LEZIONE PRIVACY 2014_2015 caricata

31/10/2014
Introduzione al diritto alla
protezione dei dati personali
Michela Rossi
[email protected]
1
Diritto alla riservatezza/Diritto alla protezione
dei dati personali
il diritto alla riservatezza
diritto “alla tutela di quelle situazioni
personali o familiari svoltesi anche al di fuori del domicilio domestico che non
hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze
non giustificate da interessi pubblici prevalenti, anche se lecite e tali da non
offendere l’onore e il decoro. Questo diritto non può essere negato ad alcuna
categoria di persone, solo in considerazione della loro notorietà, salvo che un
reale interesse sociale all’informazione o altre esigenze pubbliche lo esigano”.
(Cass. 27 maggio 1975, n. 2129)
il diritto alla protezione dei dati personali
Chiunque ha
diritto alla protezione dei dati personali che lo riguardano. (art. 1 Codice
privacy)
2
1
31/10/2014
Finalità – art. 2
Dlgs. 30 giugno 2003 n. 196 (Codice in materia di
protezione dei dati personali)
Il presente testo unico, di seguito denominato "codice", garantisce che
il trattamento dei dati personali si svolga nel rispetto dei diritti e
delle libertà fondamentali, nonché della dignità dell'interessato,
con particolare riferimento alla riservatezza, all'identità personale
e al diritto alla protezione dei dati personali.
3
Ambito di applicazione – art. 5
1.
ad ogni tipo di trattamento non solo quello elettronico;
2.
a qualunque trattamento di dati personali, anche detenuti
all’estero, effettuato da chiunque è stabilito nel territorio dello
Stato o in un luogo comunque soggetto alla sovranità dello
Stato;
3.
ai trattamenti svolti da chiunque è stabilito nel territorio di un
paese non appartenente alla Unione europea e impiega
strumenti situati nel territorio italiano;
4.
NON si applica al trattamento dei dati effettuati da persone
fisiche per fini esclusivamente personali che non prevedano la
diffusione dei dati o la loro comunicazione sistematica.
4
2
31/10/2014
Direttiva 95/46/CE
Articolo 25 - Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a
essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello
di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L'adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un
trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità
del o dei trattamenti previsti, il paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel
paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate. [....]
Articolo 26 - Deroghe
1. In deroga all'articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri
dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi
del'articolo 25, paragrafo 2 può avvenire a condizione che:
a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure
b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per
l'esecuzione di misure precontrattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona
interessata, tra il responsabile del trattamento e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare,
esercitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure [...]
2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati
personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il
responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali
delle persone, nonché per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali
appropriate.
5
Trasferimento dei dati all’estero – Titolo VII
Art. 43. Trasferimenti consentiti in Paesi terzi
1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di
trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando:
a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta;
b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della
conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a
favore dell'interessato;
c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento
riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;
d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e
quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di
volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un
convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo
82, comma 2;
e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo
strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni
estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la
materia;
g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero
per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto
legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto
dai medesimi codici, presso altri archivi privati;
6
3
31/10/2014
Trasferimento dei dati all’estero
Art. 44. Altri trasferimenti consentiti
1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione
europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato:
a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta
esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel
territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime;(1)
b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE
del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un
Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole
contrattuali offrono garanzie sufficienti.
Art. 45. Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con
qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente
all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un
livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti,
le relative finalità, la natura dei dati e le misure di sicurezza
7
Definizioni – art. 4
DATO PERSONALE
qualunque informazione relativa a persona
fisica, identificata o identificabile, anche indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi compreso un numero di identificazione
personale.
DATI IDENTIFICATIVI
diretta dell’interessato.
i dati che permettono l’identificazione
DATI ANONIMI
il dato che in origine, o a seguito di trattamento, non
può più essere associato ad un interessato identificato o identificabile.
8
4
31/10/2014
Definizioni – art. 4
DATI SENSIBILI
i dati personali idonei a rivelare l'origine razziale ed
etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a
rivelare lo stato di salute e la vita sessuale;
DATI GIUDIZIARI
i dati personali idonei a rivelare provvedimenti di
cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14
novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle
sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o
la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice
di procedura penale.
9
Definizioni – art. 4
TRATTAMENTO
qualunque operazione o complesso di
operazioni effettuate, anche senza l’ausilio di strumenti elettronici,
concernenti:
la raccolta,
l’organizzazione,
la consultazione,
la modificazione,
l’estrazione,
l’utilizzo,
il blocco,
la diffusione,
la registrazione,
la conservazione,
l’elaborazione,
la selezione,
il raffronto,
l’interconnessione,
la comunicazione,
la cancellazione,
la distruzione.
10
5
31/10/2014
Definizioni – art. 4
COMUNICAZIONE
il dare conoscenza dei dati personali a uno o più
soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel
territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione.
DIFFUSIONE
il dare conoscenza di dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione.
11
Ambito soggettivo
TITOLARE
persona fisica, persona giuridica,
pubblica amministrazione e qualsiasi
altro ente, associazione od organismo
INTERESSATO
La persona cui i
dati si riferiscono
RESPONSABILE
persona fisica, persona giuridica,
pubblica amministrazione e qualsiasi
altro ente, associazione od organismo
INCARICATO
Persona fisica
12
6
31/10/2014
L’interessato e il Titolare – art. 28
INTERESSATO del trattamento
dati personali.
la persona fisica cui si riferiscono i
TITOLARE del trattamento
la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od organismo
cui competono, anche unitamente ad altro titolare, le decisione in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza.
13
Il responsabile – art. 29
RESPONSABILE del trattamento
la persona fisica, la persona
giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione o
organismo preposti dal titolare al trattamento dei dati personali.
In particolare:
la sua nomina dal parte del titolare del trattamento è facoltativa;
requisiti: esperienza, capacità e affidabilità;
è richiesta per la nomina la forma scritta ad substantiam;
deve attenersi alle istruzioni impartite dal titolare;
14
7
31/10/2014
L’incaricato – art. 30
INCARICATO del trattamento
è la persona fisica autorizzata dal
titolare o dal responsabile a compiere le operazioni di trattamento.
In particolare:
designazione effettuata dal titolare o dal responsabile per iscritto,
ad substantiam;
gestisce concretamente i dati;
è sempre e soltanto una persona fisica;
deve attenersi alle istruzioni impartite dal titolare o dal responsabile.
15
I principi
ART. 3 – PRINCIPIO di NECESSITA’ NEL TRATTAMENTO DEI DATI
Configurazione dei sistemi informativi e dei programmi informatici in modo da
ridurre al minimo l’utilizzo di dati personali e identificativi.
ART. 11 – MODALITA’ di TRATTAMENTO E REQUISITI DEI DATI
-Principio di liceità e correttezza
- Principio di finalità (scopi determinati, espliciti e legittimi)
-Principio di pertinenza e non eccedenza (non eccedenti le finalità)
- conservazione dei dati (diritto all’oblio)
16
8
31/10/2014
I principi
Principio di necessità nel trattamento dei dati
Articolo 3: I sistemi informativi e i programmi informatici sono configurati
riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in
modo da escluderne il trattamento quando le finalità perseguite nei
singoli casi possono essere realizzate mediante, rispettivamente, dati
anonimi od opportune modalità che permettano di identificare
l’interessato solo in caso di necessità.
17
I principi
Il trattamento e le condizioni di legittimità.
L’art. 11 regola i diversi momenti del trattamento: quelli relativi alla
raccolta dei dati, ai requisiti dei dati, alle modalità di elaborazione e
di conservazione.
I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza (principio di liceità e
correttezza);
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del trattamento in termini compatibili con tali
scopi (principio di finalità);
18
9
31/10/2014
I principi
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per
le quali sono raccolti o successivamente trattati (principio di
pertinenza e di non eccedenza);
e) conservati in una forma che consenta l’identificazione dell’interessato per
un periodo di tempo non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
I dati personali trattati in violazione della disciplina rilevante in
materia di trattamento dei dati personali non possono essere
utilizzati.
19
Le misure “idonee” di sicurezza – art. 31
I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della
raccolta.
Tali misure:
sono ulteriori rispetto a quelle minime;
non sono individuate a priori;
dipendono dal tipo di dati trattati e dal progresso tecnologico.
20
10
31/10/2014
Le misure “minime” di sicurezza
I titolari del trattamento sono tenuti ad adottare le misure minime
di sicurezza, tassativamente individuate dallo stesso Codice e da un
apposito disciplinare tecnico, volte ad assicurare un livello minimo di
protezione dei dati personali (art. 33).
Il trattamento effettuato con strumenti elettronici è consentito
solo se sono adottate le seguenti misure minime:
autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del trattamento
consentito ai singoli incaricati e addetti alla gestione o alla manutenzione
degli
strumenti elettronici
21
Segue: Le misure “minime” di sicurezza
MANCATA
ADOZIONE
DELLE MISURE
MINIME
SANZIONI
PENALI
E
AMMINISTRATIVE
22
11
31/10/2014
L’informativa – art. 13
L’interessato o la persona presso la quale sono raccolti i dati personali
sono previamente informati, oralmente o per iscritto, circa:
le finalità e le modalità del trattamento cui sono destinati i dati;
la natura obbligatoria o facoltativa del conferimento dei dati;
le conseguenze di un eventuale rifiuto di rispondere;
i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati
o che possono venirne a conoscenza in qualità di responsabili o incaricati;
l’ambito di diffusione dei dati medesimi;
i diritti spettanti all’interessato;
gli estremi identificativi del titolare e, se questo designato, del responsabile
23
L’informativa – art. 13
L’informativa non è dovuta se:
i dati sono trattati in base ad un obbligo previsto dalla legge;
i dati sono trattati ai fini dello svolgimento delle investigazioni
difensive;
l’informativa all’interessato comporta un impiego di mezzi che il
Garante dichiari manifestamente sproporzionati rispetto al
diritto tutelato, ovvero si riveli, a giudizio del Garante,
impossibile.
24
12
31/10/2014
L’informativa (art. 13)
OMESSA O
INCOMPLETA
INFORMATIVA
SANZIONI
AMMINISTRATIVE
25
Presupposti di legittimità del trattamento
DATI PERSONALI
Informativa + consenso dell’interessato
Trattamento dei
dati effettuato da
un SOGGETTO
PRIVATO
DATI SENSIBILI
Informativa + Consenso scritto dell’interessato +
autorizzazione del Garante
DATI GIUDIZIARI
solo se autorizzato da espressa previsione di legge
DATI PERSONALI
Trattamento dei
dati effettuato da
un SOGGETTO
PUBBLICO
Informativa + finalizzato all’adempimento delle funzioni
istituzionali + nel rispetto dei limiti stabili dal Garante
DATI SENSIBILI e DATI GIUDIZIARI
solo se autorizzato da espressa previsione di legge
26
13
31/10/2014
Presupposti di legittimità del trattamento
Per il trattamento di dati personali da parte di SOGGETTI
PRIVATI:
è necessario che l’interessato sia previamente informato
(informativa);
è indispensabile il consenso dell’interessato al trattamento
(documentato per iscritto);
il consenso deve essere espresso (non tacito), libero,
specifico, informato.
In taluni casi tassativamente elencati è possibile effettuare il trattamento senza il consenso
dell’interessato: ad es. per adempiere ad un obbligo previsto dalla legge, se i dati provengono da
pubblici registri, per la salvaguardia della vita o dell’incolumità fisica di un terzo […] (art. 24).
27
Presupposti di legittimità del trattamento
Se i SOGGETTI PRIVATI trattano:
dati sensibili
è necessario che il consenso scritto dell’interessato (forma
scritta ad substantiam);
è richiesta l’autorizzazione preventiva al trattamento da parte
dell’Autorità garante.
dati giudiziari:
è necessaria la presenza di una norma di legge che
espressamente autorizzi il trattamento e ne disciplini le modalità.
28
14
31/10/2014
Art. 5 comma 3 e Facebook
L’utente del social network
Interessato
Titolare del trattamento
Art. 5 comma 3 del Codice in base al quale il trattamento dei dati
personali effettuato da persone fisiche per fini esclusivamente personali è soggetto
all’applicazione del presente codice solo se i dati sono destinati ad una
comunicazione sistematica o alla diffusione. Si applicano in ogni caso le
disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli artt. 15
e 31.
29
Presupposti di legittimità del trattamento
Per il trattamento di dati personali da parte di SOGGETTI
PUBBLICI:
è necessario che l’interessato sia previamente informato
(informativa);
sussiste il limite
istituzionale.
dello svolgimento della funzione
non è richiesto il consenso dell’interessato al trattamento (né
preventivo né successivo);
30
15
31/10/2014
Presupposti di legittimità del trattamento
Se i SOGGETTI PUBBLICI trattano:
dati sensibili o giudiziari:
è necessaria la presenza di una norma di legge che
espressamente autorizzi il trattamento e ne disciplini le
modalità.
31
La notificazione – art. 37
Il titolare deve notificare al Garante che intende procedere al
trattamento dei dati solo se tale trattamento riguarda:
dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica;
dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita;
dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od
organismi senza scopo di lucro;
dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità
dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di
servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili
per fornire i servizi medesimi agli utenti;
dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché
dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio
sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni,
a comportamenti illeciti o fraudolenti.
32
16
31/10/2014
La notificazione
La notificazione non è un’istanza di autorizzazione, ma è una
semplice comunicazione che il titolare effettua al Garante.
Deve essere inoltrata utilizzando l’apposito modello
Ricevuta la notificazione il Garante è tenuto a registrare le
informazioni in essa contenute nel Registro dei Trattamenti che è
accessibile al pubblico.
33
La notificazione
OMESSA O
INCOMPLETA
NOTIFICAZIONE
SANZIONI
AMMINISTRATIVE
NOTIFICAZIONE
CON NOTIZIE
FALSE
SANZIONI
PENALI
34
17
31/10/2014
I diritti dell’interessato – art. 7
L’interessato ha diritto di ottenere:
la conferma dell’esistenza o meno di dati personali che lo
riguardano;
la loro comunicazione in forma intellegibile;
l’indicazione dell’origine dei dati, delle finalità e modalità di
trattamento, della logica applicata in caso di trattamento
effettuato con l’ausilio di mezzi elettronici, degli estremi
identificativi del titolare, dei responsabili, dei soggetti o categorie
di soggetti ai quali i dati possono essere comunicati.
35
I diritti dell’interessato – art. 7
L’interessato ha, inoltre, diritto di ottenere:
l’aggiornamento, la rettificazione ovvero, quando vi ha
interesse, l’integrazione dei dati;
la cancellazione, la trasformazione in forma anonima o il
blocco dei dati trattati in violazione di legge, compresi quelli di
cui non è necessaria la conservazione in relazione agli scopi per i
quali i dati sono stati raccolti o successivamente trattati,
l’attestazione che le operazione di cui ai primi due punti sono
state portate a conoscenza, anche per quanto riguarda il loro
contenuto, di coloro ai quali i dati sono stati comunicati o diffusi,
eccetto il caso in cui tale adempimento si rileva impossibile o
comporta un impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato.
36
18
31/10/2014
I diritti dell’interessato – art. 7
L’interessato ha, infine, diritto di opporsi, in tutto o in parte:
per motivi legittimi, al trattamento dei dati personali che lo
riguardano, ancorché pertinenti allo scopo della raccolta;
al trattamento di dati personali che lo riguardano a fini di invio di
materiale pubblicitario o di vendita diretta per il compimento di
ricerche di mercato o di comunicazione commerciale.
37
Esercizio dei diritti – art. 8
I diritti dell’interessato sono esercitati con richiesta rivolta, senza
formalità, al titolare o al responsabile del trattamento, anche per il
tramite di un incaricato. (interpello preventivo)
Il titolare (o il responsabile del trattamento) è tenuto a fornire
idoneo riscontro senza ritardo alla richiesta dell’interessato.
Il riscontro deve essere fornito entro 15 g. dal ricevimento della
richiesta (art. 146).
Il titolare è tenuto, inoltre, ad adottare idonee misure volte ad
agevolare l’accesso ai dati personali da parte dell’interessato e a
semplificare le modalità e a ridurre i tempi per il riscontro al
richiedente.
38
19
31/10/2014
Tutela giurisdizionale dei diritti
Per le controversie relative ai diritti di cui all’art. 7, dopo che
siano trascorsi 15 g. dalla richiesta di cui all’art. 8 (interpello preventivo)
È possibile adire all’autorità giudiziaria (Tribunale monocratico
civile)
In alternativa è possibile ricorrere dinanzi al Garante (Tutela
amministrativa )
Per tutte le controversie che riguardano l’applicazione del Codice
privacy la competenza è dell’autorità giudiziaria ordinaria che decide
con procedimento camerale ed in composizione monocratica
(Tribunale civile in composizione monocratica).
39
Il Garante per la protezione dei dati personali
È un’autorità amministrativa indipendente (istituita nel 1996);
è organo collegiale costituito da quattro componenti, eletti due
dalla Camera dei deputati e due dal Senato della Repubblica;
I componenti:
sono scelti tra esperti di riconosciuta competenza;
durano in carica sette anni;
eleggono nel loro ambito un presidente, il cui voto prevale in caso
di parità.
40
20
31/10/2014
Funzioni del Garante – art. 153
(…)
controlla se i trattamenti sono effettuati nel rispetto della disciplina
applicabile;
provvede sui ricorsi presentati dagli interessati o dalle
associazioni che li rappresentano;
promuove la sottoscrizione di codici deontologici;
segnala al Governo e al Parlamento l’opportunità di interventi
normativi;
esprime pareri;
(…).
41
La responsabilità nel trattamento dei dati
La responsabilità civile
Art 15, Codice privacy: «Chiunque cagiona danno ad altri per
effetto del trattamento dei dati personali è tenuto al risarcimento ai
sensi dell’art. 2050 del codice civile».
Art. 2050 c.c.: «Chiunque cagiona danno ad altri nello svolgimento
di un’attività pericolosa, per sua natura o per la natura dei mezzi
adoperati, è tenuto al risarcimento, se non prova di avere
adottato tutte le misure idonee a evitare il danno».
42
21
31/10/2014
La responsabilità nel trattamento dei dati
«Chiunque cagiona danno …»:
− titolare del trattamento;
− responsabile del trattamento, qualora nominato, in solido con il titolare (in
quanto «Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal
titolare», art. 29, con eventuale diritto di rivalsa).
«… ai sensi dell’art. 2050 c.c.»:
- l’interessato dovrà provare: l’evento lesivo, il danno subito ed il nesso di
causalità, ma non la colpa del titolare o del responsabile (presunzione di
colpevolezza);
- il titolare (o il responsabile), per non essere tenuto al risarcimento, dovrà
provare «di aver adottato tutte le misure idonee ad evitare», in astratto, «il danno».
43
La responsabilità nel trattamento dei dati
«… danno (risarcibile)…»:
patrimoniale;
non patrimoniale.
Art. 15. comma 2
« Il danno non patrimoniale è risarcibile anche in caso di violazione
dell'articolo 11».
44
22
31/10/2014
La responsabilità nel trattamento dei dati
Illeciti penali
Il Codice privacy prevede sanzioni penali al fine di garantire il rispetto della normativa
sulla tutela dei dati personali.
Art. 167. Trattamento illecito di dati
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri
profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di
quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è
punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste
nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri
profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di
quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto
deriva nocumento, con la reclusione da uno a tre anni.
45
La responsabilità nel trattamento dei dati
In particolare, in caso di:
trattamento illecito dei dati (art. 167), quando vi è:
violazione degli artt. 18, 19, 23, …;
«nocumento»;
dolo specifico «al fine di trarne per sé o per altri profitto o di
recare ad altri un danno».
46
23
31/10/2014
La responsabilità nel trattamento dei dati
Ed ancora, in caso di:
falsità nelle dichiarazioni e notificazioni al Garante (art. 168);
mancata adozione delle misure minime di sicurezza (art. 169);
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due
anni.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una
prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in
caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta
giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a
pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il
pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli
articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.
inosservanza di provvedimenti del Garante (art. 170);
Pene accessorie: pubblicazione della sentenza (art. 172).
47
La responsabilità nel trattamento dei dati
Sanzioni amministrative
Il Codice privacy prevede sanzioni amministrative in caso di:
omessa o inidonea informativa all’interessato (art. 161);
mancata adozione di misure minime di sicurezza (art. 162);
omessa o incompleta notificazione (art. 163);
omessa informazione o esibizione di documenti al Garante
(art. 164);
(…).
48
24
31/10/2014
Cessazione trattamento – art. 16
In caso di cessazione, per qualsiasi causa, di un trattamento i dati devono
essere:
Distrutti
Ceduti ad altro titolare purchè destinati ad un trattamento in termini compatibili agli
scopi per i quali sono stati raccolti
Conservati esclusivamente per fini personali e non destinati ad una comunicazione
sistematica o alla diffusione
Conservati o ceduti ad altro titolare per scopo storici, statistici, scientifici, in
conformità alla legge, ai regolamenti […]
La cessione in violazione delle disposizioni vigenti è priva di effetti.
49
Cookie – Provvedimento del Garante del 8/05/2014
I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano
al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi
ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Sono usati per
differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni,
memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al
server, ecc.
I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione
su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un
servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare
tale servizio" (cfr. art. 122, comma 1, del Codice).
I cookie di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine di
inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della
navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere
nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debba
essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso.
(art. 122 del Codice)
50
25
31/10/2014
Cookie - Provvedimento del Garante del 8/05/2014
il Garante ha stabilito che, d'ora in poi quando si accede alla home page o ad un'altra
pagina di un sito web deve immediatamente comparire un banner ben visibile, in
cui sia indicato chiaramente:
1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
2) che il sito consente anche l'invio di cookie di "terze parti", ossia di cookie installati da
un sito diverso tramite il sito che si sta visitando;
3) un link a una informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal
sito, dove è possibile negare il consenso alla loro installazione direttamente o
collegandosi ai vari siti nel caso dei cookie di "terze parti";
4) l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del
sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.
Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito è
consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa
breve alla seconda visita dell'utente.
L'utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie
attraverso l'informativa estesa, che deve essere linkabile da ogni pagina del sito.
51
26