Corso Diritto dell'Informatica e delle Nuove Tecnologie

A.A. 2015/16
Corso di Laurea Magistrale in
Ingegneria delle Telecomunicazioni
http://tlc.diee.unica.it/
Versione 2015 aggiornata a cura dell’Avv.to Gianluca Satta
Diritto dell’Informatica e delle Nuove Tecnologie
Docente: Massimo Farina
m.farina@unica.it

DIRITTO DELL’INFORMATICA E DELLE NUOVE TECNOLOGIE - A.A. 2015/2016 - MASSIMO FARINA
Univ. CA - Corso di Laurea Magistrale in Ingegneria delle Telecomunicazioni
La tutela dei dati personali
2
La tutela
dei dati
personali
Modulo III

3
• La struttura del Codice
Privacy
• Recenti modifiche al
Codice della Privacy
• Future modifiche?
• I soggetti
• Tipologia di dati
• I principi del Codice
Privacy
• I principali adempimenti
Indice
• La notificazione
• Autorizzazione
• Informativa
• Consenso
• Misure minime di sicurezza
• La responsabilita’
• Forme di tutela
• La videosorveglianza

4
La struttura del Codice Privacy
Si compone di tre parti:
• I – Disposizioni Generali
• II – Disposizioni Relative a Settori Specifici
• III – Tutela dell'Interessato e Sanzioni
…e di tre allegati:
• A – Codici Deontologici (giornalisti, storici, statistici, soggetti privati e crediti al
consumo/affidabilità pagamenti, investigazioni difensive)
• B – Disciplinare Tecnico
• C – Trattamenti in ambito giudiziario

5
Recenti modifiche al Codice della Privacy
D . L . 7 0 / 2 0 11 c o n v. L . 1 0 6 / 2 0 11 - “ D e c r e t o S v i l u p p o ”
 aggiunto comma 3-bis all’art. 5
 aggiunto comma 5-bis all’art. 13
 aggiunta lett. i-bis) all’art. 24
 aggiunta lett. i-ter) all’art. 24
 aggiunta lett. b-bis) all’art. 26
 modifica al comma 1-bis) all’art. 34
 aggiunto comma 3-bis) all’art. 130
Modifiche introdotte dal “Decreto Sviluppo”
(D.L. 70/2011 conv. L. 106/2011)

6
 aggiunto comma 3-bis) all’art. 5 (poi abrogato dal D.L. 201/2011)
“3-bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o
associazioni effettuato nell’ambito di rapporti intercorrenti esclusivamente tra i
medesimi soggetti per le finalità amministrativo-contabili, come definite
all’articolo 34, comma 1-ter, non è soggetto all’applicazione del presente codice”
EFFETTO: la protezione della riservatezza dei
dati personali è limitata alle persone fisiche e
non trova applicazione nei rapporti tra imprese,
che possono essere trattati senza vincoli,
purché si tratti di trattamenti per le normali
finalità amministrativo-contabili.
ELIMINATO
dal
D.L. 201/2011

7
 aggiunto comma 3-bis) all’art. 5 (poi abrogato dal D.L. 201/2011)
OSSERVAZIONE
Questa limitazione lasciava, certamente, qualche perplessità
in quanto non considerava che l’impresa (o, in generale, la
persona giuridica) possa assumere il ruolo di interessato al
trattamento e non soltanto di titolare. Se, infatti, è vero che
potrebbe essere ritenuto comodo, per l’impresa che tratta dati
altrui (cioè titolare) beneficiare di uno snellimento degli
adempimenti (spesso pesanti), non vale altrettanto quando
quell’impresa necessita di tutela per il trattamento dei suoi dati
da parte di altro titolare, che potrebbe anche abusarne.

8
 aggiunto comma 5-bis) all’art. 13 (informativa)
“5-bis. L’informativa di cui al comma 1 non è dovuta in caso di ricezione di
curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale
instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo
all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche
oralmente, una informativa breve contenente almeno gli elementi di cui al comma
1, lettere a), d) ed f)”
EFFETTO: soltanto in un momento successivo a quello in cui ci
sarà un primo contatto, il titolare del trattamento (per esempio
l’azienda che convoca l’interessato), anche durante il colloquio
con il candidato, sarà tenuto a fornire gli elementi dell’informativa
previsti dall’art. 13 del codice.

9
 aggiunto comma 5-bis) all’art. 13 (informativa)
OSSERVAZIONE
Al momento del contatto (es. in caso di convocazione per un colloquio),
successivo all’invio del curriculum, il titolare è tenuto a fornire
un’informativa breve contenente almeno i seguenti punti:
 finalità e modalità del trattamento;
 soggetti che possono venire a conoscenza dei dati in quanto
responsabili o incaricati del trattamento e ambito di diffusione dei dati;
 indicazione delle modalità per conoscere l’identità di tutti i responsabili
del trattamento.
Non è prevista l’indicazione dei diritti dell’interessato

10
 aggiunta lett. i-bis) all’art. 24 (trattamento senza consenso)
“Il consenso non e' richiesto, oltre che nei casi previsti
nella Parte II, quando il trattamento:
[…] (i-bis) riguarda dati contenuti nei curricula, nei casi di
cui all'articolo 13, comma 5-bis;”
EFFETTO: Introduce l’esclusione dell’obbligo del
consenso per il trattamento dei dati dei curricula
ricevuti.

11
 aggiunta lett. i-ter) all’art. 24 (gruppi societari)
“Il consenso non e' richiesto, oltre che nei casi previsti nella Parte II,
quando il trattamento:
i-ter) […] riguarda la comunicazione di dati […] tra società, enti o
associazioni con società controllanti, controllate o collegate […]
ovvero con società sottoposte a comune controllo, nonché tra
consorzi, reti di imprese e raggruppamenti e associazioni temporanei
di imprese con i soggetti ad essi aderenti, per le finalità
amministrativo contabili, come definite all’articolo 34, comma 1-ter, e
purché queste finalità siano previste espressamente con
determinazione resa nota agli interessati all’atto dell’informativa di
cui all’articolo 13;”

12
 aggiunta lett. b-bis) all’art. 26 (garanzie per i dati sensibili)
“1. I dati sensibili possono essere oggetto di trattamento solo con il
consenso scritto dell'interessato e previa autorizzazione del Garante,
nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice,
nonché dalla legge e dai regolamenti. […]
3. Il comma 1 non si applica al trattamento:
[…] b-bis) dei dati contenuti nei curricula, nei casi di cui all'articolo 13,
comma 5-bis.”
EFFETTO: l’esonero dall’obbligo del consenso riguarda anche
i dati sensibili contenuti nei curricula.
confermato l’obbligo di consenso scritto per tutti gli altri
casi in cui si trattano dati sensibili

13
 modifica al comma 1-bis) all’art. 34 (trattamenti con strumenti elettronici)
“Ai fini dell’applicazione delle disposizioni in materia di protezione dei dati personali, i
trattamenti effettuati per finalità amministrativo-contabili sono quelli connessi allo
svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a
prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività
organizzative interne, quelle funzionali all’adempimento di obblighi contrattuali e
precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della
contabilità e all’applicazione delle norme in materia fiscale, sindacale, previdenziale-
assistenziale, di salute, igiene e sicurezza sul lavoro”
EFFETTO: non sono più necessarie informative e
richieste di consenso se si trattano dati personali
relativi a persone giuridiche, esclusivamente per
finalità amministrativo-contabili, nel senso chiarito
dalla nuova norma.
ELIMINATO
D.L. 5/2012

14
 aggiunto comma 3-bis) all’art. 130 (comunicazioni indesiderate)
“[…] 3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui all'articolo
129, comma 1, mediante l'impiego del telefono e della posta cartacea per le finalità di cui
all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di
opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della
numerazione della quale è intestatario e degli altri dati personali di cui all'articolo 129, comma 1, in
un registro pubblico delle opposizioni”
EFFETTO: estende anche agli indirizzi postali tradizionali il regime dell’opt-out di
recente introdotto in materia di trattamento dei numeri telefonici degli abbonati per
l’esercizio del marketing telefonico.
Quindi anche per il marketing fatto per posta vale il registro delle opposizioni e gli
operatori di marketing diretto potranno utilizzare anche gli indirizzi degli abbonati
contenuti nell’elenco telefonico per finalità promozionali senza bisogno di chiedere il
consenso alla sola condizione che questi ultimi non abbiano richiesto l’iscrizione del
proprio numero telefonico e del proprio indirizzo presso il registro delle opposizioni di
recente istituito dalla L. n. 166/09 e gestito dalla Fondazione Ugo Bordoni.

15
D . L . 2 0 1 / 2 0 11 c o n v. L . 2 1 4 / 2 0 11 - “ D e c r e t o S a l v a I t a l i a ”
 Modificata la lett. b), comma 1, art. 4;
 Modificata la lett. i), comma 1, art. 4;
 Abrogato il comma 3-bis, art. 5;
 Soppresso ultimo periodo del comma 4, art. 9;
 Soppressa la lett. h), comma 1, art. 43.
Modifiche introdotte dal “Decreto Salva Italia”
(D.L. 201/2011 conv. L. 214/2011)

16
 Definizione di “dato personale” (art. 4, comma 1, lett. b)
“qualunque informazione relativa a persona fisica, identificata o identificabile,
anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale”;
Comprende soltanto le informazioni riferite alle persone fisiche e non più
anche alle persone giuridiche, enti o associazioni
È soltanto la persona fisica e non più anche alle persone giuridiche, enti o
associazioni
 Definizione di “interessato” (art. 4, comma 1, lett. i)
“la persona fisica, cui si riferiscono i dati personali”;

17
 Modifiche del Decreto Salva Italia
OSSERVAZIONE
I riferimenti alle persone giuridiche non sono completamente spariti:
 La persona giuridica conserva la qualità di “Titolare” e “Responsabile”
 La persona giuridica conserva la qualità di “Abbonato”
Viene a delinearsi, così, una posizione anomala per le persone
giuridiche (e per gli enti in generale), le quali, da una parte,
non possono più considerarsi soggetti “interessati” e dall’altra
conservano il ruolo di “abbonati”, con la conseguente difficoltà
di accedere alla tutela per gli abbonati che non siano anche
“interessati”

18
D . L . 5 / 2 0 1 2 c o n v. L . 3 5 / 2 0 1 2 - “ D e c r e t o S e m p l i f i c a z i o n i ”
Abrogata la lett. g), comma 1, art. 34.
Modifiche introdotte dal “Decreto Semplificazioni”
(D.L. 5/2012 conv. L. 35/2012)
Sparisce il DPS
(Documento Programmatico
sulla Sicurezza)

19
 Modifiche del Decreto Semplificazioni
OSSERVAZIONE
Sparisce la forma ma persiste la sostanza
Oggi, dove si annotano?
Tutti gli adempimenti che
dovevano essere annotati nel
DPS continuano ad esistere

20
 Modifiche del Decreto Semplificazioni
OSSERVAZIONE
Controlli più faticosi

21
 Disposizioni abrogate dal Decreto Semplificazioni
Art. 34. Trattamenti con strumenti elettronici
“1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
nei modi previsti dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
[…] g) tenuta di un aggiornato documento programmatico sulla sicurezza;
[…] 1-bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati
sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari,
compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico
sulla sicurezza e' sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi
dell'articolo 47 del testo unico di cui al decreto del Presidente della Repubblica 28 dicembre 2000,
n.445, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente
codice e dal disciplinare tecnico contenuto nell'allegato B). In relazione a tali trattamenti, nonché a
trattamenti comunque effettuati per correnti finalità amministrativo - contabili, in particolare presso
piccole e medie imprese, liberi professionisti e artigiani, il Garante, sentiti il Ministro per la
semplificazione normativa e il Ministro per la pubblica amministrazione e l'innovazione, individua con
proprio provvedimento, da aggiornare periodicamente, modalità semplificate di applicazione del
disciplinare tecnico contenuto nel citato allegato B) in ordine all'adozione delle misure minime di cui al
comma 1.”

22
Allegato B) - Documento programmatico sulla sicurezza
“19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati sensibili o di
dati giudiziari redige anche attraverso il responsabile, se designato, un documento
programmatico sulla sicurezza contenente idonee informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture
preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè
la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e
accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei
dati in seguito a distruzione o danneggiamento di cui al successivo punto 23;

23
Allegato B) - Documento programmatico sulla sicurezza
“19.6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei
rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili
della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività,
delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate
dal titolare. La formazione è programmata già al momento dell'ingresso in servizio, nonché in
occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti
rispetto al trattamento di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di
sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della
struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24,
l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri
dati personali dell'interessato; […]
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio d'esercizio, se dovuta,
dell'avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.

24
 Disposizioni residue
“1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
1. Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate,
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e
dei sistemi;”
g) [abrogato]
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

25
 Disposizioni residue
“[…] 1-bis. [abrogato];
1-ter. Ai fini dell'applicazione delle disposizioni in materia di protezione dei dati
personali, i trattamenti effettuati per finalità amministrativo-contabili sono quelli
connessi allo svolgimento delle attività di natura organizzativa, amministrativa,
finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare,
perseguono tali finalità le attività organizzative interne, quelle funzionali
all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto
di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle
norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e
sicurezza sul lavoro h) adozione di tecniche di cifratura o di codici identificativi per
determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale
effettuati da organismi sanitari.”

26
Future modifiche?
I l R e g o l a m e n t o e u r o p e o
1) Il Data Protection Officer (o Privacy Officer)
 Almeno 5000 interessati
 Dati personali di particolare rilevanza
2) Obbligo di notificare il data breach
 In Italia già previsto per gli operatori di telefonia
3) Sparisce la notificazione ex art. 37 D.lgs. 196/03
 In Italia già previsto per gli operatori di telefonia
4) Attenuazione del diritto all’Oblio
 Diritto alla cancellazione e divieto di ulteriore trattamento
5) Sanzioni amministrative
 sanzioni ad efficacia deterrente e proporzionate
6) Bollino qualità (Certificato europeo della protezione dei dati personali)
 Rilasciato dalle varie Authority nazionali ma anche da soggetti
terzi

27
I soggetti
D e f i n i z i o n i
Titolare (del trattamento) la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono,
anche unitamente ad altro titolare, le decisioni
in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza”
“Responsabile” (del trattamento) “la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione
od organismo preposti dal titolare al trattamento di
dati personali”
“Incaricati” (del trattamento) “le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal
responsabile”
“Interessato” (al trattamento) “la persona fisica cui si riferiscono i dati personali”

28
O r g a n i z z a z i o n e g e r a r c h i c a
Titolare
(del trattamento)
Responsabile
Incaricato
TIPICA ORGANIZZAZIONE PER IL TRATTAMENTO DEI DATI PERSONALI
I soggetti

29
A p p r o f o n d i m e n t o : l ’ a m m i n i s t r a t o r e d i s i s t e m a
BREVE APPROFONDIMENTO SUGLI AMMINISTRATORI DI SISTEMA
Provv. Gen. 27 novembre 2008
(G.U. n. 300 del 24 dicembre 2008 - modificato il 25 giugno 2009)
AMMINISTRATORI DI
SISTEMA
Soggetti che vigilano sul corretto
utilizzo dei sistemi informatici
di un'azienda o di
una pubblica amministrazione
L’amministratore di sistema non è semplicemente il manutentore della struttura
informatica ma è il “garante informatico”
Esisteva già nel Regolamento attuativo (DPR 318/1999) della legge 675/1996.
Esistevano due figure:
1. il preposto alla custodia della parola chiave
2. l’amministratore di sistema. (abrogato dall'art. 183, D.Lgs. n. 196/03)
I soggetti

30
1. Deve trattarsi di un soggetto affidabile.
“[…] a. Valutazione delle caratteristiche soggettive. L'attribuzione delle funzioni di
amministratore di sistema deve avvenire previa valutazione delle caratteristiche
di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire
idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo relativo alla sicurezza.
Anche quando le funzioni di amministratore di sistema o assimilate sono
attribuite solo nel quadro di una designazione quale incaricato del trattamento
ai sensi dell'art. 30 del Codice, il titolare e il responsabile devono attenersi
comunque a criteri di valutazione equipollenti a quelli richiesti per la
designazione dei responsabili ai sensi dell'art. 29.”
2. La designazione quale amministratore di sistema deve essere individuale e
recare l'elencazione analitica degli ambiti di operatività consentiti in base al
profilo di autorizzazione assegnato.
I soggetti

31
3. Devono essere resi noti al pubblico e ai lavoratori gli estremi identificativi
dell’amministratore di sistema tramite menzione in un documento interno. Deve
trattarsi di un soggetto affidabile.
“[…] c. Elenco degli amministratori di sistema. Gli estremi identificativi delle persone
fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite, devono
essere riportati in un documento interno da mantenere aggiornato e disponibile in caso di
accertamenti da parte del Garante.
Qualora l'attività degli amministratori di sistema riguardi anche indirettamente servizi o
sistemi che trattano o che permettono il trattamento di informazioni di carattere personale
dei lavoratori, i titolari pubblici e privati sono tenuti a rendere nota o conoscibile l'identità
degli amministratori di sistema nell'ambito delle proprie organizzazioni, secondo le
caratteristiche dell'azienda o del servizio, in relazione ai diversi servizi informatici cui
questi sono preposti. Ciò, avvalendosi dell'informativa resa agli interessati ai sensi dell'art.
13 del Codice nell'ambito del rapporto di lavoro che li lega al titolare, oppure tramite il
disciplinare tecnico di cui al provvedimento del Garante n. 13 del 1° marzo 2007
(in G.U. 10 marzo 2007, n. 58) o, in alternativa, mediante altri strumenti di comunicazione
interna (ad es., intranet aziendale, ordini di servizio a circolazione interna o bollettini) o
tramite procedure formalizzate a istanza del lavoratore. Ciò, salvi i casi in cui tali forme di
pubblicità o di conoscibilità siano incompatibili con diverse previsioni dell'ordinamento che
disciplinino uno specifico settore.
I soggetti

32
4. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il
titolare o il responsabile esterno devono conservare direttamente e
specificamente, per ogni eventuale evenienza, gli estremi identificativi delle
persone fisiche preposte quali amministratori di sistema.
5. Si deve procedere alla verifica delle relative attività mediante controllo
almeno annuale
6. Devono essere adottati sistemi idonei alla registrazione degli accessi.
“[…] f. Registrazione degli accessi. Devono essere adottati sistemi idonei alla
registrazione degli accessi logici (autenticazione informatica) ai sistemi di
elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Le
registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e
possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per
cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la
descrizione dell'evento che le ha generate e devono essere conservate per un
congruo periodo, non inferiore a sei mesi”.
I soggetti

33
Tipologia di dati
D e f i n i z i o n i : a r t . 4 d e l C o d i c e P r i v a c y
DATI PERSONALI qualunque informazione relativa a persona fisica
identificata o identificabile, anche indirettamente,
mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di
identificazione personale;
DATI SENSIBILI i dati personali idonei a rivelare l'origine razziale ed
etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati
personali idonei a rivelare lo stato di salute e la vita
sessuale;
DATI GIUDIZIARI i dati personali idonei a rivelare […] informazioni in
materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualità di imputato o di indagato ai sensi
degli articoli 60 e 61 del codice di procedura penale […]

34
D e f i n i z i o n e d i “ t r a t t a m e n t o ”
TRATTAMENTO DEI DATI
“qualunque operazione o complesso di operazioni, effettuati
anche senza l'ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione,
la consultazione, l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati, anche se
non registrati in una banca di dati”;
Tipologia di dati

35
I principi del Codice Privacy
P r i n c i p i o d i f i n a l i t à
PRINCIPIO DI FINALITÀ
(art. 11, comma 1, lettera b)
I DATI PERSONALI OGGETTO DI TRATTAMENTO
DEVONO ESSERE RACCOLTI E REGISTRATI PER
DETERMINATI SCOPI. CIÒ VUOL DIRE CHE OGNI
ATTIVITÀ È CONSENTITA SOLO SE È ANCORATA
AD UNA FINALITÀ OVVERO SE INERENTE CON
L’ATTIVITÀ PRESTATA

36
P r i n c i p i o d i n e c e s s i t à
PRINCIPIO DI NECESSITÀ
(art. 3)
I SISTEMI INFORMATIVI E I PROGRAMMI INFORMATICI
SONO CONFIGURATI RIDUCENDO AL MINIMO
L’UTILIZZAZIONE DEI DATI PERSONALI E DEI DATI
IDENTIFICATIVI, IN MODO DA ESCLUDERNE IL
TRATTAMENTO QUANDO LE FINALITÀ PERSEGUITE NEI
SINGOLI CASI POSSONO ESSERE REALIZZATE MEDIANTE,
RISPETTIVAMENTE, DATI ANONIMI OD OPPORTUNE
MODALITÀ CHE PERMETTANO DI IDENTIFICARE
L’INTERESSATO SOLO IN CASO DI NECESSITÀ.

37
P r i n c i p i o d i p r o p o r z i o n a l i t à
PRINCIPIO DI PROPORZIONALITÀ
(art. 11, comma 1, lettera d)
I DATI PERSONALI OGGETTO DI
TRATTAMENTO DEVONO ESSERE
PERTINENTI, COMPLETI E NON ECCEDENTI
RISPETTO ALLE FINALITÀ PER LE QUALI
SONO RACCOLTI O SUCCESSIVAMENTE
TRATTATI

38
P r i n c i p i o d i i n d i s p e n s a b i l i t à
PRINCIPIO DI INDISPENSABILITÀ
(art. 22, comma 3)
I SOGGETTI PUBBLICI POSSONO TRATTARE
SOLO I DATI SENSIBILI E GIUDIZIARI
INDISPENSABILI PER SVOLGERE ATTIVITÀ
ISTITUZIONALI CHE NON POSSONO ESSERE
ADEMPIUTE, CASO PER CASO, MEDIANTE IL
TRATTAMENTO DI DATI ANONIMI O DI DATI
PERSONALI DI NATURA DIVERSA

39
I principali adempimenti
• Notificazione
• Autorizzazione
ADEMPIMENTI VERSO
L’AUTORITÀ GARANTE
• Informativa
• Richiesta di consenso
ADEMPIMENTI VERSO
GLI INTERESSATI
• Misure minime di
sicurezza
ADEMPIMENTI INTERNI
(ORGANIZZATIVI)

40
La notificazione
A r t . 3 7 d e l C o d i c e P r i v a c y
a) dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di
comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini
di procreazione assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive,
sieropositività, trapianto di organi e tessuti e monitoraggio della
spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale;
Quando si notifica?

41
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la
personalità dell'interessato, o ad analizzare abitudini o scelte di consumo,
ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con
esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per
conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche
di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e
relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al
corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non e'
dovuta se relativa all'attività dei medici di famiglia e dei pediatri di libera scelta,
in quanto tale funzione e' tipica del loro rapporto professionale con il Servizio
sanitario nazionale.
La notificazione

42
2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio
ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della
natura dei dati personali, con proprio provvedimento adottato anche ai sensi
dell'articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale
della Repubblica italiana il Garante può anche individuare, nell'ambito dei
trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare
detto pregiudizio e pertanto sottratti all'obbligo di notificazione.
3. La notificazione e' effettuata con unico atto anche quando il trattamento
comporta il trasferimento all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti
accessibile a chiunque e determina le modalità per la sua consultazione gratuita
per via telematica, anche mediante convenzioni con soggetti pubblici o presso il
proprio Ufficio. Le notizie accessibili tramite la consultazione del registro
possono essere trattate per esclusive finalità di applicazione della disciplina in
materia di protezione dei dati personali.
La notificazione

43
[II] La notificazione è validamente effettuata solo se
è trasmessa per via telematica utilizzando il
modello predisposto dal Garante e osservando le
prescrizioni da questi impartite, anche per quanto
riguarda le modalità di sottoscrizione con firma
digitale e di conferma del ricevimento della
notificazione. [Tramite il sito www.garanteprivacy.it]
Come si notifica?
La notificazione

44
[IV] Una nuova notificazione è richiesta solo anteriormente alla
cessazione del trattamento o al mutamento di taluno degli elementi da
indicare nella notificazione medesima
Quante volte si notifica?
Art. 163. Omessa o incompleta notificazione
Chiunque, essendovi tenuto, non provvede tempestivamente alla
notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie
incomplete, e' punito con la sanzione amministrativa del pagamento di
una somma da ventimila euro a centoventimila euro.
Sanzione per omessa notificazione
La notificazione

45
Autorizzazione
1. I dati sensibili possono essere oggetto di trattamento solo con il
consenso scritto dell'interessato e previa autorizzazione del Garante,
nell'osservanza dei presupposti e dei limiti stabiliti dal presente codice,
nonché dalla legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di
autorizzazione entro quarantacinque giorni, decorsi i quali la mancata
pronuncia equivale a rigetto. Con il provvedimento di autorizzazione,
ovvero successivamente, anche sulla base di eventuali verifiche, il
Garante puo' prescrivere misure e accorgimenti a garanzia
dell'interessato, che il titolare del trattamento e' tenuto ad adottare.
Previsto per tutti i titolari
che trattano dati sensibili e giudiziari

46
A u t o r i z z a z i o n i g e n e r a l i
• Autorizzazione generale n. 1/2014 del 11 dicembre 2014 (scad. 31 dicembre 2016)
“Trattamento dei dati sensibili nei rapporti di lavoro”
“Trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale”
“Trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle
fondazioni”
“Trattamento dei dati sensibili da parte dei liberi professionisti”
Tenuto conto dell’altissimo numero di soggetti interessati, il
legislatore ha previsto le “Autorizzazioni Generali” concesse a
determinate categorie di titolari o di trattamenti
Autorizzazione

47
A u t o r i z z a z i o n i g e n e r a l i
“Trattamento dei dati sensibili da parte di diverse categorie di titolari”
“Trattamento dei dati sensibili da parte degli investigatori privati”
“Trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici
economici e di soggetti pubblici”
“Trattamento dei dati genetici”
“Trattamento dei dati personali effettuato per scopi di ricerca scientifica”
Autorizzazione

48
Informativa
L'interessato o la persona presso la quale sono
raccolti i dati personali sono previamente
informati oralmente o per iscritto circa
I soggetti che
effettueranno
il trattamento
La finalità
del
trattamento
La modalità
del
trattamento
I diritti dell’
interessato

49
F o r m a d e l l ’ i n f o r m a t i v a
Art. 13
L'interessato o la persona presso la quale sono raccolti i
dati personali sono previamente informati oralmente o
per iscritto […]
LA FORMA È LIBERA
Informativa

50
S a n z i o n e
Art. 161
La violazione delle disposizioni di cui
all'articolo 13 è punita con la sanzione
amministrativa del pagamento di una somma
da seimila euro a trentaseimila euro
Sanzione
Informativa

51
Consenso
C o n s e n s o d e l l ’ i n t e r e s s a t o
DEFINIZIONE: libera manifestazione della volontà
dell'interessato con cui egli accetta espressamente un
determinato trattamento dei propri dati personali, previa
informativa da chi gestisce i dati.
INFORMATO: è invalido il consenso non
preceduto da informativa
(Garante Provv. 28 maggio 1997)
ESPRESSO: non può essere implicito, né
per comportamenti concludenti (Garante
Provv. 25 dicembre 1998)
LIBERO: non costretto e non condizionato
(Garante Provv. 28 maggio 1997)
Caratteristiche
del consenso

52
C o n s e n s o d e l l ’ i n t e r e s s a t o
DOCUMENTATO PER ISCRITTO: annotato, trascritto,
riportato dal titolare o dal responsabile o da un incaricato
del trattamento su un registro o un atto o un verbale. In
caso di dati sensibili occorre il consenso rilasciato per
iscritto dall'interessato
SPECIFICO: è invalido se generico
Consenso
Caratteristiche del consenso

53
Tr a t t a m e n t o s e n z a c o n s e n s o
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla
normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale e' parte l'interessato
o per adempiere, prima della conclusione del contratto, a specifiche richieste
dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da
chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa
comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della
vigente normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la
medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio
consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di
volere, il consenso e' manifestato da chi esercita legalmente la potestà, ovvero da un
prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile
della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo
82, comma 2;
Consenso

54
f) con esclusione della diffusione, e' necessario ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far
valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati
esclusivamente per tali finalità e per il periodo strettamente necessario al loro
perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e
industriale;
g) con esclusione della diffusione, e' necessario, nei casi individuati dal Garante sulla
base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o
di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali,
la dignità o un legittimo interesse dell'interessato;
h) con esclusione della comunicazione all'esterno e della diffusione, e' effettuato da
associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in
riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il
perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo
statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con
determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;
Consenso

55
i) e' necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A),
per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso
archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma
2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico
in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi
codici, presso altri archivi privati.
i-bis) riguarda dati contenuti nei curricula, nei casi di cui all'articolo 13, comma 5-bis;
i-ter) con esclusione della diffusione e fatto salvo quanto previsto dall'articolo 130 del
presente codice, riguarda la comunicazione di dati tra società, enti o associazioni
con società controllanti, controllate o collegate ai sensi dell'articolo 2359 del
codice civile ovvero con società sottoposte a comune controllo, nonché tra
consorzi, reti di imprese e raggruppamenti e associazioni temporanei di imprese
con i soggetti ad essi aderenti, per le finalità amministrativo contabili, come
definite all'articolo 34, comma 1-ter, e purché queste finalità siano previste
espressamente con determinazione resa nota agli interessati all'atto
dell'informativa di cui all'articolo 13.
Consenso

56
MISURE MINIME
DI SICUREZZA
MISURE IDONEE
DI SICUREZZA
Misure minime di sicurezza
D i s c i p l i n a r e t e c n i c o

57
CARATTERISTICHE DELLE
CREDENZIALI DI
AUTENTICAZIONE
1. Lunghezza minima della password
di 8 caratteri
2. non riconducibile al soggetto
GESTIONE DELLE CREDENZIALI
DI AUTENTICAZIONE
1. Modifica dopo il primo utilizzo, ogni 6
o 3 mesi a seconda dei dati trattati
2. Disattivazione in caso di non uso per
almeno 6 mesi o di perdita della
qualità che permette l’accesso ai dati
3. Garanzia della disponibilità dei dati o
degli strumenti elettronici in caso di
prolungata assenza o impedimento
dell’incaricato che goda delle
credenziali di autenticazione
SISTEMA DI AUTORIZZAZIONE
1. Verifica almeno annuale delle
condizioni per l’autorizzazione

58
PROTEZIONE CONTRO IL
RISCHIO DI INTRUSIONE
1. Attivazione di idonei strumenti
elettronici da aggiornare con
cadenza almeno semestrale.
AGGIORNAMENTI
PERIODICI DEI PROGRAMMI
PER ELABORATORE
1. Almeno annuale per dati comuni
2. Almeno semestrale per dati sensibili
e/o giudiziari
BACK UP
1. Salvataggio dei dati con frequenza
almeno settimanale
DISASTER RECOVERY
1. Ripristino entro il termine massimo di
una settimana

59
M i s u r e m i n i m e v s . m i s u r e i d o n e e
È NECESSARIO PRESTARE ATTENZIONE ALLA DISTINZIONE TRA
MISURE MINIME DI SICUREZZA E MISURE IDONEE DI SICUREZZA
art. 4 comma 3 del D.Lgs. 196/03:
“Il complesso delle misure tecniche,
informatiche, organizzative, logistiche e
procedurali di sicurezza che configurano
il livello minimo di protezione richiesto
in relazione ai rischi previsti nell'articolo
31”.
Nessuna definizione normativa:
Sono individuabili sulla base delle
soluzioni tecniche concretamente
disponibili sul mercato, mentre le
misure minime sono puntualmente
individuate dalla legge (in particolare
dall'allegato B)”.

60
La responsabilita’
I l c o d i c e p r e v e d e t r e t i p i
• Artt. 161- 166
Amministrativa
• Art. 15
Civile
• Artt. 167- 172
Penale

61
A m m i n i s t r a t i v a : a r t t . 1 6 1 - 1 6 6
TITOLO III - Sanzioni.
Capo I - Violazioni amministrative
L'organo competente ad irrogare le sanzioni amministrative è il Garante.
Si osservano, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e
successive modificazioni.
Art. 161
Omessa o inidonea informativa
all’interessato
La violazione delle disposizioni di cui all'articolo 13 è
punita con la sanzione amministrativa del pagamento
di una somma da seimila euro a trentaseimila euro
Art. 163
Omessa o incompleta
notificazione al garante
sanzione amministrativa del pagamento di una somma
da ventimila euro a centoventimila euro
Art. 164
Omesso invio di informazioni o
documenti richiesti dal garante
sanzione amministrativa del pagamento di una somma
da diecimila euro a sessantamila euro

62
C i v i l e
Responsabilità civile
Art. 15
Danni cagionati per
effetto del trattamento
Chiunque cagiona danno ad altri per effetto
del trattamento di dati personali è tenuto al
risarcimento ai sensi dell'articolo 2050 del
codice civile.
Art. 2050 c.c.
Responsabilità per
l'esercizio di attività
pericolose.
Chiunque cagiona danno ad altri nello
svolgimento di un’attività pericolosa, per sua
natura o per natura dei mezzi adoperati, è
tenuto al risarcimento, se non prova di avere
adottato tutte le misure idonee a evitare il
danno

63
P e n a l e : a r t t . 1 6 7 - 1 7 2
TITOLO III - Sanzioni.
Capo II – Illeciti penali
Art. 167 - Trattamento illecito di dati
personali
1. se dal fatto deriva nocumento, con la reclusione da sei
a diciotto mesi
2. se il fatto consiste nella comunicazione o diffusione,
con la reclusione da sei a ventiquattro mesi.
Art. 168 - Falsità nelle dichiarazioni
e notificazioni al garante
e' punito, salvo che il fatto costituisca più grave reato, con
la reclusione da sei mesi a tre anni
Art. 169 - Omissione di adozione
delle misure minime di sicurezza
arresto sino a due anni.
Ravvedimento operoso: all'autore è impartita una
prescrizione fissando un termine per la regolarizzazione. Nei
sessanta giorni successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso
dal Garante a pagare una somma pari al quarto del massimo
della sanzione stabilita per la violazione amministrativa
art. 170 - Inosservanza dei
provvedimenti del garante
reclusione da tre mesi a due anni

64
Forme di tutela
• GIUDICE ORDINARIO
Tutela giurisdizionale
• GARANTE PRIVACY
Tutela amministrativa
• L’UNICA FORMA DI TUTELA AMMESSA È QUELLA DAVANTI AL
GIUDICE ORDINARIO
Risarcimento danni

65
NOTA: “la raccolta, la registrazione, la conservazione e, in generale, l'utilizzo
di immagini configura un trattamento di dati personali cioè di informazioni
relative a persone fisiche identificate o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione”
Videosorveglianza
L e f o n t i
FONTI
Coordinamento con
le altre fonti che
regolano i singoli
settori: p.es. Statuto
dei Lavoratori
CODICE DELLA
PRIVACY
(D.LGS. 196/03)
Provvedimento in
materia di
videosorveglianza
8 aprile 2010
(G.U. n. 99 del
29/04/2010)

66
A l c u n e o s s e r v a z i o n i
“è in crescita costante il ricorso alle telecamere
di controllo in aree aperte al pubblico e in aree
private così come l'utilizzo di tecnologie
sofisticate e sistemi miniaturizzati”
“In continuo aumento anche l'impiego di
dispositivi miniaturizzati o camuffati”
Videosorveglianza

67
“Alcune amministrazioni comunali
indicano indebitamente, come scopo
della sorveglianza, finalità di sicurezza
pubblica, prevenzione e accertamento dei
reati che competono invece solo ad
organi giudiziari o a forze armate o di
polizia”
Il Decreto Legge “antistupro” del 23 febbraio 2009,
ha attribuito ai sindaci il compito di sovrintendere
alla vigilanza ed all'adozione di atti che sono loro
attribuiti dalla legge e dai regolamenti in materia di
ordine e sicurezza pubblica, nonché allo
svolgimento delle funzioni affidati ad essi dalla
legge in materia di sicurezza e di polizia giudiziaria.
F i n a l i t à
PRINCIPIO DI FINALITÀ: Chi installa telecamere deve
perseguire finalità determinate e di propria pertinenza.
1) la sicurezza
urbana, l'ordine e la
sicurezza pubblica,
la prevenzione,
l’accertamento o la
repressione dei reati
2) la protezione della
proprietà
3) la rilevazione,
prevenzione e
controllo delle
infrazioni da parte
dei soggetti pubblici
a ciò preposti dalla
legge
4) l’acquisizione di
prove
Videosorveglianza

68
Trattamento pertinente e non eccedente, rispetto alle finalità perseguite; ciò si
concretizza, ad esempio, nella scelta delle modalità di ripresa e dislocazione
delle telecamere (fisse o brandeggiabili, dotate o meno di zoom).
4.5. Utilizzo di web cam o camera-on-line a scopi promozionali-turistici o
pubblicitari
Le attività di rilevazione di immagini a fini promozionali-turistici o pubblicitari,
attraverso web cam devono avvenire con modalità che rendano non
identificabili i soggetti ripresi. Ciò in considerazione delle peculiari modalità del
trattamento, dalle quali deriva un concreto rischio del verificarsi di un
pregiudizio rilevante per gli interessati: le immagini raccolte tramite tali sistemi,
infatti, vengono inserite direttamente sulla rete Internet, consentendo a
chiunque navighi sul web di visualizzare in tempo reale i soggetti ripresi e di
utilizzare le medesime immagini anche per scopi diversi dalle predette finalità
promozionali-turistiche o pubblicitarie perseguite dal titolare del trattamento.
P r i n c i p i o d i p e r t i n e n z a e n o n e c c e d e n z a
Videosorveglianza

69
Il Provvedimento del 2010 introduce una nuova tipologia
di informativa, per i soggetti privati che effettuano
trattamenti di immagini con sistemi di videosorveglianza
collegati con le forze di polizia;
Rimane anche l’informativa già adottata con il
Provvedimento del 2004
I n f o r m a t i v a ( s e m p l i f i c a t a )
Tutti coloro che transitano nelle aree videocontrollate
devono essere opportunamente informati della presenza di
telecamere attraverso l’affissione di appositi cartelli
chiaramente visibili ed esplicativi degli elementi previsti
all’art. 13 del d.lgs. 196/03, anche quando il sistema di
videosorveglianza è attivo in ORARIO NOTTURNO.
Videosorveglianza

70
 deve essere collocato prima del raggio di azione della telecamera, anche nelle
sue immediate vicinanze e non necessariamente a contatto con gli impianti;
 deve avere un formato ed un posizionamento tale da essere chiaramente visibile
in ogni condizione di illuminazione ambientale, anche quando il sistema di
videosorveglianza sia eventualmente attivo in orario notturno;
 può inglobare un simbolo o una stilizzazione di esplicita e immediata
comprensione, eventualmente diversificati al fine di informare se le immagini sono
solo visionate o anche registrate.
P o s i z i o n a m e n t o d e l l ’ i n f o r m a t i v a
Videosorveglianza
NOTA
Il Garante ritiene auspicabile che
l'informativa, resa in forma semplificata
rinvii a un testo completo contenente
tutti gli elementi di cui all'art. 13,
comma 1, del Codice

71
(Art. 3.1.1 - Provv. 8 apr. 2010)
Trattamenti svolti dalle forze di polizia, dagli organi di pubblica sicurezza e
da altri soggetti pubblici per finalità di tutela dell’ordine e della
sicurezza pubblica, prevenzione, accertamento o repressione dei
reati.
NOTA: L’assenza dell’obbligo non significa divieto; infatti, per i titolari
dei predetti trattamenti è espressamente prevista la possibilità di “rendere
nota la rilevazione di immagini tramite impianti di videosorveglianza
attraverso forme anche semplificate di informativa, che evidenzino,
mediante l'apposizione nella cartellonistica di riferimenti grafici, simboli,
diciture, l'utilizzo di tali sistemi per finalità di tutela dell’ordine e della
sicurezza pubblica, prevenzione, accertamento o repressione dei reati”
SANZIONE AMMINISTRATIVA da seimila a trentaseimila euro
E s e n z i o n i d a l l ’ o b b l i g o d i i n f o r m a t i v a
Videosorveglianza

72
“Il sistema impiegato deve essere programmato in modo da operare al momento
prefissato l'integrale cancellazione automatica delle informazioni allo scadere
del termine previsto da ogni supporto, anche mediante sovraregistrazione, con
modalità tali da rendere non riutilizzabili i dati cancellati”
SANZIONE AMMINISTRATIVA da trentamila a centottantamila euro
Te m p o d i c o n s e r v a z i o n e e r e g i s t r a z i o n e d e l l e i m m a g i n i
“POCHE ORE O, AL MASSIMO, VENTIQUATTRO ORE SUCCESSIVE ALLA RILEVAZIONE”
IComuni
Conservazione dei dati
fino “ai sette giorni
successivi alla
rilevazione delle
informazioni e delle
immagini raccolte
mediante l’uso di
sistemi di
videosorveglianza,
fatte salve speciali
esigenze di ulteriore
conservazione”.
Mezziditrasporto
Peculiari
esigenze
tecniche
Banche
Particolare rischiosità
dell'attività svolta dal
titolare del trattamento
(le banche, per le quali
può risultare
giustificata l’esigenza
di identificare gli autori
di un sopralluogo nei
giorni precedenti una
rapina)
Videosorveglianza

73
S e t t o r i s p e c i f i c i ( a r t . 4 )
SISTEMI INTEGRATI DI
VIDEOSORVEGLIANZA
RAPPORTI DI LAVORO E
ISTITUTI SCOLASTICI
OSPEDALI, LUOGHI DI CURA E
WEBCAM A SCOPO
TURISTICO
TRASPORTO PUBBLICO
E TAXI
VIDEOSORVEGLIANZA
Videosorveglianza

74
Decisione del Garante Privacy del 26 febbraio 2009: Non è lecito installare
telecamere che possano controllare i lavoratori, anche in aree e locali dove si
trovino saltuariamente (p. es: Aree di carico e scarico)
R a p p o r t i d i l a v o r o ( S t a t u t o d e i l a v o r a t o r i )
Divieto di
utilizzo di
mezzi di
sorveglianza
a distanza
per finalità di
mero
controllo
Divieto
assoluto di
ripresa negli
ambienti non
destinati al
lavoro, quali
spogliatoi,
docce
armadietti e
luoghi ricreativi
Gli impianti e le
apparecchiature di
controllo che siano
richiesti da esigenze
organizzative e
produttive, ovvero
dalla sicurezza del
lavoro, possono
essere installati
soltanto previo
accordo con le
rappresentanze
sindacali aziendali
Nell’ipotesi in cui il
datore di lavoro
intenda
promuovere la
propria attività
imprenditoriale con
riprese televisive
sui luoghi di lavoro,
rimane fermo il
diritto del
lavoratore di
opporsi alle riprese
Videosorveglianza

75
Il mancato rispetto di quanto sopra prescritto comporta l'applicazione della
sanzione amministrativa del pagamento di una somma da trentamila euro a
centottantamila euro
L'utilizzo di sistemi di videosorveglianza preordinati al controllo a distanza dei
lavoratori o ad effettuare indagini sulle loro opinioni integra la fattispecie di
reato prevista dall'art. 171 del Codice (ammenda da lire 300.000 a lire
3.000.000 o con l'arresto da 15 giorni ad un anno).
LE REGOLE DETTATE DAL DECALOGO SI OSSERVANO ANCHE
 all'interno degli edifici
 in altri contesti in cui è resa la prestazione di lavoro (ad esempio, nei cantieri edili o
con riferimento alle telecamere installate su veicoli adibiti al servizio di linea per il
trasporto di persone)
 o su veicoli addetti al servizio di noleggio con conducente e servizio di piazza (taxi)
per trasporto di persone (le quali non devono riprendere in modo stabile la
postazione di guida, e le cui immagini, raccolte per finalità di sicurezza e di eventuale
accertamento di illeciti, non possono essere utilizzate per controlli, anche indiretti,
sull'attività lavorativa degli addetti).
R a p p o r t i d i l a v o r o ( S t a t u t o d e i l a v o r a t o r i )
Videosorveglianza

76
È FATTO DIVIETO ASSOLUTO DI VISIONE
DELLE IMMAGINI AI SOGGETTI ESTRANEI
Il mancato rispetto di quanto sopra prescritto comporta l'applicazione della
sanzione amministrativa di una somma da trentamila euro a centottantamila
euro.
La diffusione di immagini in violazione dell'art. 22, comma 8, comporta
l'applicazione della sanzione amministrativa da diecimila euro a centoventimila,
e della reclusione da uno a tre anni.
O s p e d a l i e l u o g h i d i c u r a ( d a t i s e n s i b i l i )
 Le riprese devono essere limitate ai casi di stretta indispensabilità
 Sono autorizzati ad accedere alle immagini solo i soggetti
appartenenti al personale medico ed infermieristico
 Possono, inoltre, accedere alle immagini i familiari di
ricoverati in reparti dove non sia consentito agli stessi di
recarsi personalmente (per esempio, rianimazione)
Videosorveglianza

77
 Le riprese devono essere circoscritte
alle sole aree interessate ed attivate
negli orari di chiusura degli istituti
 Spesso in tali contesti il trattamento
riguarderebbe soggetti minori
SANZIONI
Il mancato rispetto delle suddette regole comporta
l'applicazione della sanzione amministrativa da trentamila
euro a centottantamila euro
I s t i t u t i s c o l a s t i c i
Videosorveglianza

78
FINALITÀ
“situazioni di particolare rischio”
OBBLIGO DI INFORMATIVA
“apposite indicazioni o contrassegni che diano conto
con immediatezza della presenza dell'impianto di
videosorveglianza”
 Taxi: le telecamere non devono
riprendere in modo stabile la
postazione di guida e la loro
presenza deve essere segnalata
con appositi contrassegni.
 Trasporto pubblico: lecita
l'installazione su mezzi di trasporto
pubblico e presso le fermate, ma
rispettando limiti precisi (es.angolo
visuale circoscritto, riprese senza
l'uso di zoom).
SANZIONI
Assenza di informativa: sanzione amministrativa del pagamento di una
somma da seimila euro a trentaseimila euro
Controllo a distanza del lavoratore: ammenda da lire 300.000 a lire
3.000.000 o con l'arresto da 15 giorni ad un anno
Mancato rispetto delle disposizioni relative alle aree di fermata:
pagamento di una somma da trentamila euro a centottantamila euro
Tr a s p o r t o p u b b l i c o
Videosorveglianza

79
PRESCRIZIONI
Le riprese “devono avvenire con modalità che
rendano non identificabili i soggetti ripresi”
RISCHI
“Le immagini raccolte tramite tali sistemi, infatti, vengono inserite
direttamente sulla rete Internet, consentendo a chiunque navighi
sul web di visualizzare in tempo reale i soggetti ripresi e di
utilizzare le medesime immagini anche per scopi diversi dalle
predette finalità promozionali-turistiche o pubblicitarie perseguite
dal titolare del trattamento”
R i p r e s e a s c o p i p r o m o z i o n a l i - t u r i s t i c i o p u b b l i c i t a r i
Videosorveglianza

Grazie per l’attenzione
Docente: Massimo Farina
http://www.massimofarina.it
http://www.diricto.it/
http://ict4forensics.diee.unica.it/
m.farina@unica.it – gianluca@gianlucasatta.it
A.A. 2015/16
Corso di Laurea Magistrale in
Ingegneria delle Telecomunicazioni
http://tlc.diee.unica.it/

81
Attribuzione - Non Commerciale - Condividi allo stesso modo 3.0
o Tu sei libero:
• di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico,
rappresentare, eseguire o recitare l'opera;
• di modificare quest’opera;
• Alle seguenti condizioni:
 Attribuzione. Devi attribuire la paternità dell’opera nei modi indicati
dall’autore o da chi ti ha dato l’opera in licenza e in modo tale da non
suggerire che essi avallino te o il modo in cui tu usi l’opera.
 Non commerciale. Non puoi usare quest’opera per fini commerciali.
 Condividi allo stesso modo. Se alteri, trasformi quest’opera, o se la usi per
crearne un’altra, puoi distribuire l’opera risultante solo con una licenza
identica o equivalente a questa.
o In occasione di ogni atto di riutilizzazione o distribuzione, devi chiarire agli altri i
termini della licenza di quest’opera.
o Se ottieni il permesso dal titolare del diritto d'autore, è possibile rinunciare ad ognuna di
queste condizioni.
o Le tue utilizzazioni libere e gli altri diritti non sono in nessun modo limitati da quanto
sopra
Licenza

Corso Diritto dell'Informatica e delle Nuove Tecnologie

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (12)

Similaire à Corso Diritto dell'Informatica e delle Nuove Tecnologie

Similaire à Corso Diritto dell'Informatica e delle Nuove Tecnologie (20)

Plus de Massimo Farina

Plus de Massimo Farina (17)

Dernier

Dernier (8)

Corso Diritto dell'Informatica e delle Nuove Tecnologie