Questa sezione contiene la legislazione sulla privacy vigente in Italia:
Codice Privacy (D.Lgs. 196/2003)
Codici di deontologia e buona condotta
Disciplinare tecnico sulle misure di sicurezza
Autorizzazioni generali del Garante
Provvedimenti normativi del Garante
Potete accedere ad un singolo paragrafo selezionandolo dall’elenco o facendo scorrere la pagina. Al termine di ogni paragrafo potrete ritornare qui premendo
IL CODICE PRIVACY
Il 1° gennaio 2004 è entrato in vigore il Decreto Legislativo n. 196 del 30 giugno 2003, denominato “Codice in materia di protezione dei dati personali” o “Testo Unico sulla Privacy” o, più semplicemente, Codice Privacy. Diversi rinvii parlamentari, limitatamente alla sola applicazione delle misure minime di sicurezza previste, ne hanno procrastinata la piena applicazione al 31 marzo 2006. Con la precedente Legge 675/1996 le aziende interessate ai trattamenti erano in maggioranza di notevoli dimensioni, sia dal punto di vista fisico che organizzativo. L’utilizzo intensivo di Internet e delle sue applicazioni e la consapevolezza del diritto alla protezione dei dati personali in strati sempre più ampi della popolazione ha obbligato il legislatore alla redazione di una normativa adeguata ai tempi. Il Decreto Legislativo 196/2003 abroga la 675/1996 e tutte le norme collegate successive, cioè le annulla e le sostituisce integralmente.
Il Codice Privacy è suddiviso in tre parti:
Essa contiene sia i principi della privacy, i relativi diritti e le modalità di esercitarli, che i doveri conseguenti al possesso di dati personali ed è ulteriormente suddivisa nei seguenti titoli:
I. Principi generali, il diritto universale alla protezione dei dati personali (art. 1), le finalità della normativa (art. 2), il principio di necessità nel trattamento dei dati (art. 3), le definizioni dei vari termini utilizzati (art. 4), l’oggetto e l’ambito di applicazione (art. 5) e la disciplina del trattamento nel Codice Privacy (art. 6);
II. Diritti dell’interessato, i diritti di accesso ai dati personali (art. 7) e le modalità per esercitarli (artt. 8-9-10);
III. Regole generali per il trattamento dei dati, le modalità del trattamento (art. 11), i codici deontologici (art. 12), l’informativa (art. 13), la definizione dei profili e della personalità dell’interessato (art. 14), i danni cagionati per effetto del trattamento (art. 15), la cessazione del trattamento (art. 16), il trattamento che presenta rischi specifici (art. 17), le regole ulteriori per i soggetti pubblici (art. da 18 a 22), il consenso (artt. 23-24), la comunicazione e la diffusione (art. 25) e le garanzie per i dati sensibili (art. 26) e giudiziari (art. 27);
IV. Soggetti che effettuano il trattamento, il Titolare (art. 28), il Responsabile (art. 29) e l’Incaricato (art. 30);
V. Sicurezza dei dati e dei sistemi, gli obblighi di sicurezza (art. 31), le misure di sicurezza per particolari titolari (art. 32), le misure minime di sicurezza (art. 33), le norme per i trattamenti con (art. 34) e senza (art. 35) strumenti elettronici e l’adeguamento del disciplinare tecnico (art. 36);
VI. Adempimenti, la notificazione, con le modalità e gli obblighi di comunicazione al Garante, (artt. 37-38-39) e le autorizzazioni generali, con le relative richieste al Garante (artt. 40-41);
VII. Trasferimento dei dati all’estero, consentiti all’interno (art. 42) ed al di fuori (artt. 43-44) dell’Unione Europea, e vietate (art. 45).
Essa riguarda esclusivamente i trattamenti effettuati negli ambiti:
· giudiziario (artt. da 46 a 52);
· forze di polizia (artt. da 53 a 57);
· difesa e sicurezza dello Stato (art. 58);
· pubblica amministrazione (artt. da 59 a 74);
· sanitario (artt. da 75 a 94);
· scolastico (artt. 95 e 96);
· storico, statistico o scientifico (artt. da 97 a 110);
· lavoro e previdenza sociale (artt. da 111 a 116);
· bancario, finanziario ed assicurativo (artt. da 117 a 120);
· comunicazioni elettroniche (artt. da 121 a 134);
· libere professioni ed investigazione privata (art. 135);
· giornalismo ed espressione letteraria ed artistica (artt. da 136 a 139);
· marketing diretto (art. 140).
Essa descrive le tutele amministrative e giurisdizionali del Garante, cioè le procedure per presentare una segnalazione, un reclamo o un ricorso al Garante, le prerogative del Garante, del suo Ufficio e degli organi di accertamento, le sanzioni per violazioni amministrative ed illeciti penali, le disposizioni di modifica ed abrogative della normativa precedente e le norme transitorie e finali.
Per una dettagliata spiegazione delle procedure per presentare una segnalazione, un reclamo o un ricorso vi rimandiamo alla sezione Accesso al Garante
Il Codice Privacy è completato dai seguenti allegati:
Esso contiene i codici deontologici relativi al trattamento dei dati, previsti dal Codice Privacy. Attualmente sono presenti quelli relativi al trattamento di dati personali nell’esercizio dell’attività giornalistica, al trattamento di dati personali per scopi storici, statistici e di ricerca scientifica, ai sistemi informativi privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti, ed ai trattamenti di dati personali effettuati per svolgere investigazioni difensive.
E’ il disciplinare tecnico in materia di misure minime di sicurezza, richiamato dagli articoli 34, 35 e 36 del Codice Privacy.
Contiene l’elenco delle misure minime di sicurezza che chiunque deve almeno applicare per proteggere i dati in suo possesso. Occorre notare le misure di sicurezza citate nell’Allegato B sono insufficienti nella maggior parte dei casi, ma sono un buon punto di partenza per attuare una politica della sicurezza nella vostra attività.
Per una dettagliata spiegazione delle misure minime di sicurezza vi rimandiamo alla sezione Adempimenti preliminari
Esso dovrebbe contenere le norme relative ai trattamenti effettuati in ambito giudiziario o per fini di polizia, ma è attualmente in attesa dei decreti di attuazione del Ministro della Giustizia (art. 46) e del Ministro dell’Interno (art. 53).
E’ la tabella di corrispondenza tra il D.Lgs. 196/2003 e le precedenti norme, abrogate con l’entrata in vigore del Codice Privacy.
Se siete interessati a leggere il testo vigente del D.Lgs. 196/2003, completo degli allegati, selezionate il seguente link:
Codice Privacy (Testo consolidato vigente)
Se invece volete conoscere la cronologia delle modifiche alle leggi sulla privacy, selezionate:
Codice Privacy Story
I CODICI DEONTOLOGICI
I codici deontologici ad oggi inseriti nel Codice Privacy sono:
· Codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica
Questo codice deontologico è stato acquisito come Allegato A.1, con il Provvedimento del Garante del 29 luglio 1998, pubblicato sulla G.U. n.179 del 3 agosto 1998.
Se siete interessati a leggerlo premete QUI
· Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici
Questo codice deontologico è stato acquisito come Allegato A.2, con il Provvedimento del Garante n. 8/P/2001 del 14 marzo 2001, pubblicato sulla G.U. n.80 del 5 aprile 2001.
Se siete interessati a leggerlo premete QUI
· Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del sistema statistico nazionale
Questo codice deontologico è stato acquisito come Allegato A.3, con il Provvedimento del Garante n. 13 del 31 luglio 2002, pubblicato sulla G.U. n.230 del 1 ottobre 2002.
Se siete interessati a leggerlo premete QUI
· Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici
Questo codice deontologico è stato acquisito come Allegato A.4, con il Provvedimento del Garante n. 2 del 16 giugno 2004, pubblicato sulla G.U. n.190 del 14 agosto 2004.
Se siete interessati a leggerlo premete QUI
· Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti
Questo codice deontologico è stato acquisito come Allegato A.5, con il Provvedimento del Garante n. 8 del 16 novembre 2004, pubblicato sulla G.U. n.300 del 23 dicembre 2004 e, modificato per errata corrige, sulla G.U. n.56 del 9 marzo 2005.
Il codice è completo del modello di informativa consigliato dal Garante.
Se siete interessati a leggerlo premete QUI
· Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive
Questo codice deontologico è stato acquisito come Allegato A.6, con il Provvedimento del Garante n. 60 del 6 novembre 2008, pubblicato sulla G.U. n.275 del 24 novembre 2008.
Se siete interessati a leggerlo premete QUI
IL DISCIPLINARE TECNICO
Il Disciplinare tecnico in materia di misure minime di sicurezza, o Allegato B al Codice Privacy, è l’elenco delle misure minime di sicurezza che il titolare deve adottare per non incorrere nelle sanzioni penali previste dal Codice Privacy.
L’Allegato B può essere definito il regolamento di esecuzione degli articoli 33 (Misure minime), 34 (Trattamenti con strumenti elettronici), 35 (Trattamenti senza l'ausilio di strumenti elettronici) e 36 (Adeguamento).
Esso è costituito dai seguenti 29 articoli:
Trattamento con strumenti elettronici
Sistema di autenticazione informatica
1 Obbligo di utilizzo delle credenziali di autenticazione per accedere allo strumento elettronico
2 Definizione del formato delle credenziali di autenticazione (codice di identificazione e parola chiave)
3 Criteri di assegnazione delle credenziali di autenticazione
4 Obblighi di segretezza della parola chiave
5 Definizione del formato della parola chiave ed obbligo di aggiornamento della stessa almeno ogni sei mesi, o tre mesi se nello strumento elettronico sono contenuti dati sensibili o giudiziari
6 Univocità del codice di identificazione
7 Disattivazione delle credenziali di autenticazione a causa dell’inutilizzo delle stesse per almeno sei mesi
8 Disattivazione delle credenziali di autenticazione per rimozione dell’incaricato
9 Protezione dello strumento elettronico per inutilizzo temporaneo dello strumento elettronico
10 Norme per l’accesso ai dati in caso di assenza dell'incaricato
11 Inapplicabilità delle precedenti disposizioni ai trattamenti di dati diffusi
Sistema di autorizzazione
12 Criteri di necessità dei profili di autorizzazione
13 Norme per la creazione dei profili di autorizzazione
14 Obbligo di verifica, almeno annuale, dei profili di autorizzazione
Altre misure di sicurezza
15 Obbligo di aggiornamento, almeno annuale, della lista degli incaricati
16 Obbligo di aggiornamento, almeno semestrale, della protezione dello strumento elettronico dall’intrusione elettronica (virus, spyware, ecc.)
17 Obbligo di aggiornamento dei programmi, almeno annuale, o semestrale se nello strumento elettronico sono contenuti dati sensibili o giudiziari
18 Obbligo di salvataggio, entro sette giorni, dei dati contenuti nello strumento elettronico su un supporto removibile (floppy-disk, cd-rom, hard-disk, ecc.)
Documento programmatico sulla sicurezza
19 Obbligo di redazione od aggiornamento annuale, entro il 31 marzo, di un documento che contenga:
19.1 l’elenco dei trattamenti di dati personali
19.2 la distribuzione dei compiti e delle responsabilità
19.3 l’analisi dei rischi a cui sono sottoposti i dati personali
19.4 l’elenco delle misure di sicurezza adottate e da adottare
19.5 le norme per il ripristino dei dati in caso di distruzione o danneggiamento
(Disaster Recovery)
19.6 la previsione degli interventi di formazione degli incaricati al trattamento dei dati
19.7 le norme adottate per l’affidamento dei dati all'esterno della struttura
(Outsourcing)
19.8 le norme per la cifratura o la separazione dei dati personali idonei a rivelare lo stato di salute e la vita sessuale
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20 Obbligo di protezione continua da intrusione sugli strumenti elettronici
21 Obbligo di protezione da accessi non autorizzati ai supporti removibili
22 Obbligo di distruzione dei supporti removibili inutilizzati
23 Obbligo di ripristino dei dati, entro sette giorni, nel caso di anomalie dello strumento elettronico
24 Norme per gli organismi sanitari e gli esercenti le professioni sanitarie che effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
Misure di tutela e garanzia
25 Obbligo di rilascio del certificato di conformità da parte degli installatori esterni di hardware e software
26 Obbligo del titolare di riferire nella relazione accompagnatoria del bilancio d'esercizio, se dovuta, circa l'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza
Trattamento senza l'ausilio di strumenti elettronici
27 Norme per gli incaricati al trattamento degli archivi cartacei
28 Obblighi di custodia degli archivi cartacei contenenti dati sensibili e giudiziari
29 Obblighi di tenuta di un registro degli accessi agli archivi cartacei contenenti dati sensibili e giudiziari
Se siete interessati a leggere il testo completo del Disciplinare tecnico premete QUI
LE AUTORIZZAZIONI
Il Codice Privacy (art. 40) obbliga il titolare che intende trattare dati sensibili e giudiziari a richiedere un’autorizzazione preventiva, salvo che il Garante non abbia già provveduto a fornire un’Autorizzazione generale per la vostra categoria o per il vostro specifico trattamento.
Nel caso contrario dovrete inviare al Garante della Privacy un’apposita richiesta specificando tipologia, modalità e limiti del trattamento che volete effettuare.
Le Autorizzazioni generali vigenti, con validità fino al 30 giugno 2011, sono:
-
Autorizzazione n. 1/2009 al trattamento dei dati sensibili nei rapporti di lavoro
Questa autorizzazione del 16 dicembre 2009, pubblicata sulla G.U. n. 13 del 18 gennaio 2010, consente il trattamento dei dati sensibili fino al 30 giugno 2011 nella gestione dei rapporti di lavoro.
Se siete interessati a leggerla premete QUI
-
Autorizzazione n. 2/2009 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale
Questa autorizzazione del 16 dicembre 2009, pubblicata sulla G.U. n. 13 del 18 gennaio 2010, consente il trattamento dei dati sensibili relativi allo stato di salute ed alla vita sessuale fino al 30 giugno 2011 agli esercenti le professioni sanitarie, agli organismi sanitari pubblici e privati.
Se siete interessati a leggerla premete QUI
-
Autorizzazione n. 3/2009 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni
Questa autorizzazione del 16 dicembre 2009, pubblicata sulla G.U. n. 13 del 18 gennaio 2010, consente il trattamento dei dati sensibili fino al 30 giugno 2011 agli organismi di tipo associativo (associazioni, partiti, sindacati, cooperative, ecc.) ed alle fondazioni.
Se siete interessati a leggerla premete QUI
-
Autorizzazione n. 4/2009 al trattamento dei dati sensibili da parte dei liberi professionisti
Questa autorizzazione del 16 dicembre 2009, pubblicata sulla G.U. n. 13 del 18 gennaio 2010, consente il trattamento dei dati sensibili fino al 30 giugno 2011 ai liberi professionisti iscritti in albi o elenchi professionali.
Se siete interessati a leggerla premete QUI
-
Autorizzazione n. 5/2009 al trattamento dei dati sensibili da parte di diverse categorie di titolari
Questa autorizzazione del 16 dicembre 2009, pubblicata sulla G.U. n. 13 del 18 gennaio 2010, consente il trattamento dei dati sensibili fino al 30 giugno 2011 ai titolari del trattamento che operano nei seguenti settori d’attività:
· banche, credito, assicurazione;
· gestione fondi pensione, assistenza e previdenza;
· gestione carte di credito ed altri mezzi di pagamento;
· rilevazione dei rischi e recupero crediti;
· elaborazione dei dati in outsourcing;
· trasmissione dati;
· imbustamento e smistamento corrispondenza;
· gestione di esattorie e tesorerie;
· turismo e trasporto;
· sondaggi d’opinione e ricerche di mercato;
· selezione del personale;
· mediazione a fini matrimoniali.
Se siete interessati a leggerla premete QUI
-
Autorizzazione n. 6/2009 al trattamento dei dati sensibili da parte degli investigatori privati
Questa autorizzazione del 16 dicembre 2009, pubblicata sulla G.U. n. 13 del 18 gennaio 2010, consente il trattamento dei dati sensibili fino al 30 giugno 2011 agli investigatori privati.
Se siete interessati a leggerla premete QUI
-
Autorizzazione n. 7/2009 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici
Questa autorizzazione del 16 dicembre 2009, pubblicata sulla G.U. n. 13 del 18 gennaio 2010, consente il trattamento dei dati giudiziari fino al 30 giugno 2011 nell’ambito dei rapporti di lavoro, agli organismi di tipo associativo ed alle fondazioni, ai liberi professionistici, alle imprese bancarie ed assicurative e ad altri titolari del trattamento.
Se siete interessati a leggerla premete QUI
La seguente Autorizzazione generale scade il 31 dicembre 2010:
-
Autorizzazione al trattamento dei dati genetici
Questa autorizzazione del 22 febbraio 2007, pubblicata sulla G.U. n. 65 del 19 marzo 2007, con l’ultima proroga del 24 giugno 2010, pubblicata sulla G.U. n. 158 del 9 luglio 2010, consente, fino al 31 dicembre 2010, il trattamento dei dati genetici a coloro che li devono utilizzare per la loro attività professionale (medici, farmacisti, psicologi, avvocati, istituti di ricerca, ecc.).
Se siete interessati a leggerla premete QUI
Le seguenti Autorizzazioni generali sono invece a tempo indeterminato:
-
Autorizzazione al trasferimento verso gli Stati Uniti d'America ('Safe Harbor')
Questa autorizzazione del 10 ottobre 2001, iscritta al n. 36 del Registro delle deliberazioni e pubblicata sulla G.U. n. 275 del 26 novembre 2001 – Suppl. Ordinario n.250, consente i trasferimenti di dati personali dal territorio dello Stato verso organizzazioni aventi sede negli Stati Uniti effettuati sulla base e in conformità ai "Principi di approdo sicuro in materia di riservatezza", applicati in conformità alle "Domande più frequenti" (FAQ) e all'ulteriore documentazione allegata alla Decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE.
Se siete interessati a leggerla premete QUI
-
Autorizzazione al trasferimento dei dati verso la Svizzera
Questa autorizzazione del 17 ottobre 2001, iscritta al n. 37 del Registro delle deliberazioni e pubblicata sulla G.U. n. 275 del 26 novembre 2001 – Suppl. Ordinario n.250, consente i trasferimenti di dati personali dal territorio dello Stato verso la Svizzera, in conformità a quanto previsto alla Decisione della Commissione europea del 26 luglio 2000 n. 2000/518/CE.
Se siete interessati a leggerla premete QUI
-
Autorizzazione al trasferimento di dati personali verso il Canada
Questa autorizzazione del 30 aprile 2003, iscritta al n. 6 del Registro delle deliberazioni e pubblicata sulla G.U. n. 191 del 19 agosto 2003, consente i trasferimenti di dati personali dal territorio dello Stato verso soggetti che trattano dati personali in applicazione della legge canadese sulla tutela delle informazioni personali e sui documenti elettronici ("the Canadian Act") del 13 aprile 2000, nei limiti in cui tale legge è applicabile e in conformità a quanto previsto alla Decisione della Commissione europea del 20 dicembre 2001 n. 2002/2/CE.
Se siete interessati a leggerla premete QUI
-
Autorizzazione al trasferimento dei dati verso il Baliato di Guernsey
Questa autorizzazione del 7 settembre 2004, iscritta al n. 5-ter del Registro delle deliberazioni e pubblicata sulla G.U. n. 169 del 22 luglio 2005, consente i trasferimenti di dati personali dal territorio dello Stato verso il Baliato di Guernsey, con effetto dal termine previsto dall'art. 6 della decisione della Commissione europea del 21 novembre 2003 n. 2003/821/CE e in conformità alla decisione medesima.
Se siete interessati a leggerla premete QUI
-
Autorizzazione al trasferimento dei dati personali verso l'Argentina
Questa autorizzazione del 9 giugno 2005, iscritta al n. 10 del Registro delle deliberazioni e pubblicata sulla G.U. n. 171 del 25 luglio 2005, consente i trasferimenti di dati personali dal territorio dello Stato verso l'Argentina, con effetto dal termine previsto dall'art. 5 della decisione della Commissione europea del 30 giugno 2003 n. 2003/490/CE e in conformità alla decisione medesima.
Se siete interessati a leggerla premete QUI
-
Autorizzazione al trasferimento dei dati personali verso l'Isola di Man
Questa autorizzazione del 9 giugno 2005, iscritta al n. 11 del Registro delle deliberazioni e pubblicata sulla G.U. n. 171 del 25 luglio 2005, consente i trasferimenti di dati personali dal territorio dello Stato verso l'Isola di Man, con effetto dal termine previsto dall'art. 6 della decisione della Commissione europea del 28 aprile 2004 n. 2004/411/CE e in conformità alla decisione medesima.
Se siete interessati a leggerla premete QUI
-
Autorizzazione al trasferimento di dati personali dal territorio dello Stato verso Paesi terzi
Questa autorizzazione del 9 giugno 2005, iscritta al n. 12 del Registro delle deliberazioni e pubblicata sulla G.U. n. 171 del 25 luglio 2005, recepisce la decisione della Commissione Europea n. 2004/915/CE del 27 dicembre 2004. Essa consente il trasferimento dei dati personali verso qualunque stato che sottoscriva i contratti tipo elaborati dalla Commissione Europea.
Se siete interessati a leggerla premete QUI
Per leggere i contratti tipo si veda la sezione Normativa comunitaria
I PROVVEDIMENTI NORMATIVI
I provvedimenti normativi sono le interpretazioni fornite dal Garante per la protezione dei dati personali alle norme contenute nel Codice Privacy. Nella apposita sezione della pagina del GARANTE troverete, limitatamente agli argomenti che possono interessare le piccole e medie imprese, gli studi professionali, le associazioni e le cooperative del settore privato:
· Provvedimenti a carattere generale;
· Autorizzazioni generali, citate al paragrafo precedente, e quelle specifiche che il Garante ha emesso su richiesta degli interessati;
· Pareri, richiesti al Garante per ottenere chiarimenti in merito al Codice Privacy;
· Deliberazioni, escluse quelle relative a sanzioni, obblighi e divieti;
· Prescrizioni, escluse quelle relative a sanzioni, obblighi e divieti.
Per leggere i Provvedimenti normativi, premere QUI
Fonti bibliografiche
europa.eu : Unione Europea
www.garanteprivacy.it : Garante italiano per la protezione dei dati personali
www.parlamento.it : Parlamento italiano