Ferdinando Caprilli Directory

Sei in: Home : Competenze : Leggi : Legge 196 Tutela della privacy

Legge 196 Tutela della privacy

 

PARTE I

 DISPOSIZIONI GENERALI

Titolo I

 PRINCIPI GENERALI

Art. 3

 (Principio di necessita' nel trattamento dei dati)

1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalita' perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalita' che permettano di identificare l'interessato solo in caso di necessita'.

Art. 4

 (Definizioni)

1. Ai fini del presente codice si intende per:

 a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

 b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

 c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;

 d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

 e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualita' di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;

 f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalita', alle modalita' del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

 g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

 h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

 i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;

 l) "comunicazione", il dare conoscenza dei dati personali a uno o piu' soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

 m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

 n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non puo' essere associato ad un interessato identificato o identificabile;

 o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

 p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o piu' unita' dislocate in uno o piu' siti;

 q) "Garante", l'autorita' di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675,

 

Titolo II

 DIRITTI DELL'INTERESSATO

Art. 7

 (Diritto di accesso ai dati personali ed altri diritti)

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.

2. L'interessato ha diritto di ottenere l'indicazione:

 a) dell'origine dei dati personali;

 b) delle finalita' e modalita' del trattamento;

 c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;

 d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;

 e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L'interessato ha diritto di ottenere:

 a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;

 b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

 c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L'interessato ha diritto di opporsi, in tutto o in parte:

 a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorche' pertinenti allo scopo della raccolta;

 b) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Titolo III

 REGOLE GENERALI PER IL TRATTAMENTO DEI DATI

CAPO I

 REGOLE PER TUTTI I TRATTAMENTI

Art. 11

(Modalita' del trattamento e requisiti dei dati)

1. I dati personali oggetto di trattamento sono:

 a) trattati in modo lecito e secondo correttezza;

 b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

 c) esatti e, se necessario, aggiornati;

 d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati;

 e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

 

Art. 13

 (Informativa)

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

 a) le finalita' e le modalita' del trattamento cui sono destinati i dati;

 b) la natura obbligatoria o facoltativa del conferimento dei dati;

 c) le conseguenze di un eventuale rifiuto di rispondere;

 d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

 e) i diritti di cui all'articolo 7;

 f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato piu' responsabili e' indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalita' attraverso le quali e' conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, e' indicato tale responsabile.

 

Art. 16

 (Cessazione del trattamento)

1. In caso di cessazione, per qualsiasi causa, di un trattamento i dati sono:

 a) distrutti;

 b) ceduti ad altro titolare, purche' destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; 

 c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;

 d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformita' alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.

2. La cessione dei dati in violazione di quanto previsto dal comma 1, lettera b), o di altre disposizioni rilevanti in materia di trattamento dei dati personali e' priva di effetti.

 

CAPO III

 REGOLE ULTERIORI PER PRIVATI ED ENTI PUBBLICI ECONOMICI

Art. 23

 (Consenso)

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici e' ammesso solo con il consenso espresso dell'interessato.

2. Il consenso puo' riguardare l'intero trattamento ovvero una o piu' operazioni dello stesso.

3. Il consenso e' validamente prestato solo se e' espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se e' documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. 4. Il consenso e' manifestato in forma scritta quando il trattamento riguarda dati sensibili.

 

Art. 24

 (Casi nei quali puo' essere effettuato il trattamento senza consenso)

1. Il consenso non e' richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

 a) e' necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

 b) e' necessario per eseguire obblighi derivanti da un contratto del quale e' parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;

 c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalita' che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilita' e pubblicita' dei dati;

 d) riguarda dati relativi allo svolgimento di attivita' economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

 e) e' necessario per la salvaguardia della vita o dell'incolumita' fisica di un terzo. (continuava ...)

 

Art. 25

 (Divieti di comunicazione e diffusione)

1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall'autorita' giudiziaria:

 a) in riferimento a dati personali dei quali e' stata ordinata la cancellazione, ovvero quando e' decorso il periodo di tempo indicato nell'articolo 11, comma 1, lettera e);

 b) per finalita' diverse da quelle indicate nella notificazione del trattamento, ove prescritta. (continuava ...)

 

Art. 26

 (Garanzie per i dati sensibili)

1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonche' dalla legge e dai regolamenti.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante puo' prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento e' tenuto ad adottare.

3. Il comma 1 non si applica al trattamento:

 a) dei dati relativi agli aderenti alle confessioni religiose

(continuava ...) 

b) dei dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.(continuava ...) 

Art. 27

 (Garanzie per i dati giudiziari)

1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici e' consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalita' di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.

 

TITOLO IV

 SOGGETTI CHE EFFETTUANO IL TRATTAMENTO

Art. 28

 (Titolare del trattamento)

1. Quando il trattamento e' effettuato da una persona giuridica, da una pubblica amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento e' l'entita' nel suo complesso o l'unita' od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalita' e sulle modalita' del trattamento, ivi compreso il profilo della sicurezza.

Art. 29

 (Responsabile del trattamento)

1. Il responsabile e' designato dal titolare facoltativamente.

2. Se designato, il responsabile e' individuato tra soggetti che per esperienza, capacita' ed affidabilita' forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

3. Ove necessario per esigenze organizzative, possono essere designati responsabili piu' soggetti, anche mediante suddivisione di compiti.

4. I compiti affidati al responsabile sono analiticamente specificati per iscritto dal titolare.

5. Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e delle proprie istruzioni.

Art. 30

 (Incaricati del trattamento)

1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorita' del titolare o del responsabile, attenendosi alle istruzioni impartite.

2. La designazione e' effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unita' per la quale e' individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unita' medesima.

Titolo V

 SICUREZZA DEI DATI E DEI SISTEMI

CAPO I

 MISURE DI SICUREZZA

Art. 31

 (Obblighi di sicurezza)

1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalita' della raccolta.

 

CAPO II

 MISURE MINIME DI SICUREZZA

Art. 33

 (Misure minime)

1. Nel quadro dei piu' generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.

Art. 34

 (Trattamenti con strumenti elettronici)

1. Il trattamento di dati personali effettuato con strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

 a) autenticazione informatica;

 b) adozione di procedure di gestione delle credenziali di autenticazione;

 c) utilizzazione di un sistema di autorizzazione;

 d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

 e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

 f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita' dei dati e dei sistemi;

 g) tenuta di un aggiornato documento programmatico sulla sicurezza;

 h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitart.

Art. 35

 (Trattamenti senza l'ausilio di strumenti elettronici)

1. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici e' consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

 a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unita' organizzative;

 b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

 c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalita' di accesso finalizzata all'identificazione degli incaricati.

 

Titolo VI

 ADEMPIMENTI

Art. 37

 (Notificazione del trattamento)

1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

 a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;

 b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita', trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

 c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

 d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalita' dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

 e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonche' dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

 f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita' economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comporta (continuava ...)

 

Art. 38

 (Modalita' di notificazione)

1. La notificazione del trattamento e' presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e puo' anche riguardare uno o piu' trattamenti con finalita' correlate.

2. La notificazione e' validamente effettuata solo se e' trasmessa per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questi impartite, anche per quanto riguarda le modalita' di sottoscrizione con firma digitale e di conferma del ricevimento della notificazione.(continuava ...)

 

Art. 39

 (Obblighi di comunicazione)

1. Il titolare del trattamento e' tenuto a comunicare previamente al Garante le seguenti circostanze:

 a) comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione;

 b) trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui all'articolo 110, comma 1, primo periodo.

 2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possono essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione anche successiva del Garante.

3. La comunicazione di cui al comma 1 e' inviata utilizzando il modello predisposto e reso disponibile dal Garante, e trasmessa a quest'ultimo per via telematica osservando le modalita' di sottoscrizione con firma digitale e conferma del ricevimento di cui all'articolo 38, comma 2, oppure mediante telefax o lettera raccomandata.

 

 



Feed RSS  |  News  |  Segnala la pagina  |  Contatti  |  Mappa del sito
mail@ferdinandocamprilli.it