LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
by user
Comments
Transcript
LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Dr. Ivan Salvadori Dottorando in Diritto Penale dell’Informatica Facoltà di Giurisprudenza di Verona LA STRUTTURA DEL “CODICE DELLA PRIVACY” 1° PARTE: Disposizioni generali (Art. 1-45): Finalità e principi generali Definizioni Disciplina generale del trattamento Misure di sicurezza 2° PARTE: Disposizioni relative a specifici settori (Art. 46-140): Disposizioni particolari relative a specifici trattamenti 3° PARTE: Tutela dell’interessato e sanzioni (Art. 141-186): Azioni a tutela dell’interessato Sistema sanzionatorio amministrativo e penale LE PRINCIPALI DEFINIZIONI DEL CODICE Trattamento Dato personale, sensibile e giudiziario Titolare Responsabile Incaricato Interessato Garante LA NOZIONE DI TRATTAMENTO Raccolta Raffronto Registrazione Utilizzo Organizzazione Interconnessione Conservazione Blocco Consultazione Comunicazione Elaborazione Diffusione Modificazione Cancellazione Selezione Distruzione Estrazione LA NOZIONE DI COMUNICAZIONE ART. 4, lett. l Il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, del responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione Ivan Salvadori LA NOZIONE DI DIFFUSIONE ART. 4, lett. m Il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione Ivan Salvadori LA NOZIONE DI DATO PERSONALE ART. 4, lett. b qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale Ivan Salvadori QUALI SONO I DATI PERSONALI? Suoni (es. voce di una persona) Immagini Numeri utenze telefoniche mobili Codice fiscale, codice avviamento postale Targhe automobilistiche Ore di servizio prestate da parte di un dipendente Informazioni sul comportamento di un lavoratore Informazioni relative alle condizioni patrimoniali di un soggetto Schede di valutazione predisposte dal datore di lavoro sul lavoratore I DATI SENSIBILI Sono i dati idonei a rivelare L'origine razziale ed etnica, Le convinzioni religiose, filosofiche o di altro genere (es. esoterico) Le opinioni politiche, l'adesione a partiti, sindacati, associazioni a carattere religioso, filosofico, politico o sindacale, Lo stato di salute e la vita sessuale I DATI GIUDIZIARI Sono i dati idonei a rivelare Le iscrizioni nel casellario giudiziario delle condanne penali (ad es. pene inflitte, pene convertite) Le sanzioni amministrative dipendenti da reato I carichi pendenti Lo status personale di imputato o di indagato LE REGOLE PER IL TRATTAMENTO DEI DATI DA PARTE DEI PRIVATI Consenso (Art. 23) Il trattamento di dati personali da parte di privati è ammesso solo con il consenso espresso dell’interessato Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso Il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13 Il consenso è manifestato in forma scritta quando riguarda dati sensibili PRINCIPALI CASI NEI QUALI IL TRATTAMENTO PUÒ ESSERE EFFETTUATO SENZA CONSENSO Art. 24 Il consenso non è richiesto quando il trattamento: E’ necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria E’ necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto a specifiche richieste Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque Riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale, industriale DIVIETO DI COMUNICAZIONE E DIFFUSIONE DEI DATI PERSONALI Art. 25 La comunicazione e la diffusione sono vietate: In riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo di cui all’art. 11, c.1, lett. e E’ necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto a specifiche richieste Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque Riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale, industriale LE REGOLE PER IL TRATTAMENTO DEI DATI DA PARTE DEI SOGGETTI PUBBLICI Principi applicabili a tutti i trattamenti (Art. 18) Il trattamento è consentito soltanto per finalità istituzionali Si osservano i presupposti e i limiti stabiliti dal codice, dalla legge e dai regolamenti I soggetti pubblici non devono richiedere il consenso dell’interessato (salvo quanto previsto per esercenti professioni sanitarie o organismi sanitari pubblici) Si osservano le disposizioni in tema di comunicazione e diffusione ex art. 25 PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI DIVERSI DA QUELLI SENSIBILI E GIUDIZIARI Trattamento dei dati personali (Art. 19) Consentito anche In mancanza di norma di legge o regolamento che lo preveda espressamente La comunicazione ad altri soggetti pubblici è ammessa quando prevista da norme di legge, regolamenti, o per fini istituzionali Comunicazione e diffusione a privati solo se previste da norme di legge o di regolamento PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI (Art. 20) Il trattamento da parte di soggetti pubblici è consentito: se autorizzato da espressa disposizione di legge nella quale sono specificati: i tipi di dati, le operazioni eseguibili, le finalità di rilevante interesse pubblico Se la legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili: Identificazione e pubblicazione dei tipi di dati ed operazioni eseguibili Rispetto dei principi di cui all’art. 22 Atto di natura regolamentare Previo parere del Garante Se il trattamento non è previsto espressamente da una disposizione di legge: Richiesta al Garante per l’individuazione delle attività che perseguono rilevanti finalità di interesse pubblico e per le quali è consentito il trattamento dei dati sensibili PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI GIUDIZIARI (ART. 21) Il trattamento da parte di soggetti pubblici è consentito: se autorizzato da espressa disposizione di legge nella quale sono specificati: i tipi di dati, le operazioni eseguibili, le finalità di rilevante interesse pubblico Se la legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili: Identificazione e pubblicazione dei tipi di dati ed operazioni eseguibili Rispetto dei principi di cui all’art. 22 Atto di natura regolamentare Previo parere del Garante PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI (Art. 22) I soggetti pubblici Conformano il trattamento dei dati secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato Nel fornire l’informativa fanno espresso riferimento alla normativa che prevedi gli obblighi o i compiti in base alla quale si effettua il trattamento Possono trattare solo quei dati indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di altra natura I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo Ivan Salvadori PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI (Art. 22) I soggetti pubblici Non possono diffondere i dati idonei a rivelare stato di salute Possono trattare solo quei dati indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di altri natura Verificano periodicamente l’esattezza e l’aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa Non possono utilizzare i dati che risultano eccedenti o non pertinenti o non indispensabili, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI (Art. 22) I soggetti pubblici I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente Inintelligibili anche a chi è autorizzato ad accedervi e Permettono di identificare gli interessati solo in caso di necessità Rispetto ai dati sensibili e giudiziari indispensabili per svolgere attività istituzionali sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi I dati sensibili e giudiziari non possono essere trattati nell’ambito di test psico-attitudinali volti a definire il profilo o la personalità dell’interessato I SOGGETTI CHE EFFETTUANO IL TRATTAMENTO TITOLARE RESPONSABILE INCARICATO Ivan Salvadori PRINCIPI APPLICABILI AL TRATTAMENTO DI DATI SENSIBILI (Art. 20) Il trattamento da parte di soggetti pubblici è consentito: se autorizzato da espressa disposizione di legge nella quale sono specificati: i tipi di dati, le operazioni eseguibili, le finalità di rilevante interesse pubblico Se la legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili: Identificazione e pubblicazione dei tipi di dati ed operazioni eseguibili Rispetto dei principi di cui all’art. 22 Atto di natura regolamentare Previo parere del Garante Se il trattamento non è previsto espressamente da una disposizione di legge: Richiesta al Garante per l’individuazione delle attività che perseguono rilevanti finalità di interesse pubblico e per le quali è consentito il trattamento dei dati sensibili CHI È IL TITOLARE DEL TRATTAMENTO? Il titolare può essere: Una persona fisica Una persona giuridica Pubblica amministrazione, ente o associazione Ivan Salvadori LE FUNZIONI DEL TITOLARE Il titolare determina: Le finalità, ossia gli scopi del trattamento Le modalità del trattamento: come procedere e con quali mezzi (informatici o cartacei) Le misure di sicurezza GLI OBBLIGHI PREVISTI PER IL TITOLARE Il titolare è tenuto a: Fornire al Garante la notificazione (Art. 37) Fornire l’informativa all’interessato (Art. 13) Nominare (facoltativamente) i responsabili (art. 28) Nominare gli incaricati (Art. 30) Adottare le misure di sicurezza (Art. 31,32,33, 34, 35, 36) CHI È IL RESPONSABILE DEL TRATTAMENTO? Persona fisica, giuridica, o qualsiasi altro Art. 4, l. ente preposto dal titolare al trattamento dei dati personali E’ designato dal titolare facoltativamente E’ individuato in base all’esperienza, capacità e affidabilità ART. 29 Possono essere designati responsabili più soggetti I compiti del responsabili sono analiticamente specificati per iscritto Il responsabile effettua il trattamento attenendosi alle istruzioni impartite dal titolare L’INCARICATO DEL TRATTAMENTO Art. 4, h La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile E’ designato per iscritto dal titolare, che individua l’ambito di trattamento consentito ART. 30 Deve operare sotto la diretta autorità del titolare e del responsabile Deve attenersi alle istruzioni impartite dal titolare e dal responsabile L’INTERESSATO La persona fisica, giuridica, l’ente o associazione cui si riferiscono i dati personali Art. 4, h 1. L’interessato ha diritto ad ottenere l’indicazione: DIRITTI Art. 7 Dell’origine dei dati personali Delle finalità e modalità del trattamento Degli estremi indicativi del titolare e del responsabile Dei soggetti ai quali i dati possono essere comunicati 2. L’interessato ha diritto di ottenere: La cancellazione, blocco dei dati trattati in violazione di legge 3. L’interessato ha diritto di opporsi: Per motivi legittimi al trattamento dei dati che lo riguardano Al trattamento di dati che lo riguardano al fine di invio di materiale pubblicitario L’ESERCIZIO DEI DIRITTI DA PARTE DELL’INTERESSATO ART. 8 - 9 Sono esercitati con richiesta rivolta al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica. Il Garante può individuare altro idoneo sistema in riferimento a nuove soluzioni tecnologiche. Nell’esercizio dei suoi diritti l’interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L’interessato può farsi assistere da una persona di fiducia. La richiesta è formulata liberamente e senza costrizioni è può essere rinnovata, salva l’esistenza di giustificati motivi, con intervallo non minore di 90 giorni. L’identità dell’interessato è verificata sulla base di idonei elementi di valutazione IL GARANTE DELLA PRIVACY ART. 153 Opera in piena autonomia e con indipendenza di giudizio e di valutazione E’ organo collegiale costituito da 4 componenti, eletti 2 dalla Camera dei Deputati e 2 dal Senato della Repubblica con voto limitato. I componenti sono scelti tra persone che assicurano indipendenza e che sono esperti di riconosciuta competenza delle materie del diritto e dell’informatica I componenti eleggono nel loro ambito un presidente ed un vicepresidente Il presidente e i componenti durano in carica 4 anni e non possono essere confermati per più di una volta I COMPITI DEL GARANTE ART. 154 Controlla se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformità alla notificazione, anche in caso di loro cessazione Esamina i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli Interessati o dalle associazioni che li rappresentano Prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti Vietare anche d’ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco Esprimere pareri nei casi previsti I COMPITI DEL GARANTE ART. 154 Curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati Denunciare i dati configurabili come reati perseguibili d’ufficio, dei quali venga a conoscenza nell’esercizio o a causa delle sue funzioni Tenere il registro dei trattamenti formato sulla base delle notificazioni di cui all’art. 37 Predisporre ogni anno una relazione sull’attività svolta e sullo stato di attuazione del codice I TRE TIPI DI RESPONSABILITÀ PREVISTI DAL “CODICE DELLA PRIVACY” RESPONSABILITÀ CIVILE: (Art. 15) RESPONSABILITÀ AMMINISTRATIVA: (Artt. 161- 165) RESPONSABILITÀ PENALE: (Art. 167- 172) Ivan Salvadori DANNI CAGIONATI PER EFFETTO DEL TRATTAMENTO ART. 15 1) Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile 2) Il danno non patrimoniale è risarcibile anche in caso di violazione dell’art. 11. RESPONSABILITÀ PER L’ESERCIZIO DI ATTIVITÀ PERICOLOSE ART. 2050 c.c. Chiunque cagiona danno ad altri nello svolgimento di una attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee ad evitare il danno Casi di esclusione della responsabilità Caso fortuito (Fatto naturale, del terzo o del danneggiato) MODALITÀ DEL TRATTAMENTO E REQUISITI DEI DATI (Art. 11) I dati personali oggetto di trattamento devono essere: a) Trattati in modo lecito e secondo correttezza b) Raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni in termini compatibili con tali scopi c) Esatti, e se necessario, aggiornati d) Pertinenti, completi e non eccedenti rispetto alle finalità per i quali sono raccolti o successivamente trattati e) Conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. CHI RISPONDE IN SEDE CIVILE? TITOLARE: 1. quando è in “dolo”: consapevole di procedere ad un trattamento illecito o scorretto 2. quando è in “colpa”: non ha ottemperato alle regole prescritte dal codice (es. nomina responsabile non affidabile) RESPONSABILE: 1. quando non vigila sull’attività degli incaricati, o non impartisce le necessarie istruzioni 2. disattende le istruzioni ricevute dal titolare 3. non adotta le misure minime di sicurezza ALCUNI CASI GIURISPRUDENZIALI Tribunale di Milano (13.04.2000): La diffusione indiscriminata e priva di effettiva pertinenza rispetto agli scopi informativi essenziali del dato anagrafico della residenza integra i presupposti di un trattamento non lecito o comunque eseguito in maniera non corretta >> << Tribunale di Roma (22.11.2002): Può dirsi risarcibile anche il danno non patrimoniale derivante dalla illecita riproduzione dell’immagine altrui, ritenendosi tale illiceità concretata dalla mancanza di consenso >> << Tribunale di Roma (10.01.2003): Le generalità del sig. Rossi e l’indicazione del suo indirizzo, indubbiamente qualificabili come dati personali, rappresentano particolari non indispensabili, la cui omissione non avrebbe in alcun modo leso il diritto del pubblico ad una corretta informazione del fatto di cronaca >> << LE VIOLAZIONI AMMINISTRATIVE ART. 161- 164 ART. 161: Omessa o inidonea informativa all'interessato ART. 162: Altre fattispecie (cessione e comunicazione) ART. 163: Omessa o incompleta notificazione ART. 164: Omessa informazione o esibizione al Garante ART. 165: Pubblicazione del provvedimento del Garante Ivan Salvadori OMESSA O INIDONEA INFORMATIVA ALL’INTERESSATO (Art. 161) CONDOTTA Violazione delle disposizioni di cui all’art. 13 Da 3.000 a 18.000 € SANZIONI Da 5.000 a 30.000 € Aumento sino al triplo Ivan Salvadori L’INFORMATIVA (Art. 13) CONTENUTI La possibilità di esercitare i diritti riconosciuti all’interessato dall’art. 7 Indicazione dell’identità del titolare o del suo rappresentante Le finalità per cui si raccolgono i dati Modalità di trattamento dei dati: con quali strumenti si procede al trattamento La natura obbligatoria o facoltativa del conferimento dei dati La conseguenza di un eventuale rifiuto di rispondere L’indicazione del nominativo di almeno un responsabile I soggetti ai quali i dati possono essere comunicati o che possono venire a conoscenza dei dati ed il loro ambito di diffusione ALTRE FATTISPECIE (Art. 162, C.1.) CONDOTTA La cessione dei dati in violazione di quanto previsto dall'art. 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali SANZIONE Da 5.000 a 30.000 € CESSAZIONE DEL TRATTAMENTO In caso di cessazione del trattamento i dati sono: a) Distrutti b) Ceduti ad altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti c) Conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica d) Conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici in conformità alla legge, ai regolamenti, alla normativa Comunitaria e ai codici di deontologia e di buona condotta ALTRE FATTISPECIE (Art. 162, C.2.) CONDOTTA SANZIONE Violazione della disposizione di cui all’art. 84, c.1 Da 500 a 3.000 € COMUNICAZIONE DI DATI ALL’INTERESSATO I dati personali idonei a rivelare lo stato di salute possono essere comunicati all’interessato da parte di: a) Un medico designato dall’interessato o dal titolare b) Altro personale sanitario che abbia rapporti con il paziente (previa autorizzazione scritta del titolare o del responsabile) Ivan Salvadori L’OMESSA O INCOMPLETA NOTIFICAZIONE (Art. 163) CONDOTTA Chiunque essendovi tenuto non provvede tempestivamente alla notificazione ai sensi degli art. 37 e 38 Da 10.000 a 60.000 € SANZIONE Pubblicazione ordinanza-ingiunzione, per intero o estratto, in uno o più giornali LA NOTIFICAZIONE DEL TRATTAMENTO Il titolare deve procedere alla notificazione solo se il trattamento riguarda: a) Dati genetici o biometrici b) Dati idonei a rivelare lo stato di salute e la vita sessuale c) La prestazione di servizi sanitari per via telematica d) La definizione di profili mediante strumenti elettronici e) La gestione di dati sensibili da parte di agenzie di ricerca di personale per conto terzi f) La gestione di banche dati per rischi creditizi o antifrode MODALITÀ DI NOTIFICAZIONE ART. 38 1) La notificazione va presentata prima dell’inizio del trattamento ed una sola volta 2) E’ validamente effettuata solo se trasmessa per via telematica utilizzando il modulo predisposto dal Garante (www.garanteprivacy.it) 3) Una nuova notificazione è richiesta solo in caso di cessazione del trattamento o mutamento di uno degli elementi da indicare in essa L’OMESSA INFORMAZIONE O ESIBIZIONE AL GARANTE (Art. 164) CONDOTTA Chiunque omette di fornire le informazioni o esibire i documenti richiesti dal Garante ex art. 150 c.2 e art. 157 SANZIONE Da 4.000 a 24.000 € ACCERTAMENTI E CONTROLLI DEL GARANTE Per l’espletamento dei propri compiti il Garante può: Richiedere di fornire informazioni e di esibire documenti al titolare, al responsabile, all’interessato Accedere a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento Ivan Salvadori PUBBLICAZIONE DEL PROVVEDIMENTO DEL GARANTE (Art. 165) ART. 165 Nei casi di cui agli articoli 161, 162 e 164 può essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. PROCEDIMENTO DI APPLICAZIONE DELLE SANZIONI AMMINISTRATIVE Art. 166 L’organo competente ad irrogare le sanzioni amministrative è il Garante I proventi derivanti dall’irrogazione delle sanzioni amministrative sono destinati al fondo stanziato per il funzionamento dell’ufficio del Garante ILLECITI PENALI ART. 167- 171 ART. 167: Trattamento illecito di dati ART. 168: Falsità nelle dichiarazioni e notificazioni al Garante ART. 169: Omessa adozione di misure di sicurezza ART. 170: Inosservanza di provvedimenti del Garante ART. 171: Altre fattispecie (divieto do controllo a distanza) ART. 172: Pene accessorie CHI RISPONDE PENALMENTE? RESPONSABILITÀ PENALE DEL TITOLARE RESPONSABILITÀ PENALE DEL RESPONSABILE RESPONSABILITÀ PENALE DELL’INCARICAT0 Ivan Salvadori TRATTAMENTO ILLECITO DI DATI PERSONALI (Art. 167, c.1) CONDOTTA Salvo che il fatto costituisca più grave reato chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'art. 129, è punito, se dal fatto deriva nocumento Con la reclusione da 6 a 18 mesi SANZIONI Con la reclusione da 6 a 24 mesi (se il fatto consiste nella comunicazione o diffusione) TRATTAMENTO ILLECITO DI DATI PERSONALI NORME RICHIAMATE DALL’Art. 167, c.1 1) Art. 18: Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici 2) Art. 19: Principi applicabili al trattamento di dati comuni 3) Art. 23: Consenso (liberamente espresso, scritto, informato) 4) Art. 123: Dati relativi al traffico (trattati da fornitori di reti pubbliche di comunicazione) 5) Art. 126: Dati relativi all’ubicazione (degli utenti o abbonati di reti pubbliche 6) Art. 129: Elenchi di abbonati 7) Art. 130: Comunicazioni indesiderate (ad. es. spamming) TRATTAMENTO ILLECITO DI DATI PERSONALI (Art. 167, c.2) CONDOTTA Salvo che il fatto costituisca più grave reato chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione di quanto disposto, dagli articoli 17, 20, 21, 22, c. 8 e 11, 25, 26, 27 e 45, SANZIONI Reclusione da 1 a 3 anni TRATTAMENTO ILLECITO DI DATI PERSONALI NORME RICHIAMATE DALL’Art. 167, c.2 1) Art. 17: Trattamento che presenta rischi specifici 2) Art. 20: Principi applicabili al trattamento di dati sensibili 3) Art. 21: Principi applicabili al trattamento di dati giudiziari 4) Art. 22: Principi applicabili al trattamento di dati sensibili e giudiziari 5) Art. 25: Trattamenti posti in essere da soggetti privati (divieto di comunicazione o diffusione) 6) Art. 26-27: Garanzie per i dati sensibili e giudiziari 7) Art. 45: Trasferimenti vietati ALCUNI CASI GIURISPRUDENZIALI Corte d’appello di Torino (22.03.2002): Applica la pena prevista per la fattispecie di trattamento illecito di dati a Tizio, per aver diffuso su un sito Internet, senza il consenso della interessata sue immagini tratte da uno spogliarello, al fine di recarle un danno e procurandole effettivamente un nocumento Tribunale di Como (08.01.2004): Applica la pena prevista per la fattispecie di trattamento illecito di dati a Tizio, per aver, senza il consenso dell’interessata ed al fine di procurarle un danno, comunicato i suoi dati personali a soggetti terzi, ed in particolare aprendo a suo nome un sito internet, due indirizzi di posta elettronica ed iscrivendola ad una chat erotica FALSITÀ NELLE DICHIARAZIONI E NOTIFICAZIONI AL GARANTE (ART. 168) Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al CONDOTTA Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi SANZIONI Reclusione da 6 mesi a 3 anni OMESSA ADOZIONE DI MISURE DI SICUREZZA (ART. 169) CONDOTTA Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'art. 33 Arresto sino a 2 anni SANZIONI Ammenda da 10.000 a 50.000 € Somma pari al quarto del massimo dell'ammenda MISURE MINIME DI SICUREZZA ART. 34 Trattamenti con strumenti elettronici a) Credenziali di autenticazione (es. User-id, password) b) Aggiornamento periodico dell’ambito di trattamento consentito a soggetti incaricati, e addetti alla gestione e manutenzione degli strumenti Informatici c) Adozione di procedure per la custodia di copie di sicurezza d) Protezione degli strumenti elettronici rispetto a trattamenti illeciti di dati, accessi non consentiti (es. antivirus, firewall) e) Adozione di tecniche di cifratura f) Tenuta di un aggiornato documento programmatico di sicurezza MISURE MINIME DI SICUREZZA ART. 35 Trattamenti senza ausilio di strumenti elettronici a) Aggiornamento periodico dell’ambito di trattamento consentito a soggetti incaricati, e addetti alla gestione e manutenzione degli strumenti Informatici b) Previsione di procedure per una idonea custodia di atti e documenti affidati agli incaricati c) Previsione di procedure per la custodia di atti in archivi ad accesso selezionato Ivan Salvadori INOSSERVANZA DI PROVVEDIMENTI DEL GARANTE (ART. 170) CONDOTTA Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli artt. 26, c. 2, 90, 150, c. 1 e 2, e 143, c. 1, lett. c), SANZIONI Con la reclusione da 3 mesi a 2 anni. Ivan Salvadori ALTRE FATTISPECIE (ART. 171) Violazione delle disposizioni di cui agli artt.: CONDOTTA 113, c.1: (divieto indagini su opinioni dei lavoratori) 114: (divieto di controllo a distanza mediante impianti audiovisivi) Arresto da 15 giorni ad 1 anno SANZIONI Ammenda PUBBLICAZIONE DELLA SENTENZA DI CONDANNA (Art. 172) Art. 172 La condanna per uno dei delitti previsti dal presente codice comporta la pubblicazione della sentenza. Ivan Salvadori