamento stesso o da qualsiasi altro atto compiuto in violazione del D.Lgs. 51/18.

Art. 47 L’Autorità di pubblica  sicurezza e le Forze di polizia possono acquisire dati, informazioni, documenti da altri soggetti/Uffici avvalendosi di specifiche convenzioni (modello tipo adottato da Ministero Interno, sul parare del Garante) per agevolare la consultazione (anche per via telematica) di pubblici registri, elenchi, schedari, banche dati.

I dati trattati dalle Forze di polizia sono conservati separatamente da quelli registrati per finalità amministrative. Il Centro elaborazione dati del Dipartimento di pubblica sicurezza assicura “l’aggiornamento  periodico, la proporzionalità, la pertinenza e la non eccedenza dei dati personali trattati, anche attraverso interrogazioni autorizzate del casellario giudizio e del casellario dei carichi pendenti” o di altre banche dati della Polizia.

Comandi di polizia verificano periodicamente i requisiti dei dati trattati di cui agli articoli da 2 a 7 provvedendo al loro aggiornamento sulla base delle procedure adottate dal Centro elaborazione dati di cui sopra.

 

D.Lgs. 101/18 oltre a modificare il D.Lgs. 196/03 stabilisce ad:

Art. 19 Garante entro il 19/9/2018 emette avviso (pubblicato sul suo sito istituzionale e su G.U.) circa la possibilità di intervenire sul trattamento di dati pregressi. Soggetti interessati, entro 60 giorni dalla pubblicazione dell’avviso, possono presentare al Garante una motivata richiesta per trattare reclami, segnalazioni e richieste di verifica preliminare inoltrare entro tale data (Sono esclusi atti per cui si è esaurito l’esame, o di cui il Garante ha già analizzato nel 2018 un sollecito motivato, o una richiesta di trattazione, o è a conoscenza che sono oggetto di un procedimento penale in corso)

Art. 20 disposizioni del codice deontologico vigente ed autorizzazione del Garante continuano a produrre effetti fino alla approvazione del nuovo codice, purché entro il 4/3/2019 le Associazioni e gli altri Organismi rappresentanti le categorie interessate sottopongono le nuove regole al Garante che le deve approvare entro 6 mesi successivi, pena la cessazione dell’efficacia del codice vigente

Le disposizioni contenute nei codici relativi alla protezione dei dati personali riportati negli Allegati 1, 2, 3, 4, 6 di D.Lgs. 196/03 continuano a produrre effetti fino a quando non viene verificato la loro conformità al Reg. 679/16 (comunque non oltre il 4/12/2018)

Art. 21 Garante individua le prescrizioni contenute nelle autorizzazioni adottate in merito al trattamento dei dati che risultano compatibili con il Reg. 679/16, adottando eventualmente un provvedimento di aggiornamento entro 60 giorni dall’esito della consultazione pubblica da intraprendere entro il 4/12/2018

Le autorizzazioni che a seguito della suddetta verifica sono risultate incompatibili con il Reg. 679/16 cessano di produrre effetti dal momento della pubblicazione su G.U. del provvedimento di cui sopra

Violazioni delle prescrizioni contenute nelle autorizzazioni del Garante sono soggette a sanzioni amministrative fino a 10.000.000 € o 2% del fatturato di anno precedente

Sanzioni:

D.Lgs. 196/03, come modificata da D.Lgs. 101/18, stabilisce ad:

Art. 167 chiunque consegue per se o per altri un profitto o arreca un danno all’interessato, o viola quanto disposto dagli Art. 123126, 130 o dal provvedimento di cui ad Art. 129: reclusione da 6 a 18 mesi

Chiunque consegue per se o per altri un profitto o arreca un danno all’interessato, o procede al trattamento dei dati personali in violazione degli Art. 2 sexies, 2 septies, 2 octies, 2 quindiesdecies, o al trasferimento dei dati personali verso un Paese Terzo o un’Organizzazione internazionale fuori dai casi consentiti: reclusione da 1 a 3 anni

Pubblico Ministero quando ha notizia di tali reati ne informa il Garante, che, a sua volta, invia a questo con nota motivata, la documentazione raccolta nell’attività di accertamento qualora emergono fatti che fanno presumere l’esistenza di un reato

Se per lo stesso fatto è stata già riscossa dal Garante una sanzione pecuniaria, la pena è diminuita

Art. 167 bis chiunque comunica o diffonde al fine di trarre profitto per se o per altri o di arrecare danno all’interessato, dati personali di archivio automatizzato o senza il consenso dell’interessato quando invece è richiesto: reclusione da 1 a 6 anni

Art. 167 ter chiunque al fine di trarre profitto per se o per altri o di arrecare danno all’interessato acquisisce con mezzi fraudolenti dati personali di archivio automatizzato: reclusione da 1 a 4 anni

Art. 168 chiunque nel corso di un procedimento davanti al Garante dichiara o attesta false notizie, o produce atti o documenti falsi: reclusione da 6 mesi a 3 anni

Chiunque cagiona intenzionalmente l’interruzione o turba la regolarità di un procedimento davanti al Garante o gli accertamenti da questo svolti: reclusione fino ad 1 anno

Art. 169 abrogato da D.Lgs. 101/18

Art. 170 chiunque non osserva il provvedimento adottato dal Garante: reclusione da 3 mesi a 2 anni

Art. 171 chiunque viola le disposizioni in materia di controllo a distanza ed indagini sulle opinioni dei lavoratori: sanzione da 150 a 1.500 € o reclusione da 15 giorni ad 1 anno

 

D.Lgs. 101/18 stabilisce inoltre ad:

Art. 18 procedimenti sanzionatori per violazioni al D.Lgs. 196/03 non ancora definiti con l’adozione di ordinanza-ingiunzione: ammesso pagamento di una somma pari a 2/5 del minimo da effettuarsi entro il 4/12/2018. Decorso tale termine, l’atto con cui è stata notificata la violazione assume il valore di ordinanza-ingiunzione, senza l’obbligo di ulteriore notifica, fatto salvo che il contravventore non proceda al pagamento degli importi dovuti entro il 4/2/2019 o invia memorie difensive al Garante, che, una volta esaminate, può decidere l’archiviazione dell’atto o adottare l’ordinanza-ingiunzione, definendo la somma dovuta per la violazione accertata con i relativi termini del pagamento (Decisione comunicata al titolare della violazione ed alle persone che vi sono obbligate in solido)

Art. 24 disposizioni per cui D.Lgs. 101/18 ha sostituito le sanzioni penali con quelle amministrative si applicano anche alle violazioni commesse prima del 4/9/2018, purché il procedimento penale non sia stato definito con sentenza irrevocabile (In tal caso il Giudice può revocare la sentenza, dichiarando che il fatto non è più previsto dalla legge come reato, ed adottare i provvedimenti conseguenti)

Nei confronti dei fatti commessi prima del 4/9/2018 può essere applicata: una sanzione pecuniaria di importo non superiore al massimo della pena prevista per il reato in questione, pena accessoria introdotta con D.Lgs. 101/18, salvo che questa sostituisca pena accessoria esistente

Art. 25 Autorità giudiziaria nei casi previsti da Art. 24 dispone l’invio (anche in forma di elenco cumulativo) entro il 4/12/2018 all’Autorità amministrativa gli atti ed i procedimenti penali relativi ai reati trasformati in illeciti amministrativi, salvo che questi risultano prescritti o estinti. In quest’ultimo caso il Pubblico Ministero annota notizie del reato nel registro e ne chiede l’archiviazione

Se l’azione penale viene esercitata, il Giudice emana una sentenza inappellabile, disponendo la trasmissione degli atti all’Autorità amministrativa competente, che notifica gli estremi della violazione agli interessati entro 90 giorni (360 giorni se residenti all’estero), affinché, entro 60 giorni dalla notifica, possano pagare la sanzione ridotta del 50%, oltre alle spese del procedimento (Pagamento determina l’estinzione del procedimento)

 

D.Lgs. 51/18 stabilisce a:

Art.  42 Salvo che il fatto non costituisca reato, la violazione delle disposizioni di cui ad Art. 3, 4, 6, 7,  o il trasferimento di dati personali verso Paese Terzo od Organizzazione internazionale in assenza della decisione di adeguatezza della Commissione UE (salvo quanto previsto da Art. 33 e 34): multa da 50.000 € a 150.000 €.

Salvo che il fatto costituisca reato, la violazione delle disposizioni di cui ad Art. 14, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29: multa da 20.000 a 80.000 €.

 Art. 43 Chiunque al fine di ottenere per se o per altri un profitto o di recare danno ad altri procede al trattamento di dati personali in violazione di Art. 5: arresto da 6 mesi ad 18 mesi (da 6 mesi a 24 mesi se condotta irregolare comporta la diffusione dei dati).

Chiunque al fine di ottenere per se o per altri un profitto, o di recare danno ad altri, procede al trattamento dei dati personali in violazione a quanto da art. 7 e 8: arresto a 1 a 3 anni.

Art.  44 Chiunque in un procedimento davanti al Garante relativo al trattamento dei dati personali, o in caso di accertamento riguardante tali dati, dichiara o attesta il falso, o produce documenti falsi: arresto da 6 mesi a 3 anni.

Art. 45 Chiunque non osserva il provvedimento adottato dal Garante in merito ad un procedimento relativo al trattamento dei dati: arresto da 3 mesi a 2 anni.

Art. 46 La condanna per uno dei delitti previsti dai precedenti articoli comporta sempre la pubblicazione della sentenza.

Entità aiuto:

Legge 167/17 ad art. 29 assegna a decorrere dal 01/01/2018 un contributo aggiuntivo a favore del Garante pari a:

  • 1.400.000 €, per consentirgli il regolare esercizio dei poteri di controllo affidati, considerati anche i compiti derivati dalla partecipazione alle attività di cooperazione con le varie Autorità di protezione dei dati di UE
  • 2.661.750 € per un incremento di 25 nuove unità nel suo organico

D.Lgs. 101/18 stanzia 600.000 € per anno 2018 e 2019 per sostenere oneri di Art. 18 di D.Lgs. 196/03

Posted in: