TITOLO IV SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
TITOLO V SICUREZZA DEI DATI E DEI SISTEMI
TITOLO VI ADEMPIMENTI
TITOLO VII TRASFERIMENTO DEI DATI ALL’ESTERO
indietro
TITOLO IV
SOGGETTI CHE EFFETTUANO IL TRATTAMENTO
Art. 28
Titolare del trattamento
Quando il trattamento è effettuato da una persona giuridica, da una
pubblica amministrazione o da un qualsiasi altro ente, associazione od
organismo, titolare del trattamento è l'entità nel suo complesso o
l'unità od organismo periferico che esercita un potere decisionale del
tutto autonomo sulle finalità e sulle modalità del trattamento, ivi
compreso il profilo della sicurezza.
Art. 29
Responsabile del trattamento
1. Il responsabile è designato dal titolare facoltativamente.
2. Se designato, il responsabile è individuato tra soggetti che per
esperienza, capacità ed
affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti
disposizioni in materia di trattamento, ivi compreso il profilo relativo
alla sicurezza.
3. Ove necessario per esigenze organizzative, possono essere designati
responsabili più soggetti, anche mediante suddivisione di compiti.
4. I compiti affidati al responsabile sono analiticamente specificati
per iscritto dal titolare.
5. Il responsabile effettua il trattamento attenendosi alle istruzioni
impartite dal titolare il quale, anche tramite verifiche periodiche,
vigila sulla puntuale osservanza delle disposizioni di cui al comma 2 e
delle proprie istruzioni.
Art. 30
Incaricati del trattamento
1. Le operazioni di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni impartite.
2. La designazione è effettuata per iscritto e individua puntualmente
l'ambito del trattamento consentito. Si considera tale anche la
documentata preposizione della persona fisica ad una unità
per la quale è individuato, per iscritto, l'ambito del trattamento
consentito agli addetti all'unità medesima.
Titolo V
SICUREZZA DEI DATI E DEI SISTEMI
CAPO I
MISURE DI SICUREZZA
Art. 31
Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche caratteristiche del
trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee
e preventive misure di sicurezza, i rischi di distruzione o perdita,
anche accidentale, dei dati stessi,
di accesso non autorizzato o di trattamento non consentito o non
conforme alle finalità della
raccolta.
Art. 32
Particolari titolari
1. Il fornitore di un servizio di comunicazione elettronica accessibile
al pubblico adotta ai sensi dell'articolo 31 idonee misure tecniche e
organizzative adeguate al rischio esistente, per salvaguardare la
sicurezza dei suoi servizi, l'integrità dei dati relativi al traffico,
dei dati relativi all'ubicazione e delle comunicazioni elettroniche
rispetto ad ogni forma di utilizzazione o cognizione non consentita.
2. Quando la sicurezza del servizio o dei dati personali richiede anche
l'adozione di misure che riguardano la rete, il fornitore del servizio
di comunicazione elettronica accessibile al pubblico adotta tali misure
congiuntamente con il fornitore della rete pubblica di comunicazioni. In
caso di mancato accordo, su richiesta di uno dei fornitori, la
controversia è definita dall'Autorità per le garanzie nelle
comunicazioni secondo le modalità previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione elettronica accessibile
al pubblico informa gli abbonati e, ove possibile, gli utenti, se
sussiste un particolare rischio di violazione della sicurezza della
rete, indicando, quando il rischio è al di fuori dell'ambito di
applicazione delle misure che il fornitore stesso è tenuto ad adottare
ai sensi dei commi 1 e 2, tutti i possibili rimedi e i relativi costi
presumibili. Analoga informativa è resa al Garante e all'Autorità per le
garanzie nelle comunicazioni.
CAPO II
MISURE MINIME DI SICUREZZA
1. Nel quadro dei più generali obblighi di sicurezza di cui all'articolo
31, o previsti da speciali disposizioni, i titolari del trattamento sono
comunque tenuti ad adottare le misure minime individuate nel presente
capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un
livello minimo di protezione dei dati personali.
Art. 34
Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti elettronici
è consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di
autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati e addetti alla gestione o
alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il
ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale effettuati da organismi sanitari.
Art. 35
Trattamenti senza l'ausilio di strumenti elettronici
1. Il trattamento di dati personali effettuato senza l'ausilio di
strumenti elettronici è
consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del
trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti
affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in
archivi ad accesso
selezionato e disciplina delle modalità di accesso finalizzata
all'identificazione degli incaricati.
Art. 36
Adeguamento
Il disciplinare tecnico di cui all'allegato B), relativo alle misure
minime di cui al presente capo, è aggiornato periodicamente con decreto
del Ministro della giustizia di concerto con il Ministro per le
innovazioni e le tecnologie, in relazione all'evoluzione tecnica e
all'esperienza maturata nel settore.
Titolo VI
ADEMPIMENTI
Art. 37
Notificazione del trattamento
1. Il titolare notifica al Garante il trattamento di dati personali cui
intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica
di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale,
trattati a fini di procreazione assistita, prestazione di servizi
sanitari per via telematica relativi a banche di dati o alla fornitura
di beni, indagini epidemiologiche, rilevazione di malattie mentali,
infettive e diffusive, sieropositività, trapianto di organi e tessuti e
monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati
da associazioni, enti od
organismi senza scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire
il profilo o la personalità
dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero
a monitorare l'utilizzo di servizi di comunicazione elettronica con
esclusione dei trattamenti tecnicamente indispensabili per fornire i
servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del
personale per conto terzi, nonché dati sensibili utilizzati per sondaggi
di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti
elettronici e relative al rischio sulla solvibilità economica, alla
situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti.
2. Il Garante può individuare altri trattamenti suscettibili di recare
pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle
relative modalità o della natura dei dati personali, con proprio
provvedimento adottato anche ai sensi dell'articolo 17. Con analogo
provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica
italiana il Garante può anche individuare, nell'ambito dei trattamenti
di cui al comma 1, eventuali trattamenti non suscettibili di recare
detto pregiudizio e pertanto sottratti all'obbligo di notificazione.
3. La notificazione è effettuata con unico atto anche quando il
trattamento comporta il
trasferimento all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei
trattamenti accessibile a
chiunque e determina le modalità per la sua consultazione gratuita per
via telematica, anche mediante convenzioni con soggetti pubblici o
presso il proprio Ufficio. Le notizie accessibili tramite la
consultazione del registro possono essere trattate per esclusive
finalità di applicazione della disciplina in materia di protezione dei
dati personali.
Art. 38
Modalità di notificazione
1. La notificazione del trattamento è presentata al Garante prima
dell'inizio del trattamento ed una sola volta, a prescindere dal numero
delle operazioni e della durata del trattamento da effettuare, e può
anche riguardare uno o più trattamenti con finalità correlate.
2. La notificazione è validamente effettuata solo se è trasmessa per via
telematica utilizzando il
modello predisposto dal Garante e osservando le prescrizioni da questi
impartite, anche per quanto riguarda le modalità di sottoscrizione con
firma digitale e di conferma del ricevimento della notificazione.
3. Il Garante favorisce la disponibilità del modello per via telematica
e la notificazione anche attraverso conve nzioni stipulate con soggetti
autorizzati in base alla normativa vigente, anche
presso associazioni di categoria e ordini professionali.
4. Una nuova notificazione è richiesta solo anteriormente alla
cessazione del trattamento o al mutamento di taluno degli elementi da
indicare nella notificazione medesima.
5. Il Garante può individuare altro idoneo sistema per la notificazione
in riferimento a nuove soluzioni tecnologiche previste dalla normativa
vigente.
6. Il titolare del trattamento che non è tenuto alla notificazione al
Garante ai sensi dell'articolo 37 fornisce le notizie contenute nel
modello di cui al comma 2 a chi ne fa richiesta, salvo che il
trattamento riguardi pubblici registri, elenchi, atti o documenti
conoscibili da chiunque.
Art. 39
Obblighi di comunicazione
1. Il titolare del trattamento è tenuto a comunicare previamente al
Garante le seguenti
circostanze:
a) comunicazione di dati personali da parte di un soggetto pubblico ad
altro soggetto pubblico non prevista da una norma di legge o di
regolamento, effettuata in qualunque forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di salute previsto dal
programma di ricerca
biomedica o sanitaria di cui all'articolo 110, comma 1, primo periodo.
2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possono
essere iniziati decorsi quarantacinque giorni dal ricevimento della
comunicazione salvo diversa determinazione anche successiva del Garante.
La comunicazione di cui al comma 1 è inviata utilizzando il modello
predisposto e reso
disponibile dal Garante, e trasmessa a quest'ultimo per via telematica
osservando le modalità di sottoscrizione con firma digitale e conferma
del ricevimento di cui all'articolo 38, comma 2, oppure mediante telefax
o lettera raccomandata.
Art. 40
Autorizzazioni generali
Le disposizioni del presente codice che prevedono un'autorizzazione del
Garante sono applicate anche mediante il rilascio di autorizzazioni
relative a determinate categorie di titolari o di
trattamenti, pubblicate nella Gazzetta Ufficiale della Repubblica
italiana.
Art. 41
Richieste di autorizzazione
1. Il titolare del trattamento che rientra nell'ambito di applicazione
di un'autorizzazione rilasciata ai sensi dell'articolo 40 non è tenuto a
presentare al Garante una richiesta di autorizzazione se il trattamento
che intende effettuare è conforme alle relative prescrizioni.
2. Se una richiesta di autorizzazione riguarda un trattamento
autorizzato ai sensi dell'articolo 40 il Garante può provvedere comunque
sulla richiesta se le specifiche modalità del trattamento lo
giustificano.
3. L'eventuale richiesta di autorizzazione è formulata utilizzando
esclusivamente il modello predisposto e reso disponibile dal Garante e
trasmessa a quest'ultimo per via telematica, osservando le modalità di
sottoscrizione e conferma del ricevimento di cui all'articolo 38, comma
2. La medesima richiesta e l'autorizzazione possono essere trasmesse
anche mediante telefax o lettera raccomandata.
4. Se il richiedente è invitato dal Garante a fornire informazioni o ad
esibire documenti, il
termine di quarantacinque giorni di cui all'articolo 26, comma 2,
decorre dalla data di scadenza del termine fissato per l'adempimento
richiesto.
5. In presenza di particolari circostanze, il Garante può rilasciare
un'autorizzazione provvisoria a tempo determinato.
Titolo VII
TRASFERIMENTO DEI DATI ALL'ESTERO
Art. 42
Trasferimenti all'interno dell'Unione europea
Le disposizioni del presente codice non possono essere applicate in modo
tale da restringere o vietare la libera circolazione dei dati personali
fra gli Stati membri dell'Unione europea, fatta
salva l'adozione, in conformità allo stesso codice, di eventuali
provvedimenti in caso di trasferimenti di dati effettuati al fine di
eludere le medesime disposizioni.
Art. 43
Trasferimenti consentiti in Paesi terzi
1. Il trasferimento anche temporaneo fuori del territorio dello Stato,
con qualsiasi forma o mezzo, di dati personali oggetto di trattamento,
se diretto verso un Paese non appartenente all'Unione
europea è consentito quando:
a) l'interessato ha manifestato il proprio consenso espresso o, se si
tratta di dati sensibili, in forma scritta;
b) è necessario per l'esecuzione di obblighi derivanti da un contratto
del quale è parte
l'interessato o per adempiere, prima della conclusione del contratto, a
specifiche richieste dell'interessato, ovvero per la conclusione o per
l'esecuzione di un contratto stipulato a favore dell'interessato;
c) è necessario per la salvaguardia di un interesse pubblico rilevante
individuato con legge o con
regolamento o, se il trasferimento riguarda dati sensibili o
giudiziari, specificato o individuato ai sensi degli articoli 20 e 21;
d) è necessario per la salvaguardia della vita o dell'incolumità fisica
di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo
non può prestare il proprio consenso per impossibilità fisica, per
incapacità di agire o per incapacità di intendere o di volere, il
consenso è manifestato da chi esercita legalmente la potestà, ovvero da
un prossimo congiunto, da un familiare, da un convivente o, in loro
assenza, dal responsabile della struttura presso cui dimora
l'interessato. Si applica la disposizione di cui all'articolo 82, comma
2;
e) è necessario ai fini dello svolgimento delle investigazioni difensive
di cui alla legge 7
dicembre 2000, n. 397, o, comunque, per far valere o difendere un
diritto in sede giudiziaria, sempre che i dati siano trasferiti
esclusivamente per tali finalità e per il periodo strettamente
necessario al loro perseguimento, nel rispetto della vigente normativa
in materia di segreto aziendale e industriale;
f) è effettuato in accoglimento di una richiesta di accesso ai documenti
amministrativi, ovvero di una richiesta di informazioni estraibili da un
pubblico registro, elenco, atto o documento conoscibile da chiunque, con
l'osservanza delle norme che regolano la materia;
g) è necessario, in conformità ai rispettivi codici di deontologia di
cui all'allegato A), per
esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi
storici presso archivi privati dichiarati di notevole interesse storico
ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre
1999, n. 490, di approvazione del testo unico in materia di beni
culturali e ambientali o, secondo quanto previsto dai medesimi codici,
presso altri archivi privati;
h) il trattamento concerne dati riguardanti persone giuridiche, enti o
associazioni.
Art. 44
Altri trasferimenti consentiti
1. Il trasferimento di dati personali oggetto di trattamento, diretto
verso un Paese non
appartenente all'Unione europea, è altresì consentito quando è
autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato:
a) individuate dal Garante anche in relazione a garanzie prestate con un
contratto;
b) individuate con le decisioni previste dagli articoli 25, paragrafo 6,
e 26, paragrafo 4, della direttiva 95/46/CE del Parlamento europeo e del
Consiglio, del 24 ottobre 1995, con le quali la Commissione europea
constata che un Paese non appartenente all'Unione europea garantisce un
livello di protezione adeguato o che alcune clausole contrattuali
offrono garanzie sufficienti.
Art. 45
Trasferimenti vietati
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche
temporaneo fuori del territorio dello Stato, con qualsiasi forma o
mezzo, di dati personali oggetto di trattamento, diretto verso un Paese
non appartenente all'Unione europea, è vietato quando l'ordinamento del
Paese di destinazione o di transito dei dati non assicura un livello di
tutela delle persone adeguato. Sono valutate anche le modalità del
trasferimento e dei trattamenti previsti, le relative finalità, la
natura dei dati e le misure di sicurezza.
segue
indietro