TESTO UNICO SULLA PRIVACY
INTRODUZIONE
- Coordinamento Fonti Normative
Dal 1 gennaio 2004 è entrato in vigore il Codice della Privacy. Trattasi di un Testo Unico contenente le disposizioni in materia di protezione dei dati personali adottato con il D.Lgs. 30 giugno 2003, n.196, pubblicato in Gazzetta Ufficiale il 29 luglio 2003. Tale decreto è stato emanato ai sensi della Legge di delega 24 marzo 2001, n.127, la quale all’art. 1 ha previsto che “il Governo emana un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e le modificazioni necessarie al predetto coordinamento o per assicurarne la migliore attuazione”.
Il Codice riunisce in unico contesto la Legge 675/1996 e gli altri Decreti Legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni conseguenti alla “giurisprudenza” del Garante della Privacy e della Direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche.
Lo stesso prevede che chiunque tratti dati di terzi per motivi non personali lo faccia seguendo procedure standardizzate che garantiscano sicurezza e protezione dei medesimi.
I soggetti interessati sono, dunque, aziende, professionisti, associazioni, pubblica amministrazione, cooperative, comuni, ospedali, enti pubblici, scuole ovvero chiunque tratti dati personali relativi a clienti, dipendenti, collaboratori, fornitori, utenti, pazienti, soci, associati etc.
Sono in pratica escluse dall'adeguamento alla nuova legge solo le persone fisiche che intendano effettuare il trattamento di dati di terzi per soli fini personali (es. numeri telefonici e indirizzi contenuti nella rubrica personale) e, in nessun caso, prevedano la cessione o la comunicazione dei dati in loro possesso a terzi.
- Diritto alla protezione dei dati “personali”
Con l’art. 1 del D. Lgs.196/2003, il quale dispone che “Chiunque ha diritto alla protezione dei dati personali”, ha trovato espressa tutela giuridica, al pari dei tradizionali diritti della personalità quali nome, immagine, riservatezza, anche quello della protezione dei dati personali.
CODICE DELLA PRIVACY
I. Regole generali
A. Struttura del Codice
Il Codice della privacy è diviso in tre parti:
· la prima è dedicata alle disposizioni generali, ordinate in modo tale da trattare tutti gli adempimenti e le regole sostanziali del trattamento con riferimento ai settori pubblico e privato;
· la seconda è la parte speciale, dedicata a specifici trattamenti. Questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti dei debitori), completa anche la disciplina attesa da tempo per il settore degli organismi sanitari quella dei controlli sui lavoratori;
· la terza affronta la materia delle tutele amministrative e giurisdizionali con l’inasprimento delle sanzioni amministrative e penali e con le disposizioni relative all’Ufficio del Garante.
Il codice è completato da tre allegati:
- Allegato A: codici di deontologia;
- Allegato B: disciplinare tecnico in materia di misure minime di sicurezza;
- Allegato C: elenco dei trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia che dovranno essere individuati entro il 30 giugno 2004 dai Ministeri competenti.
B. Tipologia dei dati trattati
Il Codice stabilisce adempimenti diversi a seconda della tipologia dei dati trattati[1]. A tal fine si distinguono, quindi;
Ø dati ordinari: possono essere classificati in:
ü dati personali: informazione relativa a persona fisica, giuridica, ente o associazione identificata tramite riferimento a qualsiasi altra informazione;
ü dati identificativi: dati personali che permettono l’individuazione dell’interessato. Le regole attinenti al loro trattamento sono le stesse applicate al trattamento dei dati personali. Sono, ad esempio, il nome, il cognome, l’indirizzo, il numero di telefono, il codice fiscale, la partita I.V.A., dati bancari, informazioni circa la composizione del nucleo familiare, la professione esercitata da un determinato soggetto, sia fisico che giuridico, la sua formazione, informazioni relative al profilo creditizio, alla retribuzione, etc.;
Ø dati sensibili: dati personali idonei a rivelare l’origine razziale, ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4 lett. d) D.Lgs. 196/2003);
Ø dati giudiziari: dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14.11.2002 n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
C. Modalità di trattamento
Quanto alle modalità di trattamento, in base all’art. 11 del D. Lgs. 196/2003, si distinguono:
Ø Trattamento mediante strumenti elettronici: vale a dire con elaboratori elettronici operanti secondo le modalità stand alone (isolati) oppure collegati a reti intranet e / o internet;
Ø Trattamento mediante strumenti non elettronici come, ad esempio, l’archivio cartaceo.
L’art. 31 del D. Lgs. 196/2003 prevede che i dati personali oggetto di trattamento siano custoditi e controllati in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
A tal fine negli articoli 33, 34 e 35 del nuovo Testo Unico e nell’Allegato B è contenuta una puntuale elencazione delle misure minime da adottare:
C.1. trattamento dei dati mediante l’uso di strumenti elettronici (Artt. 33 – 34 D.Lgs. 196/2003 e Allegato B)
1. Autenticazione informatica ovvero l’insieme degli strumenti elettronici e delle procedure per la verifica, anche indiretta, dell’identità del soggetto che accede ai dati allo scopo di consultazione e trattamento degli stessi. Es. accesso all’elaboratore, digitazione di username e password, accesso al computer.
2. Adozione di procedure di gestione delle credenziali di autenticazione ovvero dei dati e dispositivi in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’autenticazione informatica (vd. username e password di cui al punto 1). In tal senso sono previsti una serie di adempimenti valevoli per il trattamento di qualunque dato soggetto alla Privacy:
ü individuazione per iscritto, tramite lettera d’incarico, degli incaricati del servizio ovvero di coloro che trattano il dato: può essere il titolare, un dipendente, un collaboratore esterno;
ü nomina del responsabile delle password di accesso;
ü assegnazione di una password di accesso a ciascun incaricato, formata da almento 8 caratteri oppure da un numero di caratteri pari al massimo consentito dal software;
ü possibilità per l’incaricato di modificare la password tenuto conto dell’obbligatorietà di modifica della stessa con cadenza almeno semestrale;
ü assegnazione di un codice identificativo personale ed univoco per ciascun incaricato costituito da:
Ø codice di identificazione dell’incaricato + parola chiave riservata;
Ø oppure dispositivo di autenticazione in possesso ed uso esclusivo dell’incaricato;
Ø oppure caratteristica biometrica dell’incaricato (la biometria è il settore della biologia che misura e studia statisticamente i dati rilevati sugli esseri viventi, per trarne comparativamente classificazioni e leggi);
Ø adozioni di software aggiornati alle conoscenze tecniche degli ultimi 6 mesi: adozione di firewall, antivirus aggiornati ed effettuazione del back up almeno una volta alla settimana
3. Utilizzazione di un sistema di autorizzazione: prima del trattamento dei dati vengono individuati e configurati profili di autorizzazione diversi per ogni incaricato o per gruppi omogenei di incaricati;
4. Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
5. Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici tramite l’attivazione di strumenti informatici da aggiornare almeno annualmente (semestralmente per dati sensibili e giudiziari);
6. Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi tramite la generazione di copie di back up almeno settimanale;
7. Tenuta di un aggiornato Documento Programmatico sulla Sicurezza: adozione di un documento di programmazione annuale (da redigere entro il 30 giugno 2004 e, successivamente, entro il 31 marzo di ogni anno) sulle misure di sicurezza e sulla formazione degli incaricati.
8. Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
C.2. trattamento dei dati mediante l’uso di strumenti non elettronici (vd. D. Lgs. 196/2003 art. 35 e allegato B):
1. aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
2. previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
3. previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato (i dati possono essere trattati solo ed esclusivamente dagli incaricati al trattamento) e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
D. DPS: il Documento Programmatico sulla Sicurezza
Questo documento viene redatto tenendo conto della struttura e delle caratteristiche di ciascuna realtà: non si presenta come documento dai contenuti standard. Deve, inoltre, contenere elementi idonei a garantire la formazione degli incaricati esponendo (vd. Allegato B):
Ø l’elenco dei trattamenti di dati personali;
Ø la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;
Ø l’analisi dei rischi che incombono sui dati;
Ø le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
Ø la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento;
Ø la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali;
Ø la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all’esterno della struttura del titolare;
Ø per i dati personali idonei a rivelare lo stato di salute e la vita sessuale l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato;
La privacy nella relazione al bilancio
Nell’allegato B al Codice della privacy al punto 26 si stabilisce che «il titolare riferisce, nella relazione accompagnatoria[2] del bilancio d’esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del documento programmatico sulla sicurezza.
Si ritiene che già nei bilanci redatti per l’esercizio 2003 si debba procedere a fornire attestazione circa l’avvenuta redazione o aggiornamento del documento sopra richiamato.
II. Autorizzazione del Garante
La notificazione al Garante per la privacy è l’atto con cui l’impresa, il professionista o la pubblica amministrazione segnala all’Autorità i trattamenti di dati che intende compiere. La notifica deve essere effettuata solo in particolari casi di trattamento di dati sensibili con determinate modalità d’uso (vd. al riguardo D. Lgs. 196/2003 art. 37 riportato nell’allegato 1). L’Autorità con deliberazione n. 1/2004 del 31 marzo ha, inoltre, elencato una serie di esclusioni dall’obbligo di notifica[3]:
Ø Associazioni ed enti no profit: trattamenti dei dati che possono rivelare la sfera psichica dei lavoratori effettuati da sindacati, enti non lucrativi a carattere politico, religioso, al fine di adempiere ad obblighi di lavoro e previdenza sociale;
Ø Valutazione del lavoratore: trattamenti di dati sensibili effettuati dal datore per definire il profilo e le attitudini del lavoratore (es. fase di valutazione) a condizione che non siano trattati solo con mezzi automatizzati;
Ø Selezione del personale: trattamenti di dati sensibili per attività di selezione per conto terzi, purchè tale attività sia affidata a società appartenenti allo stesso gruppo;
Ø Banche dati lavoratori: trattamenti di dati registrati in banche dati per adempiere a obblighi di lavoro, previdenza e assistenza.
La notificazione contiene l’indicazione[4]:
Ø dei dati relativi al titolare
Ø dei dati relativi ad un solo dei responsabili del trattamento eventualmente nominati;
Ø delle categorie di trattamenti di dati personali per i quali vi è l’obbligo di notificazione;
Ø delle categorie di interessati cui si riferiscono i dati;
Ø delle finalità e delle modalità di trattamento;
Ø dell’eventuale comunicazione o diffusione dei dati
Ø dei luoghi di custodia dei dati;
Ø dei trasferimenti di dati personali all’estero;
Ø delle misure di sicurezza adottate, anche ulteriori rispetto a quelle minime previste dal Codice.
Il termine per l’adempimento è stato originariamente fissato al 30 aprile 2004 per i titolari che hanno iniziato il trattamento prima dell’1 gennaio 2004 è stato prorogato al 15/05/2004, mentre per coloro che hanno iniziato il trattamento successivamente si applica la regola generale secondo cui la comunicazione deve precedere l’inizio del trattamento medesimo. La notificazione è una comunicazione telematica, trasmessa tramite la compilazione del modulo pubblicato sul sito Internet www.garanteprivacy.it.
La notificazione è considerata efficace a seguito del pagamento di € 150,00 a titolo di diritti di segreteria. Dopo aver trasmesso il modello per via telematica il titolare del trattamento riceverà all’indirizzo di posta elettronica indicato nella notificazione un messaggio di conferma del ricevimento, che attesta il buon esito della procedura.
III. Informativa e consenso al trattamento dei dati
a. Informativa
Rimane confermato, ai sensi dell’art. 13 D. Lgs. 196/2003, l’obbligo di informativa nei confronti dell’interessato che fornisca i propri dati personali sulle finalità e modalità del trattamento dati, sulla natura obbligatoria o facoltativa del conferimento dati, sulle conseguenze di un eventuale rifiuto a fornire dati, sull’eventuale comunicazione dei dati a terzi ed il loro ambito di diffusione. Inoltre, l’interessato deve essere informato sul diritto di accesso ai dati che lo riguardano, cioè sulla possibilità di ottenerne l’aggiornamento, la rettifica, l’integrazione o la cancellazione (art. 7 D.Lgs. 196/2003). L’allegato 2 riporta un esempio di informativa.
b. Consenso al trattamento dei dati
Il consenso deve essere documentato per iscritto nel caso dei dati personali, e manifestato in forma scritta per i dati sensibili, a norma dell’art. 23 del D. Lgs. 196/2003. L’art. 24 del D.Lgs. 196/2003 riporta con precisione le ipotesi in cui può essere effettuato il trattamento dei dati senza che sia necessario prestare consenso, e cioè quando il trattamento è necessario per:
Ø adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
Ø eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;
Ø trattare dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;
c. cessazione del trattamento
L’art. 16 D.Lgs. 196/2003 prevede che, in caso di cessazione, per qualunque causa, di un trattamento, i dati debbano essere:
Ø distrutti
Ø ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti
Ø conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione
Ø conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta.
IV. SANZIONI
Il D.Lgs. 196/2003 prevede sanzioni severe, amministrative e penali, in caso di inosservanza delle regole previste dal codice. La tabella seguente raggruppa i principali casi di inosservanza delle regole ed associa le relative sanzioni previste.
|
VIOLAZIONE
|
RIF.ART. |
SANZIONE |
|
Omessa o inidonea informativa di cui all’art. 13 D.Lgs. 196/2003 |
Art. 161 |
Ammenda da € 3.000,00 ad € 18.000,00 In caso di dati sensibili l’ammenda prevista va da € 5.000,00 ad € 30.000,00 ed è triplicabile se ritenuta inefficace in ragione delle condizioni economiche del contravventore
|
|
Cessione dei dati in violazione dell’art. 16 c.1 lett. b)
|
Art. 162 |
Ammenda da € 5.000,00 ad € 30.000,00 |
|
Omessa o incompleta notificazione di cui agli artt. 37 e 38 |
Art. 163 |
Ammenda da € 10.000,00 ad € 60.000,00 oltre alla pubblicazione dell’ordinanza di ingiunzione, per intero o per estratto in uno o più giornali indicati nel provvedimento che la applica
|
|
Trattamento illecito dei dati
|
Art. 167 |
Reclusione da 6 mesi a 3 anni |
|
Falsità nelle dichiarazioni e notificazione al Garante
|
Art. 168 |
Reclusione da 6 mesi a 3 anni |
|
Omissione delle misure minime di sicurezza di cui all’art. 33
|
Art. 169 |
Reclusione fino a 2 anni o ammenda da € 10.000,00 ad € 50.000,00 |
|
Inosservanza dei provvedimenti del Garante
|
Art. 170 |
Reclusione da 3 mesi a 2 anni |
ALLEGATO 1
Notificazione del trattamento art. 37
Testo: in vigore dal 01/01/2004
1. Il titolare notifica al Garante il trattamento di dati personali cui
intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di
persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a
fini di procreazione assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive,
sieropositivita', trapianto di organi e tessuti e monitoraggio della spesa
sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da
associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a definire il
profilo o la personalita' dell'interessato, o ad analizzare abitudini o
scelte di consumo, ovvero a monitorare l'utilizzo di servizi di
comunicazione elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del
personale per conto terzi, nonche' dati sensibili utilizzati per sondaggi di
opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti
elettronici e relative al rischio sulla solvibilita' economica, alla
situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti.
2. Il Garante puo' individuare altri trattamenti suscettibili di recare
pregiudizio ai diritti e alle liberta' dell'interessato, in ragione delle
relative modalita' o della natura dei dati personali, con proprio
provvedimento adottato anche ai sensi dell'articolo 17. Con analogo
provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana
il Garante puo' anche individuare, nell'ambito dei trattamenti di cui al
comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio
e pertanto sottratti all'obbligo di notificazione.
3. La notificazione e' effettuata con unico atto anche quando il trattamento
comporta il trasferimento all'estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei
trattamenti accessibile a chiunque e determina le modalita' per la sua
consultazione gratuita per via telematica, anche mediante convenzioni con
soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili
tramite la consultazione del registro possono essere trattate per esclusive
finalita' di applicazione della disciplina in materia di protezione dei dati
personali.
Comunicato stampa - 26 aprile 2004
Notificazioni in ambito sanitario: precisazioni del Garante
L’Ufficio del Garante per la protezione dei dati personali, rispondendo a quesiti formulati nei giorni scorsi dalla Fimmg, dalla FnomCeo e dall’Anisap, ha ritenuto opportuno fornire alcune precisazioni relative ai trattamenti in ambito sanitario che non devono essere notificati entro il 30 aprile 2004 in base ad una corretta interpretazione delle disposizioni vigenti (provvedimento consultabile sul sito web www.garanteprivacy.it).
Nel rammentare che la notificazione deve essere effettuata solo se il trattamento è indicato dal Codice in materia di protezione dei dati personali e può essere esclusa per effetto di un provvedimento di esonero che è stato adottato dalla stessa Autorità lo scorso 31 marzo, precisa tra l’altro quanto segue:
Dati genetici e biometrici
Sono esonerati dalla notificazione sia i professionisti che trattano dati genetici e biometrici individualmente, sia i medici che in forma associata condividono il trattamento con altri professionisti, specie all’interno di uno stesso studio medico
Il trattamento dei dati genetici non va notificato quando il professionista, nell’ambito di ordinari rapporti con il paziente, viene a volte a conoscenza di informazioni di tipo genetico (esame di screening o test genetici, indagini prenatali, diagnosi e cura di determinate patologie genetiche).
La notifica deve essere effettuata solo se il trattamento dei dati genetici è sistematico ed assume il carattere di costante e prevalente attività del medico (ad es. un genetista).
L’esonero non opera invece per i trattamenti di dati genetici e biometrici effettuati da strutture sanitarie pubbliche o private (ospedali, case di cura e di riposo aziende sanitarie laboratori di analisi cliniche, associazioni sportive). L’esonero è stato infatti disposto solo in favore di persone fisiche esercenti le professioni sanitarie e non per i trattamenti in quanto tali.
Procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive e sieropositività
Le considerazioni sull’esonero espresse in tema di dati genetici e biometrici per i professionisti che effettuano il trattamento individualmente o in forma associata valgono anche per i trattamenti relativi a procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive e sieropositività.
Nell’esonero rientrano anche i trattamenti effettuati da un medico specialista nell’ambito di un’attività di consulenza o di procreazione assistita, sempre che non siano effettuati in modo sistematico.
Per quanto riguarda malattie infettive il trattamento da notificare è solo quello che deve essere effettuato "a fini di … rilevazione ..." di tali patologie e in linea generale riguarda gestori di strutture anziché singoli professionisti che occasionalmente vengono a conoscenza di tali.
Prestazioni di servizi sanitari on line
Le prestazioni di servizi sanitari on line vanno notificate solo se i servizi sono:
a) relativi ad una banca dati o siano prestati per via telematica
b) relativi alla fornitura di beni.
Non vanno quindi notificati:
a) i trattamenti di dati sanitari nell’ambito della teleassistenza (consultazione di specialisti per via telefonica)
b) i trattamenti di dati organizzati in banche dati trattati manualmente (archivi cartacei)
c) i trattamenti di dati organizzate in banche dati informatizzate ma non collegate ad una rete telematica
Non devono, infine, notificare i medici che usano unicamente un computer nel proprio ufficio; usano la posta elettronica per dialogare con i pazienti, effettuano prenotazioni per gli assistiti, ecc.
Anche sulla base di altri esempi sono stati considerati quindi esonerati dalla notificazione diversi trattamenti effettuati nell’ambito della cd. medicina in rete. Per altri casi di accesso a banche dati da parte di medici è stato precisato che la notificazione compete invece alla a.s.l. o all’ente locale.
Monitoraggio della spesa sanitaria; igiene e sicurezza del lavoro
Poiché non rientrano nel monitoraggio della spesa sanitaria non vanno notificati i trattamenti di dati sanitari effettuati da strutture convenzionate con il Servizio sanitario nazionale, solo per ottenere il rimborso delle prestazioni specialistiche erogate.
Roma, 26 aprile 2004
ALLEGATO 2
Esempio di informativa redatta ai sensi dell’art. 13 D.Lgs. 196/2003[5]
per la tutela dei dati personali
Egregio Signore / Spett.le Ditta ,
ai sensi dell'art.13 D. Lgs. 196/2003 , recante: "Disposizioni per la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali", la società XXXX, con sede legale a WWWWWWW quale "Titolare" del trattamento, è tenuta a fornire alcune informazioni riguardanti l'utilizzo dei Suoi dati personali (oppure dei dati della Vostra Società).
1. Fonte dei dati personali
I dati personali in nostro possesso sono di norma raccolti direttamente presso l'interessato. Tutti i dati personali vengono trattati nel rispetto del D.Lgs. 196/2003 e degli obblighi di riservatezza cui si è sempre ispirata l'attività della XXXXXXX.
2. Finalità del trattamento cui sono destinati i dati
L'acquisizione ed il trattamento dei Suoi dati (dei dati della Vostra società), quali, ad esempio: nome, cognome, indirizzo (ragione sociale, sede, indirizzo, eventuali sedi secondarie), partita IVA, codice fiscale, estremi del conto o dei conti correnti bancari, numero di telefono e di fax, indirizzo e-mail, sono necessari alla XXXXXXX al fine di concludere ed eseguire contratti con Lei (con la Vostra Società), nonché al fine di adempiere ad obblighi di legge quali l'emissione e la registrazione di fatture, il versamento di ritenute, ecc.
Il mancato consenso all'acquisizione ed al trattamento di tali dati determinerebbe l'impossibilità di concludere ed eseguire contratti con Lei (con la Vostra Società).
3. Modalità di trattamento dei dati
In relazione alle finalità indicate, il trattamento dei Suoi dati personali (dei dati della Vostra Società) avviene mediante strumenti manuali, informatici e telematici con logiche strettamente correlate alle finalità stesse e in maniera tale da garantire la sicurezza e la riservatezza dei dati stessi.
4. Categorie di soggetti ai quali i dati possono essere comunicati
Per lo svolgimento di talune attività correlate alle finalità del trattamento cui sono destinati i Suoi dati personali (i dati della Vostra Società) come sopra specificate, la XXXXXXXX si rivolge anche a soggetti esterni che svolgono attività funzionali a quella della nostra società, quali:
a) banche ed istituti di credito per l'effettuazione dei pagamenti
b) clienti e/o fornitori con cui esiste un rapporto contrattuale
c) società di revisione
d) studi professionali di consulenza legale e fiscale
e) società di servizi quali imbustamento e smistamento corrisponenza, trasporto, ecc.
Per le comunicazioni alle categorie di tali soggetti, il D.Lgs. 196/2003 richiede il consenso dell'interessato, che potrà (potrete) esprimere anche utilizzando il modulo d'ordine o il modulo di richiesta d'offerta.
La (Vi) informiamo che, senza il Suo (Vostro) consenso alle comunicazioni a terzi ed ai corretti trattamenti, la XXXXXXXX potrà eseguire solo quelle operazioni che non prevedono tali comunicazioni.
I soggetti appartenenti alle categorie alle quali i dati possono essere comunicati utilizzeranno tali dati in qualità di "Titolari" ai sensi del D.Lgs. 196/2003, in piena autonomia, essendo estranei all'originario trattamento effettuato presso la XXXXXXXXXX
I Suoi dati personali (i dati della Vostra Società), ai sensi del D.Lgs. 196/2003 in materia di tutela dei dati personali, non verranno utilizzati, ceduti o diffusi in altro modo.
5. Titolare e responsabile del trattamento
Titolare del trattamento dei dati ai sensi dell'art. 5, comma 2, è la società XXXXXXX, con sede legale a WWWWWWW
Responsabile e rappresentante del trattamento dei dati è il sig. YYYYYYYY domiciliato per la carica presso la sede operativa della società a KKKKKKK via ZZZZZZZZZZZZZZ al quale potrà rivolgersi (potrete rivolgerVi) in caso di necessità per ravvisare qualunque violazione dei diritti di cui all'art. 13 del D.Lgs. 196/2003, riprodotto al paragrafo 6 della presente informativa.
6. Diritto di accesso ai dati personali ed altri diritti di cui all'art. 7 D.Lgs. 196/2003[6], stralcio dal Titolo II
1. L'interessato ha il diritto di ottenere la conferma dell'esistenza o meno dei dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:
a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'art.5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L'interessato ha diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto concerne il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
4. L'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardino, ancorchè pertinenti allo scopo della raccolta;
b) al trattamento dei dati personali che lo riguardano, previsto ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Società XXXXXXX
[1] Trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (D.Lgs. 196/2003 art. 4)
[2] Dalla terminologia utilizzata dal Legislatore non è dato comprendere, non esistendo a livello codicistico alcun documento di accompagnamento al bilancio denominato “relazione accompagnatoria”, se il riferimento sia da intendersi alla Relazione sulla Gestione o alla Nota Integrativa.
[3] Fonte: Il Sole-24-ore del 16 aprile 2004, pag. 31
[4] Fonte: La nuova notificazione al garante prevista dal codice della privacy, autore Massimo Negro, in “Pratica Fiscale e Professionale” n.16 del 19 aprile 2004, pag. 13.
[5] Fonte: http://www.fimea.it/azienda/67596.htm N.B. L’art. 13 del D.Lgs. 196/2003 corrisponde all’art. 10 della Legge 675/96
[6] L’art. 7 del D.Lgs. 196/2003 sostituisce l’art. 13 della Legge 675/1996
A cura dello STUDIO CHIRCO - Crema >>
|
Torna al canale Privacy |
|
|
