Protezione dei dati personali L’enorme sviluppo dell’informatica e delle reti di comunicazione con la derivante capacità di elaborare e conservare enormi quantità di dati hanno creato il problema della protezione dei dati personali noto anche come privacy cioè il problema che il trattamento di dati personali non violi i diritti fondamentali delle persone fisiche e giuridiche. La tutela dei dati personali è contemplata in Italia dalla legge delega 127/2001 o Codice in materia di protezione dei dati personali di cui potete leggere il testo completo al seguente link. Essa sostituisce la precedente legge 675/96 "Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali" il cui testo trovate qui. La norma recepisce una direttiva comunitaria, la direttiva CE dell’ottobre 1995, scaricabile a questo link. Essa dichiara di voler garantire che “il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali” . Per dati personali si intende “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente”. I dati personali che consentono l’identificazione diretta della persona vengono definiti dati identificativi. I dati personali idonei a rivelare • l'origine razziale ed etnica, • le convinzioni religiose, filosofiche o di altro genere, • le opinioni politiche, • l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, • i dati personali idonei a rivelare lo stato di salute e la vita sessuale sono definiti dati sensibili. Vi sono poi i dati giudiziari presenti nel casellario giudiziario ed elencati dettagliatamente nel D.P.R. 14 novembre 2002, n. 313 Testo unico delle disposizioni legislative e regolamentari in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti ; le informazioni relative ad eventuali sanzioni amministrative derivanti dall’aver commesso un reato penale; le informazioni sulla qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Dato anonimo è il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; Si definisce trattamento dei dati qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti • la raccolta, • la registrazione, • l'organizzazione, • la conservazione, • la consultazione, • l'elaborazione, • la modificazione, • la selezione, • l'estrazione, • il raffronto, • l'utilizzo, • l'interconnessione, • il blocco, cioè la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; • la comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
•
la diffusione, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; • la cancellazione e la distruzione di dati; Si definisce titolare, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Ad esempio, quando mi iscrivo a libero.it perché, ad esempio, voglio usufruire dei suoi servizi di posta elettronica. Nel modulo di iscrizione posso leggere un’informativa sul trattamento dei miei dati personali che inizia così.
Informativa di ITALIAONLINE S.r.l. ai sensi dell’articolo 13 D.Lgs. 196/2003 Gentile Cliente,
ai sensi dell'articolo 13 del D.Lgs 196/03, Codice in materia di protezione dei dati personali e sue successive modifiche ed integrazioni (di seguito "Codice Privacy"), Le forniamo la presente Informativa riguardante il trattamento dei Suoi dati personali effettuato da ITALIAONLINE S.r.l. (nel prosieguo “ITALIAONLINE”) in qualità di Titolare del Trattamento, per l'erogazione dei “Servizi di Portale” (Posta Elettronica, Community, Libero Video, Newsletter, Blog, Fotogallery, Chat, ecc.) accessibili agli utenti via Internet tramite il sito web attualmente raggiungibile presso la URL www.libero.it (di seguito "Portale Libero"). In tal modo scopro che il sito appartiene ad una società di nome ITALIAONLINE s.r.l. che gestisce i miei dati ed è la titolare del trattamento, cioè è il soggetto che, naturalmente attraverso i suoi dirigenti, prende decisioni su quali dati conservare, in che modo conservarli, a quale scopo li conserva, chi vi può accedere, eccetera. Se ritengo che vengano lesi i miei diritti relativamente ai miei dati personali è contro la società che dovrò promuovere un’azione legale. In genere, il Titolare è la società, l’ente, o l’associazione e, pertanto, corrisponde ad una persona giuridica. Questo tipo di individuazione comporta un vantaggio concreto perché non dovranno essere riformulati i diversi documenti di privacy al variare della persona fisica che rappresenta legalmente la struttura (ad esempio, al variare dell’amministratore delegato o del Sindaco). Altrimenti, il Titolare è una persona fisica, qualora sia un professionista che esercita individualmente la propria attività. Abbiamo poi il Responsabile del Trattamento. Tale figura riveste un ruolo davvero importante nel processo di trattamento di dati personali che il Titolare mette in atto. Secondo il disposto dell’art. 4, comma 1, lett. g) del Codice Privacy, il Responsabile è "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali ". Il Responsabile è "preposto" dal Titolare. La preposizione è, in questo caso, quel rapporto giuridico attraverso il quale il Titolare (preponente) assegna al Responsabile (preposto), a mezzo formale di nomina, la gestione del trattamento dei dati di propria pertinenza, in tutto o in parte. Incaricati sono le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. Interessato è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso espresso dell'interessato, salve alcune eccezioni. Il consenso è validamente prestato soltanto se è espresso liberamente. Il consenso per il trattamento dei dati comuni può anche essere orale, purché documentato per iscritto, mentre quello per i dati sensibili deve essere prestato esclusivamente in forma scritta. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. L’interessato ha diritto di ottenere l’indicazione: a) dell’origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati. L’interessato ha diritto di ottenere: a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. I dati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; esatti e, se necessario, aggiornati; pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui abbiamo parlato sopra; f) gli estremi identificativi del titolare e del responsabile. Il Garante per la protezione dei dati personali è un’autorità amministrativa indipendente istituita per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali. Tra i diversi compiti del Garante rientrano quelli di: a) controllare che i trattamenti siano effettuati nel rispetto delle norme di legge b) ricevere ed esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati c) vietare anche d'ufficio i trattamenti illeciti o non corretti ed eventualmente disporne il blocco d) promuovere la sottoscrizione di codici di deontologia e buona condotta di determinati settori e) segnalare al Governo e al Parlamento l'opportunità di provvedimenti normativi richiesti dall'evoluzione del settore f) esprimere pareri nei casi previsti g) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità e in materia di misure di sicurezza dei dati h) denunciare i fatti configurabili come reati perseguibili d'ufficio conosciuti nell'esercizio delle sue funzioni i) tenere il registro dei trattamenti j) predisporre una relazione annuale sull'attività svolta da presentare al Governo e al Parlamento k) essere consultato da Governo o Ministri quando questi predispongono norme che incidono sulla materia l) cooperare con le altre Autorità Indipendenti I dati sensibili possono essere trattati soltanto con il consenso scritto dell'interessato e con l'autorizzazione del Garante. Per i soggetti pubblici il trattamento è consentito solo ed esclusivamente se è autorizzato da una legge, che specifichi quali sono i dati trattabili e le operazioni eseguibili, nonché le rilevanti finalità di interesse pubblico che si intendono perseguire. In presenza di una previsione di legge che specifichi le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, i soggetti pubblici, con atto di natura regolamentare adottato in conformità col parere espresso dal Garante, devono
identificare e rendere pubblici i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi. Nel caso in cui il trattamento non è espressamente previsto da una disposizione di legge, i soggetti pubblici possono chiedere una speciale autorizzazione al Garante, rendendo altresì pubblici, nei modi di cui sopra, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi. In tutti i casi, comunque, è necessario fornire all'interessato una completa informativa. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità. La stessa cosa vale per I dati idonei a rivelare lo stato di salute e la vita sessuale che sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I dati idonei a rivelare lo stato di salute non possono essere diffusi. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Nel quadro dei più generali obblighi di sicurezza i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate dalla legge, volte ad assicurare un livello minimo di protezione dei dati personali. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.