LEZIONE PRIVACY 2014_2015 caricata
Transcript
LEZIONE PRIVACY 2014_2015 caricata
31/10/2014 Introduzione al diritto alla protezione dei dati personali Michela Rossi [email protected] 1 Diritto alla riservatezza/Diritto alla protezione dei dati personali il diritto alla riservatezza diritto “alla tutela di quelle situazioni personali o familiari svoltesi anche al di fuori del domicilio domestico che non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze non giustificate da interessi pubblici prevalenti, anche se lecite e tali da non offendere l’onore e il decoro. Questo diritto non può essere negato ad alcuna categoria di persone, solo in considerazione della loro notorietà, salvo che un reale interesse sociale all’informazione o altre esigenze pubbliche lo esigano”. (Cass. 27 maggio 1975, n. 2129) il diritto alla protezione dei dati personali Chiunque ha diritto alla protezione dei dati personali che lo riguardano. (art. 1 Codice privacy) 2 1 31/10/2014 Finalità – art. 2 Dlgs. 30 giugno 2003 n. 196 (Codice in materia di protezione dei dati personali) Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. 3 Ambito di applicazione – art. 5 1. ad ogni tipo di trattamento non solo quello elettronico; 2. a qualunque trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato; 3. ai trattamenti svolti da chiunque è stabilito nel territorio di un paese non appartenente alla Unione europea e impiega strumenti situati nel territorio italiano; 4. NON si applica al trattamento dei dati effettuati da persone fisiche per fini esclusivamente personali che non prevedano la diffusione dei dati o la loro comunicazione sistematica. 4 2 31/10/2014 Direttiva 95/46/CE Articolo 25 - Principi 1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva. 2. L'adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità del o dei trattamenti previsti, il paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate. [....] Articolo 26 - Deroghe 1. In deroga all'articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi del'articolo 25, paragrafo 2 può avvenire a condizione che: a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per l'esecuzione di misure precontrattuali prese a richiesta di questa, oppure c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona interessata, tra il responsabile del trattamento e un terzo, oppure d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare, esercitare o difendere un diritto per via giudiziaria, oppure e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure [...] 2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali delle persone, nonché per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali appropriate. 5 Trasferimento dei dati all’estero – Titolo VII Art. 43. Trasferimenti consentiti in Paesi terzi 1. Il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'Unione europea è consentito quando: a) l'interessato ha manifestato il proprio consenso espresso o, se si tratta di dati sensibili, in forma scritta; b) è necessario per l'esecuzione di obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato; c) è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento o, se il trasferimento riguarda dati sensibili o giudiziari, specificato o individuato ai sensi degli articoli 20 e 21; d) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; e) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale; f) è effettuato in accoglimento di una richiesta di accesso ai documenti amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque, con l'osservanza delle norme che regolano la materia; g) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati; 6 3 31/10/2014 Trasferimento dei dati all’estero Art. 44. Altri trasferimenti consentiti 1. Il trasferimento di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è altresì consentito quando è autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato: a) individuate dal Garante anche in relazione a garanzie prestate con un contratto o mediante regole di condotta esistenti nell'ambito di società appartenenti a un medesimo gruppo. L'interessato può far valere i propri diritti nel territorio dello Stato, in base al presente codice, anche in ordine all'inosservanza delle garanzie medesime;(1) b) individuate con le decisioni previste dagli articoli 25, paragrafo 6, e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, con le quali la Commissione europea constata che un Paese non appartenente all'Unione europea garantisce un livello di protezione adeguato o che alcune clausole contrattuali offrono garanzie sufficienti. Art. 45. Trasferimenti vietati 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza 7 Definizioni – art. 4 DATO PERSONALE qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. DATI IDENTIFICATIVI diretta dell’interessato. i dati che permettono l’identificazione DATI ANONIMI il dato che in origine, o a seguito di trattamento, non può più essere associato ad un interessato identificato o identificabile. 8 4 31/10/2014 Definizioni – art. 4 DATI SENSIBILI i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; DATI GIUDIZIARI i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. 9 Definizioni – art. 4 TRATTAMENTO qualunque operazione o complesso di operazioni effettuate, anche senza l’ausilio di strumenti elettronici, concernenti: la raccolta, l’organizzazione, la consultazione, la modificazione, l’estrazione, l’utilizzo, il blocco, la diffusione, la registrazione, la conservazione, l’elaborazione, la selezione, il raffronto, l’interconnessione, la comunicazione, la cancellazione, la distruzione. 10 5 31/10/2014 Definizioni – art. 4 COMUNICAZIONE il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. DIFFUSIONE il dare conoscenza di dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. 11 Ambito soggettivo TITOLARE persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo INTERESSATO La persona cui i dati si riferiscono RESPONSABILE persona fisica, persona giuridica, pubblica amministrazione e qualsiasi altro ente, associazione od organismo INCARICATO Persona fisica 12 6 31/10/2014 L’interessato e il Titolare – art. 28 INTERESSATO del trattamento dati personali. la persona fisica cui si riferiscono i TITOLARE del trattamento la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisione in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. 13 Il responsabile – art. 29 RESPONSABILE del trattamento la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento dei dati personali. In particolare: la sua nomina dal parte del titolare del trattamento è facoltativa; requisiti: esperienza, capacità e affidabilità; è richiesta per la nomina la forma scritta ad substantiam; deve attenersi alle istruzioni impartite dal titolare; 14 7 31/10/2014 L’incaricato – art. 30 INCARICATO del trattamento è la persona fisica autorizzata dal titolare o dal responsabile a compiere le operazioni di trattamento. In particolare: designazione effettuata dal titolare o dal responsabile per iscritto, ad substantiam; gestisce concretamente i dati; è sempre e soltanto una persona fisica; deve attenersi alle istruzioni impartite dal titolare o dal responsabile. 15 I principi ART. 3 – PRINCIPIO di NECESSITA’ NEL TRATTAMENTO DEI DATI Configurazione dei sistemi informativi e dei programmi informatici in modo da ridurre al minimo l’utilizzo di dati personali e identificativi. ART. 11 – MODALITA’ di TRATTAMENTO E REQUISITI DEI DATI -Principio di liceità e correttezza - Principio di finalità (scopi determinati, espliciti e legittimi) -Principio di pertinenza e non eccedenza (non eccedenti le finalità) - conservazione dei dati (diritto all’oblio) 16 8 31/10/2014 I principi Principio di necessità nel trattamento dei dati Articolo 3: I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. 17 I principi Il trattamento e le condizioni di legittimità. L’art. 11 regola i diversi momenti del trattamento: quelli relativi alla raccolta dei dati, ai requisiti dei dati, alle modalità di elaborazione e di conservazione. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza (principio di liceità e correttezza); b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi (principio di finalità); 18 9 31/10/2014 I principi c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati (principio di pertinenza e di non eccedenza); e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati. 19 Le misure “idonee” di sicurezza – art. 31 I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Tali misure: sono ulteriori rispetto a quelle minime; non sono individuate a priori; dipendono dal tipo di dati trattati e dal progresso tecnologico. 20 10 31/10/2014 Le misure “minime” di sicurezza I titolari del trattamento sono tenuti ad adottare le misure minime di sicurezza, tassativamente individuate dallo stesso Codice e da un apposito disciplinare tecnico, volte ad assicurare un livello minimo di protezione dei dati personali (art. 33). Il trattamento effettuato con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime: autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici 21 Segue: Le misure “minime” di sicurezza MANCATA ADOZIONE DELLE MISURE MINIME SANZIONI PENALI E AMMINISTRATIVE 22 11 31/10/2014 L’informativa – art. 13 L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati, oralmente o per iscritto, circa: le finalità e le modalità del trattamento cui sono destinati i dati; la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati; l’ambito di diffusione dei dati medesimi; i diritti spettanti all’interessato; gli estremi identificativi del titolare e, se questo designato, del responsabile 23 L’informativa – art. 13 L’informativa non è dovuta se: i dati sono trattati in base ad un obbligo previsto dalla legge; i dati sono trattati ai fini dello svolgimento delle investigazioni difensive; l’informativa all’interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile. 24 12 31/10/2014 L’informativa (art. 13) OMESSA O INCOMPLETA INFORMATIVA SANZIONI AMMINISTRATIVE 25 Presupposti di legittimità del trattamento DATI PERSONALI Informativa + consenso dell’interessato Trattamento dei dati effettuato da un SOGGETTO PRIVATO DATI SENSIBILI Informativa + Consenso scritto dell’interessato + autorizzazione del Garante DATI GIUDIZIARI solo se autorizzato da espressa previsione di legge DATI PERSONALI Trattamento dei dati effettuato da un SOGGETTO PUBBLICO Informativa + finalizzato all’adempimento delle funzioni istituzionali + nel rispetto dei limiti stabili dal Garante DATI SENSIBILI e DATI GIUDIZIARI solo se autorizzato da espressa previsione di legge 26 13 31/10/2014 Presupposti di legittimità del trattamento Per il trattamento di dati personali da parte di SOGGETTI PRIVATI: è necessario che l’interessato sia previamente informato (informativa); è indispensabile il consenso dell’interessato al trattamento (documentato per iscritto); il consenso deve essere espresso (non tacito), libero, specifico, informato. In taluni casi tassativamente elencati è possibile effettuare il trattamento senza il consenso dell’interessato: ad es. per adempiere ad un obbligo previsto dalla legge, se i dati provengono da pubblici registri, per la salvaguardia della vita o dell’incolumità fisica di un terzo […] (art. 24). 27 Presupposti di legittimità del trattamento Se i SOGGETTI PRIVATI trattano: dati sensibili è necessario che il consenso scritto dell’interessato (forma scritta ad substantiam); è richiesta l’autorizzazione preventiva al trattamento da parte dell’Autorità garante. dati giudiziari: è necessaria la presenza di una norma di legge che espressamente autorizzi il trattamento e ne disciplini le modalità. 28 14 31/10/2014 Art. 5 comma 3 e Facebook L’utente del social network Interessato Titolare del trattamento Art. 5 comma 3 del Codice in base al quale il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli artt. 15 e 31. 29 Presupposti di legittimità del trattamento Per il trattamento di dati personali da parte di SOGGETTI PUBBLICI: è necessario che l’interessato sia previamente informato (informativa); sussiste il limite istituzionale. dello svolgimento della funzione non è richiesto il consenso dell’interessato al trattamento (né preventivo né successivo); 30 15 31/10/2014 Presupposti di legittimità del trattamento Se i SOGGETTI PUBBLICI trattano: dati sensibili o giudiziari: è necessaria la presenza di una norma di legge che espressamente autorizzi il trattamento e ne disciplini le modalità. 31 La notificazione – art. 37 Il titolare deve notificare al Garante che intende procedere al trattamento dei dati solo se tale trattamento riguarda: dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita; dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro; dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 32 16 31/10/2014 La notificazione La notificazione non è un’istanza di autorizzazione, ma è una semplice comunicazione che il titolare effettua al Garante. Deve essere inoltrata utilizzando l’apposito modello Ricevuta la notificazione il Garante è tenuto a registrare le informazioni in essa contenute nel Registro dei Trattamenti che è accessibile al pubblico. 33 La notificazione OMESSA O INCOMPLETA NOTIFICAZIONE SANZIONI AMMINISTRATIVE NOTIFICAZIONE CON NOTIZIE FALSE SANZIONI PENALI 34 17 31/10/2014 I diritti dell’interessato – art. 7 L’interessato ha diritto di ottenere: la conferma dell’esistenza o meno di dati personali che lo riguardano; la loro comunicazione in forma intellegibile; l’indicazione dell’origine dei dati, delle finalità e modalità di trattamento, della logica applicata in caso di trattamento effettuato con l’ausilio di mezzi elettronici, degli estremi identificativi del titolare, dei responsabili, dei soggetti o categorie di soggetti ai quali i dati possono essere comunicati. 35 I diritti dell’interessato – art. 7 L’interessato ha, inoltre, diritto di ottenere: l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati, l’attestazione che le operazione di cui ai primi due punti sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccetto il caso in cui tale adempimento si rileva impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 36 18 31/10/2014 I diritti dell’interessato – art. 7 L’interessato ha, infine, diritto di opporsi, in tutto o in parte: per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta per il compimento di ricerche di mercato o di comunicazione commerciale. 37 Esercizio dei diritti – art. 8 I diritti dell’interessato sono esercitati con richiesta rivolta, senza formalità, al titolare o al responsabile del trattamento, anche per il tramite di un incaricato. (interpello preventivo) Il titolare (o il responsabile del trattamento) è tenuto a fornire idoneo riscontro senza ritardo alla richiesta dell’interessato. Il riscontro deve essere fornito entro 15 g. dal ricevimento della richiesta (art. 146). Il titolare è tenuto, inoltre, ad adottare idonee misure volte ad agevolare l’accesso ai dati personali da parte dell’interessato e a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente. 38 19 31/10/2014 Tutela giurisdizionale dei diritti Per le controversie relative ai diritti di cui all’art. 7, dopo che siano trascorsi 15 g. dalla richiesta di cui all’art. 8 (interpello preventivo) È possibile adire all’autorità giudiziaria (Tribunale monocratico civile) In alternativa è possibile ricorrere dinanzi al Garante (Tutela amministrativa ) Per tutte le controversie che riguardano l’applicazione del Codice privacy la competenza è dell’autorità giudiziaria ordinaria che decide con procedimento camerale ed in composizione monocratica (Tribunale civile in composizione monocratica). 39 Il Garante per la protezione dei dati personali È un’autorità amministrativa indipendente (istituita nel 1996); è organo collegiale costituito da quattro componenti, eletti due dalla Camera dei deputati e due dal Senato della Repubblica; I componenti: sono scelti tra esperti di riconosciuta competenza; durano in carica sette anni; eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. 40 20 31/10/2014 Funzioni del Garante – art. 153 (…) controlla se i trattamenti sono effettuati nel rispetto della disciplina applicabile; provvede sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano; promuove la sottoscrizione di codici deontologici; segnala al Governo e al Parlamento l’opportunità di interventi normativi; esprime pareri; (…). 41 La responsabilità nel trattamento dei dati La responsabilità civile Art 15, Codice privacy: «Chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile». Art. 2050 c.c.: «Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno». 42 21 31/10/2014 La responsabilità nel trattamento dei dati «Chiunque cagiona danno …»: − titolare del trattamento; − responsabile del trattamento, qualora nominato, in solido con il titolare (in quanto «Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare», art. 29, con eventuale diritto di rivalsa). «… ai sensi dell’art. 2050 c.c.»: - l’interessato dovrà provare: l’evento lesivo, il danno subito ed il nesso di causalità, ma non la colpa del titolare o del responsabile (presunzione di colpevolezza); - il titolare (o il responsabile), per non essere tenuto al risarcimento, dovrà provare «di aver adottato tutte le misure idonee ad evitare», in astratto, «il danno». 43 La responsabilità nel trattamento dei dati «… danno (risarcibile)…»: patrimoniale; non patrimoniale. Art. 15. comma 2 « Il danno non patrimoniale è risarcibile anche in caso di violazione dell'articolo 11». 44 22 31/10/2014 La responsabilità nel trattamento dei dati Illeciti penali Il Codice privacy prevede sanzioni penali al fine di garantire il rispetto della normativa sulla tutela dei dati personali. Art. 167. Trattamento illecito di dati 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. 45 La responsabilità nel trattamento dei dati In particolare, in caso di: trattamento illecito dei dati (art. 167), quando vi è: violazione degli artt. 18, 19, 23, …; «nocumento»; dolo specifico «al fine di trarne per sé o per altri profitto o di recare ad altri un danno». 46 23 31/10/2014 La responsabilità nel trattamento dei dati Ed ancora, in caso di: falsità nelle dichiarazioni e notificazioni al Garante (art. 168); mancata adozione delle misure minime di sicurezza (art. 169); 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. inosservanza di provvedimenti del Garante (art. 170); Pene accessorie: pubblicazione della sentenza (art. 172). 47 La responsabilità nel trattamento dei dati Sanzioni amministrative Il Codice privacy prevede sanzioni amministrative in caso di: omessa o inidonea informativa all’interessato (art. 161); mancata adozione di misure minime di sicurezza (art. 162); omessa o incompleta notificazione (art. 163); omessa informazione o esibizione di documenti al Garante (art. 164); (…). 48 24 31/10/2014 Cessazione trattamento – art. 16 In caso di cessazione, per qualsiasi causa, di un trattamento i dati devono essere: Distrutti Ceduti ad altro titolare purchè destinati ad un trattamento in termini compatibili agli scopi per i quali sono stati raccolti Conservati esclusivamente per fini personali e non destinati ad una comunicazione sistematica o alla diffusione Conservati o ceduti ad altro titolare per scopo storici, statistici, scientifici, in conformità alla legge, ai regolamenti […] La cessione in violazione delle disposizioni vigenti è priva di effetti. 49 Cookie – Provvedimento del Garante del 8/05/2014 I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale (solitamente al browser), dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, ecc. I cookie tecnici sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del Codice). I cookie di profilazione sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete. In ragione della particolare invasività che tali dispositivi possono avere nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso. (art. 122 del Codice) 50 25 31/10/2014 Cookie - Provvedimento del Garante del 8/05/2014 il Garante ha stabilito che, d'ora in poi quando si accede alla home page o ad un'altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente: 1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati; 2) che il sito consente anche l'invio di cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando; 3) un link a una informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti"; 4) l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie. Per quanto riguarda l'obbligo di tener traccia del consenso dell'utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l'informativa breve alla seconda visita dell'utente. L'utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l'informativa estesa, che deve essere linkabile da ogni pagina del sito. 51 26