La guida costituisce uno strumento utile per osservare gli adempimenti derivanti dalla normativa vigente, cui gli imprenditori devono far fronte quotidianamente, fornendo indicazioni sintetiche e soluzioni semplificate per un corretto trattamento dei dati personali.
La guida, che potrà subire aggiornamenti nel tempo, è integrata da una check list.
Di seguito ne illustriamo i passi principali, indicando anche gli articoli del Decreto legislativo n. 196/2003 cui fare riferimento.
I soggetti che effettuano il trattamento
Il titolare del trattamento è il soggetto (persona fisica o giuridica) che decide in maniera autonoma le modalità e le finalità del trattamento, compreso il profilo sulla sicurezza (Art. 28).
Il titolare può designare uno o piÚ responsabili del trattamento tramite atto scritto ed è tenuto a vigilare sulla puntuale osservanza delle istruzioni impartite agli stessi (Art. 29).
Il titolare del trattamento è inoltre tenuto a designare gli âincaricati del trattamentoâ.
Tali soggetti (solo persone fisiche) effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autoritĂ del titolare/responsabile attenendosi a istruzioni scritte (Art. 30).
Notifica del trattamento
La notifica del trattamento, cioè la dichiarazione con la quale il titolare del trattamento prima di iniziarlo rende nota al Garante la raccolta e lâutilizzazione dei dati personali utilizzando lâinterfaccia disponibile sul sito web dellâAutoritĂ e seguendo le istruzioni ivi indicate (Art. 38), non va, di norma, effettuata per i trattamenti ordinari svolti nelle piccole realtĂ produttive.
La notifica, infatti, deve essere effettuata in ipotesi particolari (Art. 37).
Con riguardo allâattivitĂ dâimpresa i trattamenti soggetti a notifica sono quelli relativi a:
¡ dati registrati in apposite banche dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti;
¡ dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
¡ dati trattati con lâausilio di strumenti elettronici volti a definire il profilo o la personalitĂ dellâinteressato, o ad analizzare abitudini o scelte di consumo, a monitorare lâutilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
¡ dati sensibili registrati in banche dati ai fini di selezione del personale per conto terzi, nonchÊ dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.
Occorre fare una nuova notifica solo in caso di cessazione del trattamento o di mutamento di alcuni elementi dellâoriginaria notificazione.
Lâinformativa
In caso di dati raccolti presso lâinteressato o presso terzi, lâinformativa deve essere resa, prima dellâinizio del trattamento, con chiarezza, anche oralmente e in modo sintetico e colloquiale (Art. 13, commi 12 e 13) e deve contenere i seguenti elementi:
¡ finalità e modalità del trattamento;
¡ natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere;
¡ soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;
¡ diritti riconosciuti allâinteressato dallâarticolo 7 del Codice della privacy;
¡ estremi identificativi del titolare e, se designato, del responsabile del trattamento.
Se lâinteressato è giĂ a conoscenza di alcuni di questi dati non è necessario indicarli nuovamente.In relazione ai dati raccolti presso terzi lâinformativa può essere omessa se i dati sono trattati:
¡ in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
¡ ai fini dello svolgimento delle investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.
Eâ prevista anche la possibilitĂ di esonero totale o parziale dallâobbligo di rendere lâinformativa nei casi in cui renderla, a giudizio del Garante, risulti impossibile o manifestamente sproporzionato rispetto al diritto fatto valere.
Il consenso dellâinteressato
Eâ necessario distinguere il trattamento dei dati personali non sensibili dal trattamento dei dati sensibili. Nel primo caso non è necessario il consenso nelle seguenti ipotesi (Art. 27):
¡ il trattamento viene posto in essere per dare esecuzione ad un obbligo legale (Art. 24, comma 1, lettera a);
¡ i dati vengono trattati nellâesecuzione di un contratto o in fase pre-contrattuale (Art. 24, comma 1, lettera b);
¡ i dati provengono da registri ed elenchi pubblici (Art. 24, comma 1, lettera c);
¡ i dati sono relativi allo svolgimento di attivitĂ economiche da parte dellâinteressato (Art. 24, comma 1, lettera d).
Nel secondo caso è necessario il consenso scritto, oltre allâautorizzazione del Garante.
Il Garante ha rilasciato sette autorizzazioni generali che comprendono tutti i comportamenti abitualmente effettuati nellâordinaria attivitĂ dâimpresa per i quali non è necessaria alcuna richiesta al Garante, salvo che per casi del tutto eccezionali.
Non è richiesto il consenso dellâinteressato se:
¡ il trattamento è necessario per svolgere le investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto (Art. 26, comma 4, lettera c);
¡ il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge o da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro (Art. 26, comma 4, lettera d).
La sicurezza dei sistemi
Il Codice pone lâobbligo generale di adottare idonee misure di sicurezza, anche attraverso la nomina di un responsabile (Art. 29, comma 2, e art. 31).
Nei casi di trattamento di dati sensibili e giudiziari attraverso sistemi informatici, va redatto entro il 31 marzo di ciascun anno il documento programmatico della sicurezza.
Tale documento va conservato dal titolare presso la propria struttura per essere esibito in occasioni di accertamenti ispettivi (Art. 34, comma 1, lettera g e regola 19 dellâallegato B del Codice).
Il trasferimento di dati personali in Paesi terzi fuori dallâUnione europea
Il trasferimento dei dati fuori dallâUnione europea è consentito nelle seguenti ipotesi:
¡ lâinteressato ha manifestato il proprio consenso espresso e, se si tratta di dati sensibili, in forma scritta;
¡ il trasferimento è necessario per eseguire obblighi derivanti da un contratto del quale è parte lâinteressato o per adempiere, prima della conclusione del contratto, a specifiche richieste dellâinteressato, ovvero per la conclusione o per lâesecuzione di un contratto stipulato a favore dellâinteressato;
¡ il trasferimento è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento;
¡ il trasferimento è necessario ai fini dello svolgimento delle investigazioni difensive, o, comunque, per far valere o difendere un diritto in sede giudiziaria;
¡ il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.
Il trasferimento è consentito anche quando è autorizzato dal Garante in presenza di adeguate garanzie per i diritti dellâinteressato (Art. 25, paragrafo 6 e art. 26, paragrafo 4, Direttiva 95/46/CE).
I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dellâarticolo 7 del Codice
Il titolare/responsabile del trattamento, quando lâinteressato esercita il proprio diritto dâaccesso ai dati, deve fornire riscontro entro quindici giorni dal ricevimento dellâistanza (Art. 146).
Nei casi di omesso o incompleto riscontro i predetti diritti possono essere fatti valere dinanzi allâautoritĂ giudiziaria o con ricorso al Garante (Art. 145).