Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
1
Obie'vi
• Definire gli ambi1 ed i sogge' a cui si applica la norma1va in tema di privacy;
• Iden1ficare e comprendere il conce<o di tra<amento e quello di dato personale, di dato personale sensibile e di dato personale giudiziario;
• Definire le figure coinvolte nel tra<amento di da1 personali e inquadrare le loro principali responsabilità e/o diri';
• Comprendere i principi fondamentali che il TUP impone a chi intende u1lizzare da1 personali altrui.
2
3
Il Testo Unico sulla Privacy (D. Lgs. n. 196 del 2003) rappresenta -‐ nell’ambito delle legislazioni privacy mondiali – il primo caso di razionale codificazione delle disposizioni in tema di privacy e di tutela dei da1 personali. Parte I Disposizioni Generali (ar<. 1-‐ 45) Parte II Disposizioni Speciali (ar<. 46-‐ 140) per disciplinare i tra<amen1 dei da1 personali in specifici se<ori tra cui anche quello bancario e assicura1vo Parte III Tutele Amministra1ve e giurisdizionali (ar<. 141-‐ 186) Allegato A Allegato B
4
Art. 1 Chiunque ha diri<o alla protezione dei da1 personali che lo riguardano La prima norma che apre il TUP esprime un principio generale, ripreso dire<amente dalla Carta dei Diri' Fondamentali dell’Unione Europea approvata a Nizza nel 2000. Si tra<a di un principio dal sapore quasi cos1tuzionale che rappresenta il punto di partenza, ma anche di arrivo della norma1va in tema di privacy. Tu' gli adempimen1, le misure di sicurezza e le sanzioni previste non sono che il mezzo per raggiungere l’obie'vo di proteggere i da1 personali fissato dall’art. 1, come conferma anche l’ar1colo successivo. Art. 2 Il TUP ha il compito di garan1re che il tra<amento dei da1 personali si svolga nel rispe<o dei diri' e delle libertà fondamentali, nonché della dignità dell’interessato, con par1colare riferimento alla riservatezza all’iden1tà personale e al diri<o alla protezione dei da1 personali.
5
6
Prima di inquadrare i sogge' e i principi generali fissa1 nella norma1va in esame, è essenziale precisare quasi sia l’ambito di applicazione di tale norma. Riguarda tu' i casi in cui si u1lizzano da1 personali o esclusivamente ipotesi ben delineate e limitate. Il TUP si applica ai sogge' • Stabili1 nel territorio italiano o in luogo sogge<o alla sovranità italiana (es. aerei, navi)
anche se i da1 personali sono detenu1 all’estero.
Se dunque un sogge<o si trova in Italia e u1lizza da1 personali, esso dovrà seguire le regole e le prescrizioni della norma1va italiana sulla tutela dei da1 personali
• Stabili1 nel territorio di un paese extra UE che effe<uano il tra<amento dei da1 personali con strumen1 situa1 nel territorio italiano, anche diversi da quelli ele<ronici (es. consultazione di archivi cartacei)
È necessario che gli strumen1 u1lizza1 in Italia per il tra<amento non siano u1lizza1 soltanto ai fini di transito, e cioè per trasferire le informazioni verso altri Sta1, in tale ipotesi, il TUP e la norma1va italiana non troverà applicazione.
Il TUP non si applica nell’ipotesi in cui il dato personale sia u1lizzato da persone fisiche per fini esclusivamente personali. Si parla in tale caso di tra<amento per fini domes1ci. Tu<avia, si richiama l’a<enzione sul fa<o che l’inapplicabilità del TUP ricorre solo nel caso in cui sussistano tu<e le seguen1 condizioni: • il tra<amento è effe<uato da persone fisiche; • il tra<amento è effe<uato esclusivamente per mo1vi personali (e non dunque
commerciali, lavora1vi, ecc.); • il tra<amento dei da1 non comporta diffusione (il darne conoscenza a sogge'
indetermina1) o sistema1ca comunicazione.
Laddove anche una sola delle sudde<e circostanze dovesse mancare, il tra<amento dei da1 ricadrà inevitabilmente all’interno del sistema norma1vo previsto dal TUP
7
L’art. 4 del TUP definisce testualmente il tra<amento come qualsiasi operazione o complesso di operazioni svolte con o senza l’ausilio di strumen1 ele<ronici concernen1 la: Comunicazione Diffusione Cancellazione Distruzione Raccolta Registrazione Organizzazione Conservazione Consultazione Elaborazione Modificazione Selezione Estrazione Raffronto U1lizzo Interconnessione Blocco Ques1 sostan1vi non sono il fru<o di una mera fantasia redazionale, bensì rappresentano l’esa<a elencazione fa<a dal legislatore per evitare interpretazioni restri've del conce<o di tra<amento e far sì che in esso sia ricompresa qualsiasi a'vità che so<enda l’u1lizzo di da1
8
Il TUP prevede tre categorie di da1 personali. • dato personale semplice • dato personale sensibile • dato personale giudiziario
Tale ripar1zione è mo1vata dal diverso livello di delicatezza delle informazioni che derivano dal tra<amento di tali da1. A seconda infa' che si tra' di un dato personale semplice, sensibile o giudiziario la norma1va prevede diversi gradi di tutele e sanzioni in funzione del diverso livello di protezione richiesto dal 1po di dato. È opportuno peraltro precisare che l’impianto generale degli adempimen1 e delle misure resta sostanzialmente lo stesso per tu<e e tre le prede<e 1pologie di da1.
9
La disciplina in tema di privacy tutela: • Le persone fisiche (gli individui) • Le persone giuridiche (le società, le fondazioni, le associazioni ecc.), siano esse pubbliche o
private, dotate o meno di personalità giuridica Per dato personale il TUP intende qualunque informazione rela1va a persona fisica, iden1ficata o iden1ficabile, anche indire<amente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di iden1ficazione personale.
10
È un dato personale: -‐ qualunque informazione che iden1fica immediatamente ed in via dire<a una persona (ad
esempio, i da1 anagrafici, le immagini video e fotografiche, il codice DNA, ecc.);
-‐ Qualunque informazione che, anche se non iden1fica immediatamente e in via dire<a una persona la rende comunque iden1ficabile (ad esempio, il codice fiscale, il numero di carta di credito, il numero telefonico, ecc.).
È opportuno far presente che originariamente la disciplina norma1va in tema di privacy ricomprendeva nella definizione di dato personale anche i da1 rela1vi ad en1 (quali società, fondazioni, associazioni, ecc.), pubblici o priva1, dota1 o meno di personalità giuridica. Tu<avia, a par1re dal 2012, a seguito di una modifica del TUP operata nell’ambito dei c.d. «decreto semplificazioni» si è voluto limitare la definizione di dato personale (e dunque l’applicazione della presente norma1va) alle sole informazioni concernen1 le persone fisiche.
11
Per dato personale sensibile si intende quell’informazione che rivela gli aspe' più in1mi e delica1 di una persona. La norma definisce dato sensibile i da1 personali che sono idonei a rivelare: • l’origine razziale ed etnica; • le convinzioni religiose, filosofiche o di altro genere; • le opinioni poli1che; • l’adesione a par11, sindaca1, associazioni od organizzazioni a cara<ere religioso,
filosofico, poli1co o sindacale; • i da1 personali idonei a rivelare lo stato di salute; • i da1 idonei a rivelare gus1 o abitudini sessuale.
Si tra<a di un elenco tassa1vo; ne deriva che ogni informazione al di fuori dei prede' casi non può intendersi dato personale sensibile.
12
I da1 giudiziari sono la categoria di informazioni per le quali sono previste maggiori tutele. Per dato personale giudiziario si intende ogni dato idoneo a rivelare il coinvolgimento di una persona in un procedimento di natura penale. È, ad esempio, dato giudiziario la qualità di indagato o imputato, le sentenze di condanna ed i carichi penden1. È importante so<olineare che dato giudiziario sono solo quelli a'nen1 a procedimen1 penali, mentre non rientrano in tale categoria quelli rela1vi a vertenze civili, amministra1ve e tributarie.
13
Ecco una tabella esemplifica1va di alcuni da1 personali S1pendio e beni di proprietà: dato personale semplice
Stato civile: dato personale semplice
Immagine (foto, video): generalmente è un dato personale purchè non ritragga l’interessato in situazione che potrebbero rivelare informazioni sensibili; ad esempio le foto del matrimonio celebrato con un determinato rito religioso. In ques1 casi il dato sensibile non è rappresentato dall’immagine del sogge<o interessato, quanto dall’informazione ulteriore che si o'ene osservando l’immagine.
Indirizzo, telefono, codice fiscale: dato personale semplice
Sentenza di condanna: dato giudiziario se è rela1va ad un procedimento penale; dato personale semplice se rela1va a procedimento civile o amministra1vo
Iscrizioni ad associazioni: la connotazione di tale informazione è dire<amente collegata all’associazione o movimento in cui si è iscri'. Così l’iscrizione ad un’associazione spor1va è un dato personale; l’iscrizione ad un par1to o ad un sindacato è un dato sensibile
14
La realizzazione di un idoneo sistema di protezione e salvaguardia dei da1 personali richiede, prima ancora di ado<are misure concrete, che siano chiaramente definite ed individuate le figure interessate al tra<amento, i rispe'vi ruoli e rela1vi diri' e doveri. Il TUP iden1fica qua<ro diverse figure. Doveri: • Il 1tolare • Il responsabile del tra<amento • L’incaricato
Diri': • L’interessato
15
Per 1tolare del tra<amento deve intendersi la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro 1tolare, le decisioni in ordine alle finalità, alle modalità del tra<amento di da1 personali e agli strumen1 u1lizza1, ivi compreso il profilo della sicurezza. • Se il tra<amento è effe<uato da una persona giuridica, «1tolare» è l’en1tà nel suo
complesso (ad esempio, la compagni d’assicurazione, la banca, la coopera1va, la società di capitali, ecc.) e non le persone fisiche (presidente, amministratore delegato, consigliere delegato, ecc.) che la rappresentano. Vi è quindi una dis1nta sogge'vità giuridica e dis1nte responsabilità tra l’ente 1tolare del tra<amento e coloro che sono inseri1 a livello dirigenziale al suo interno.
• A differenza delle altre figure indicate nel TUP, il 1tolare non è sogge<o ad alcun a<o di nomina e/o iden1ficazione formale perché è sufficiente che, in concreto, sussistano in capo allo stesso il potere di decidere circa le finalità e le modalità di tra<amento dei da1 personali detenu1.
16
Il responsabile del tra<amento è la persona fisica o giuridica, dotata di specifica esperienza, capacità ed affidabilità, formalmente designata dal 1tolare al fine di ges1re gli adempimen1 e l’adozione delle misure di sicurezza prescri<e dalla norma1va per il tra<amento dei da1 personali. • È una figura facolta1va e non obbligatoria; • Può essere individuato sia all’interno della propria stru<ura che esternamente; • Può essere individuato in uno o più sogge', laddove per esigenze organizza1ve il 1tolare
ritenga opportuno suddividere i compi1 in più unità; • Può essere sia una persona fisica, sia una persona giuridica (a seguito dell’entrata in vigore
del TUP sono infa' sorte società che hanno come ragione sociale proprio quella di svolgere la funzione di responsabile in nome e per conto di 1tolari che necessitano di un ausilio in tema di privacy);
• Deve possedere esperienza, capacità ed affidabilità in materia di tutela dei da1 personali; • Deve essere nominato dal 1tolare con a<o scri<o che specifichi anali1camente le
istruzioni, i compi1 e gli ambi1 del tra<amento a lui affida1.
17
Il 1tolare: • Nomina il responsabile • Assegna istruzioni • Verifica osservanza istruzioni impar1te • Aggiorna elenco responsabilità Il responsabile del tra<amento: (ex art 4. comma 1, le<. 9 e art.29 TUP) • Persona fisica o persona giuridica
Cara<eris1che sogge've del responsabile del tra<amento: • Esperienza • Capacità • Affidabilità
Il responsabile del tra<amento Deve garan1re: • Sicurezza del tra<amento • Rispe<o delle norme
18
Gli incarica1 del tra<amento sono i sogge' designa1 dal 1tolare a compiere le materiali operazioni di tra<amento dei da1 personali, ovvero colore che per conto del 1tolare raccolgono i da1, li elaborano a<raverso le procedure informa1che o manuali, li archiviano, li comunicano e li diffondono (ad es. i dipenden1 del 1tolare). Gli incarica1 • Possono essere solo persone fisiche (contrariamente a quanto avviene per il 1tolare ed il
responsabile, gli incarica1)
• Devono essere designa1 • Dal 1tolare (o dal responsabile, ove nominato) • Per iscri<o e con indicazioni puntuali dell’ambito del tra<amento consen1to (ad
esempio, gli adde' all’ufficio del personale saranno designa1 specificatamente a tra<are i da1 rela1vi ai dipenden1 dell’azienda presso cui gli stessi lavorano).
• Possono effe<uare le operazioni di tra<amento solo so<o la dire<a autorità del 1tolare o del responsabile, a<enendosi alle istruzioni impar1te
19
Ai fini di semplificare le a'vità è possibile designare l’unità organizza1va ed indicare, per iscri<o, l’ambito di tra<amento consen1to agli adde' ivi prepos1. Ad esempio, per incaricare gli adde' all’Ufficio Contabilità di una determinata azienda, basterà la redazione di un documento che individui l’ambito del tra<amento da1 consen1to al prede<o ufficio senza dover quindi provvedere alla designazione di ogni singolo dipendente che vi fa parte.
20
• L’incaricato (ex art 33 TUP) • Persona fisica
L’interessato è la persona fisica cui si riferiscono i da1 personali a cui spe<ano i diri' e le tutele previste nel Testo Unico sulla Privacy (TUP). La norma1va in tema di privacy è stata infa' stru<urata e mirata proprio al fine di garan1re la riservatezza e la protezione dei da1 personali degli interessa1.
21
I principi fondamentali cui ciascun 1tolare si deve conformare nel momento in cui tra<a da1 personali semplici, sensibili o giudiziari sono regole generali, applicabili a tu' i tra<amen1 di da1 personali, la cui inosservanza comporta, da un lato, l’inu1lizzabilità dei da1, dall’altro, sanzioni di cara<ere amministra1vo e/o penale. I da1 personali ogge<o del tra<amento devono essere: • Tra<a1 in modo lecito, ovvero nel rispe<o delle norme; • Raccol1 e registra1 per scopi determina1, chiari, esplici1 e legi'mi; • Esa', ovvero risponden1 all’iden1tà o al profilo dell’interessato, e , nel caso, aggiorna1; • Per1nen1 (vi deve cioè essere una chiara e stre<a relazione tra i da1 raccol1 e le finalità
del tra<amento perseguite); • Comple1 (in modo da non dar luogo ad errori nell’iden1ficazione ed individuazione
dell’interessato); • Non ecceden1 rispe<o alle finalità per le quali sono sta1 raccol1 (è il cosidde<o principio
di proporzionalità che vieta la raccolta e il tra<amento di da1 personali che siano superflui rispe<o agli scopi dichiara1 del tra<amento):
• Conserva1 in una forma che consenta l’iden1ficazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali i da1 stessi erano sta1 raccol1 (l’interessato ha il cosidde<o diri<o all’oblio, ovvero il diri<o ad essere dimen1cato e/o ad esigere che i suoi da1 vengano distru' allorché sono venute a cadere le ragioni che ne avevano comportato l’u1lizzo).
22
Il legislatore pone il cosidde<o principio di necessità che rappresenta in qualche modo il criterio fondamentale che deve essere perseguito da tu' coloro che intendono u1lizzare da1 ed informazioni rela1vi ad altri sogge'. In sostanza, il legislatore chiede che il tra<amento di da1 personali sia svolto solo nel caso e nei limi1 in cui il 1tolare non ne possa proprio fare a meno per svolgere l’a'vità per cui i da1 stessi sono sta1 raccol1. L’art. 3 recita infa' che i sistemi informa1vi ed i programmi informa1ci devono essere predispos1 fin dalla loro configurazione riducendo al minimo l’u1lizzazione di da1 personali o iden1fica1vi, in modo da escluderne il tra<amento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispe'vamente, da1 anonimi od opportune modalità che perme<ano di iden1ficare l’interessato solo in caso di necessità.
23
• Il TUP si applica solo nei confron1 di sogge' stabili1 in territorio italiano o all’estero, a pa<o in quest’ul1mo caso, che il tra<amento sia effe<uato con strumen1 situa1 in Italia.
• Il TUP non si applica nel caso in cui il tra<amento dei da1 sia effe<uato esclusivamente per ragioni personali, a condizioni peraltro che i da1 non siano indis1ntamente diffusi a sogge' terzi.
• La definizione di tra<amento posta dalla norma1va è estremamente ampia tanto da ricomprendere qualsiasi a'vità che so<ende l’u1lizzo di da1 personali (anche la semplice le<ura e consultazione);
• Il TUP prevede tre diverse categorie di da1 personali (personali semplici, sensibili, giudiziari).
• Le principali figure coinvolte nel tra<amento da1 a cui la legge assegna doveri e/o diri' sono il 1tolare, il responsabile, l’incaricato e l’interessato. Nel tra<amento dei da1 personali la norma impone il rispe<o di specifici principi, quali quelli di necessità, proporzionalità ed adeguatezza.
24