Quali sono le figure che in una impresa hanno la responsabilità sul corretto trattamento dei dati personali? Che cos'è la notifica al Garante e quando è necessario farla? Quando si deve richiedere il consenso di dipendenti e clienti? Quali misure vanno adottate per mettere in sicurezza i dati, soprattutto quelli sensibili?

A queste e ad altre domande intende rispondere la "Guida pratica" messa a punto dal Garante per la protezione dei dati personali (pubblicata nella G.U. 21 giugno 2007, n. 142 e consultabile sul sito del Garante www.garanteprivacy.it) per facilitare le piccole e medie imprese nell'assolvimento degli obblighi che la normativa sulla privacy impone a chi raccoglie, utilizza, conserva dati personali.

La "Guida pratica e misure di semplificazione per le piccole e medie imprese", pensata come uno strumento agile a domande e risposte, affronta tutti i problemi ai quali un imprenditore si trova a dover far fronte quotidianamente e fornisce indicazioni sintetiche e soluzioni semplificate per un corretto trattamento dei dati personali. É inoltre integrata da un utile questionario per un'immediata verifica, da parte degli imprenditori, delle eventuali criticità.

Tra le questioni affrontate dalla Guida, come e quando informare clienti e dipendenti sull'uso dei loro dati personali, come soddisfare le richieste di accesso ai loro dati da parte degli interessati, ma anche aspetti legati alla globalizzazione dei mercati e alla sempre maggiore necessità di trasferire dati personali all'estero.

"Il Garante, con questa Guida, risponde alle esigenze di piccoli e medi imprenditori -dice Giuseppe Fortunato, relatore del provvedimento- innanzitutto per semplificare e facilitare la loro vita, fornendo indicazioni utili per mettersi in regola senza ansia e burocrazia. Su questa linea il Garante intende anche proseguire, con spirito di piena collaborazione, un proficuo dialogo con gli operatori economici. A tal fine è anche in preparazione un vademecum".

Guida pratica e misure di semplificazione per le piccole e medie imprese - 24 maggio 2007
(G.U. 21 giugno 2007 n. 142)

Registro delle deliberazioni
Del. n.  21  del 24 maggio 2007

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

VISTO il d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) con particolare riferimento all'art. 154, comma 1, lett. h);

ESAMINATE le istanze provenienti da associazioni di categoria, con particolare riferimento alle piccole e medie imprese, ivi compresi gli artigiani, in materia di adempimenti derivanti dalla disciplina di protezione dei dati personali;

RITENUTA l'opportunità di indicare, a tal proposito, linee di comportamento conformi al Codice e misure di semplificazione da questo previste in grado di fornire orientamenti utili per gli operatori economici nel rispetto dei diritti degli interessati;

RILEVATA l'esigenza che tale quadro sia riassunto in una guida pratica, suscettibile di aggiornamento periodico e di cui verrà curata la più ampia pubblicità anche attraverso il sito Internet dell'Autorità (http://www.garanteprivacy.it);

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

DELIBERA

1. ai sensi dell'art. 154, comma 1, lett. h), del Codice, di adottare il documento "Guida pratica e misure di semplificazione per le piccole e medie imprese", allegato quale parte integrante della presente deliberazione (Allegato 1 );

2. ai sensi dell'art. 143, comma 2, del Codice, di trasmettere copia del presente provvedimento al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, unitamente alle menzionata "Guida pratica", per la pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana.

Roma,  24 maggio 2007

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli

Guida pratica e misure di semplificazione
per le piccole e medie imprese
 vers. PDF

Sommario

1. I soggetti che effettuano il trattamento
2. La notificazione del trattamento
3. L'informativa
4. Il consenso dell'interessato
5. La sicurezza dei dati
6. Il trasferimento dei dati in paesi terzi
7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. 7 del codice
8. Check list

Con la disciplina contenuta nel decreto legislativo n. 196 del 2003 (Codice in materia di protezione dei dati personali) l'ordinamento italiano si è dotato di un quadro organico per attuare obblighi internazionali nascenti dalla Convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (Strasburgo, 28 gennaio 1981) e per recepire direttive comunitarie (95/46/Ce e 2002/58/Ce).

Specie nello svolgimento delle ordinarie attività d'impresa, e in particolare per le realtà produttive di piccole dimensioni, alcuni adempimenti contenuti nella disciplina di protezione dei dati personali vengono reputati talvolta onerosi. Una giusta protezione dei dati personali e della riservatezza può in verità rappresentare una risorsa per l'impresa, rendendone più efficiente l'attività in modo da incrementare la fiducia di consumatori e utenti.

Questa guida intende fornire a chi opera nella realtà delle medie e piccole imprese uno strumento utile per curare gli adempimenti derivanti dalla normativa vigente, indicando le soluzioni semplificate a disposizione.

La guida, integrata da una check list e pubblicata sul sito web dell'Autorità, potrà subire aggiornamenti nel tempo.  ⁽¹⁾

1. I soggetti che effettuano il trattamento

1.1. Chi è il titolare del trattamento?
Il "titolare del trattamento", è la "[...] entità che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza" (art. 28 del Codice). In particolare, nell'ambito dello svolgimento dell'attività economica, "titolare del trattamento" può essere la persona fisica (si pensi all'imprenditore individuale) o giuridica (ad esempio, la società) che tratta i dati (con la raccolta, la registrazione, la comunicazione o la diffusione).
Il "titolare del trattamento" è chiamato ad attuare gli obblighi in materia (riassunti nella presente Guida) e, se ritiene di designare uno o più responsabili del trattamento, è tenuto a vigilare sulla puntuale osservanza delle istruzioni da impartire loro.

1.2. Chi sono i responsabili del trattamento?
Il "responsabile del trattamento" (possono essere più d'uno), è una figura che può essere designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice).
Tale figura, la cui designazione da parte del "titolare del trattamento" è quindi facoltativa, ricorre frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni all'impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali (ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di recupero crediti  ⁽³⁾, etc.)

1.3. Chi sono gli incaricati del trattamento?
Gli "incaricati del trattamento" sono soggetti (solo persone fisiche) che effettuano materialmente le operazioni di trattamento dei dati personali e operano sotto la diretta autorità del titolare (o del responsabile) attenendosi a istruzioni scritte (art. 30 del Codice). Il "titolare del trattamento" è tenuto a designarli.
È sufficiente assegnare un dipendente ad una unità organizzativa, a condizione che risultino per iscritto le categorie di dati cui può avere accesso e gli ambiti del trattamento.  ⁽⁴⁾

2. La notifica del trattamento

2.1. È sempre necessario notificare il trattamento dei dati al Garante?
In linea di principio i trattamenti ordinari svolti presso piccole realtà produttive non vanno notificati: si pensi ai trattamenti di dati relativi ai dipendenti, ai fornitori o alla clientela  ⁽⁵⁾. In particolare, non devono essere notificati i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.
In questo quadro la notificazione deve essere effettuata in ipotesi particolari (indicate all'art. 37 del Codice). Con specifico riguardo all'attività di impresa, i trattamenti soggetti a notificazione sono quelli relativi a:

• dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti; come detto, non rientrano in quest'ambito, i dati relativi agli inadempimenti dei propri clienti tenuti da ciascuna impresa.
• dati genetici  ⁽⁶⁾, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (ad esempio, dati trattati mediante sistemi di geolocalizzazione installati su veicoli al fine di individuarne la posizione);
• dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo (c.d. profilazione), ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
• dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi (non, quindi, quelli trattati direttamente dall'imprenditore), nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.

2.2. Come si effettua la notificazione al Garante?
Solo utilizzando l'interfaccia disponibile sul sito web dell'Autorità e seguendo le istruzioni ivi indicate (v. art. 38 del Codice).

2.3. Quando occorre fare una nuova notificazione?
Solo in caso di cessazione del trattamento o di mutamento di alcuni elementi dell'originaria notificazione.

3. L'informativa

3.1. Cosa è l'informativa?
L'informativa, da rendersi con chiarezza e senza inutili formalità, anche in modo sintetico e colloquiale, contiene i seguenti elementi (art. 13 del Codice):

• finalità e modalità del trattamento;
• natura obbligatoria o facoltativa del conferimento dei dati e conseguenze di un eventuale rifiuto di rispondere;
• soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza;
• diritti riconosciuti all'interessato dall'articolo 7 del Codice;
• estremi identificativi del titolare e, se designato, del responsabile del trattamento.

Se taluno di questi elementi è già noto all'interessato, non è necessario farlo presente nuovamente.

3.2. Quando deve essere resa l'informativa?
In caso di dati raccolti presso l'interessato, l'informativa deve essere resa, anche in forma orale, prima delle operazioni del trattamento. Nel rapporto con fornitori, clienti, dipendenti e collaboratori non è necessario ripeterla in occasione di ogni contatto: è sufficiente fornirla con una formula generale una tantum, all'inizio delle operazioni di trattamento (che potranno anche protrarsi nel tempo).

L'informativa deve essere resa anche nel caso in cui i dati personali sono raccolti presso terzi; in tal caso, deve essere fornita al momento della registrazione dei dati o, se è prevista la comunicazione a terzi da parte del titolare, non oltre la prima comunicazione. Vanno indicate anche le categorie dei dati trattati.

3.3. È possibile rendere l'informativa in una forma semplificata?
È possibile fornire l'informativa anche oralmente, in modo sintetico e colloquiale, senza includere elementi già noti all'interessato (art. 13, comma 2, del Codice). Si può utilizzare anche uno spazio all'interno dell'ordinario materiale cartaceo e della corrispondenza.

Inoltre la disciplina prevede margini ulteriori di semplificazione (art. 13, comma 3, del Codice), tenendo conto delle circostanze concrete da rappresentare al Garante, formulando apposita istanza, anche tramite associazioni di categoria.

3.4. In quali casi non è necessario rendere l'informativa agli interessati?
In relazione ai dati raccolti presso terzi, tenuto conto delle circostanze concrete, si può omettere di fornire l'informativa se i dati sono trattati (art. 13, comma 5, lett. c), del Codice):

• in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
• ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000, n. 397) o per far valere o difendere un diritto in sede giudiziaria.

Inoltre, è prevista la possibilità di esonero totale o parziale dall'obbligo di fornire l'informativa:

• nei casi in cui renderla, a giudizio del Garante −cui può essere inviata apposita istanza−, risulti impossibile o manifestamente sproporzionato rispetto al diritto fatto valere.

4. Il concsenso dell'interessato

4.1. Nello svolgimento dell'attività d'impresa è necessario acquisire il consenso degli interessati?
Con particolare riferimento ai trattamenti di dati personali (non sensibili) nell'ordinaria attività d'impresa, non è necessario il consenso nei casi in cui (cfr. art. 24 del Codice):

• i dati vengono trattati nell'esecuzione di un contratto o in fase pre-contrattuale (art. 24, comma 1, lett. b), del Codice);
• il trattamento viene posto in essere per dare esecuzione a un obbligo legale (art. 24, comma 1, lett. a) del Codice);
• i dati provengono da registri ed elenchi pubblici (art. 24, comma 1, lett. c), del Codice);
• i dati sono relativi allo svolgimento di attività economiche da parte dell'interessato (art. 24, comma 1, lett. d), del Codice).

A queste macro-categorie, che comprendono larga parte dei trattamenti effettuati ordinariamente da un'impresa, devono essere aggiunte le ulteriori ipotesi di esonero enumerate all'art. 24 del Codice.  ⁽⁷⁾

Nei casi restanti, l'interessato deve aver manifestato un consenso libero, specifico e informato in relazione al trattamento effettuato. Il consenso deve essere documentato per iscritto (art. 23 del Codice).

4.2. Quali sono gli adempimenti da osservare per trattare dati sensibili?
Cautele maggiori devono essere osservate nel trattamento dei dati sensibili: tali sono considerate le informazioni idonee a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché dei dati personali idonei a rivelare lo stato di salute e la vita sessuale (art. 4, comma 1, lett. d), del Codice).
Per il trattamento dei dati sensibili di regola è necessario il consenso scritto, oltre l'autorizzazione del Garante.
Il Garante ha rilasciato sette autorizzazioni generali che comprendono tutti i trattamenti abitualmente effettuati nell'ordinaria attività di impresa. Non vi è quindi bisogno di rivolgere una richiesta al Garante, che va presentata solo per casi del tutto eccezionali non contemplati dalle medesime autorizzazioni già rilasciate (questa ipotesi si è sinora verificata in casi rari).  ⁽⁸⁾
Inoltre, per i dati sensibili il Codice non richiede il consenso dell'interessato se:

• il trattamento è necessario per svolgere le investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 o per far valere o difendere in sede giudiziaria un diritto. I dati vanno trattati solo per tali finalità e per il periodo strettamente necessario al loro perseguimento (art. 26, comma 4, lett. c) del Codice);  ⁽⁹⁾
• il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge oppure da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza. Occorre rispettare i limiti previsti dall'autorizzazione generale del Garante (art. 26, comma 4, lett. d) del Codice).

5. La sicurezza dei sistemi

5.1. Chi deve adottare le misure di sicurezza
L'obbligo generale di adottare idonee misure di sicurezza è posto dal Codice. Il titolare del trattamento può adempiervi avvalendosi anche di un responsabile (art. 29, comma 2, del Codice).

5.2. Quali misure di sicurezza devono essere adottate?
Il titolare del trattamento è tenuto ad adottare tutte le misure idonee, valutate alla luce delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, a ridurre i rischi di distruzione o di perdita anche accidentale dei dati o di accesso non autorizzato o non consentito ai dati (art. 31 del Codice).
In questo quadro vanno anche attuate le misure minime, applicabili a piccole e medie imprese (artt. 33-35 e all. B del Codice  ⁽¹⁰⁾ ).

5.3. Come e quando deve essere redatto il DPS?
In base alla vigente disciplina, in caso di trattamento di dati sensibili e giudiziari attraverso sistemi informatici deve essere redatto il documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) e regola 19 dell'Allegato B al Codice). Si può tener conto dei suggerimenti già formulati dal Garante che –recependo le esigenze e le istanze peculiari di professionisti e piccoli operatori, con particolare riguardo alle piccole e medie imprese– ha già reso disponibile on-line, a far data dal 11 giugno 2004, una "Guida operativa".

Il Dps:

• va redatto o aggiornato entro il 31 marzo di ciascun anno;
• non deve essere comunicato al Garante, ma semplicemente conservato dal titolare presso la propria struttura per essere esibito in occasione di eventuali accertamenti ispettivi (art. 34, comma 1, lett. g) del Codice e regola 19 dell'Allegato B) al Codice);
• deve essere redatto dal "[...] titolare di un trattamento di dati sensibili o giudiziari anche attraverso il responsabile, se designato [...]" (regola 19 dell'All. B) cit.).

6. Il trasferimento di dati personali in paesi terzi

6.1. Quando si applica la disciplina del Codice in materia di trasferimento di dati fuori dall'Unione europea?

La disciplina in materia di trasferimento di dati fuori dall'Unione europea (Ue) riguarda principalmente i flussi di dati personali verso i c.d. Paesi terzi, considerato che i Paesi situati all'interno dell'Ue hanno attuato, nei rispettivi ambiti, la direttiva 95/46/Ce, adottando specifiche normative in materia di protezione dei dati personali. Il loro rispetto è considerato idoneo per trasferire dati nell'Ue (art. 42 del Codice).

6.2. In quali casi è consentito il trasferimento dei dati fuori dall'Unione europea?
Il trasferimento è sempre consentito in varie ipotesi (art. 43 del Codice), tra le quali, con particolare riferimento alle attività d'impresa, possono ricordarsi i casi in cui:

• l'interessato ha manifestato il proprio consenso espresso e, se si tratta di dati sensibili, in forma scritta;
• il trasferimento è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, ovvero per la conclusione o per l'esecuzione di un contratto stipulato a favore dell'interessato;
• il trasferimento è necessario per la salvaguardia di un interesse pubblico rilevante individuato con legge o con regolamento;
• è necessario ai fini dello svolgimento delle investigazioni difensive (legge 7 dicembre 2000, n. 397), o, comunque, per far valere o difendere un diritto in sede giudiziaria;
• il trattamento concerne dati riguardanti persone giuridiche, enti o associazioni.

6.3. Qualora non sussistano i presupposti sopra indicati, in quali circostanze il trasferimento è comunque autorizzato?
Il trasferimento è consentito anche quando è autorizzato dal Garante in presenza di adeguate garanzie per i diritti dell'interessato:

• individuate dal Garante;
• in base alle decisioni di adeguatezza adottate dalla Commissione europea in ordine al livello di protezione dei dati garantito dall'ordinamento del Paese destinatario (artt. 25, par. 6, e 26, par. 4, della direttiva 95/46/CE);  ⁽¹¹⁾
• in base alla decisione di adeguatezza delle garanzie contenute nel Safe Harbor per il trasferimento verso organizzazioni stabilite negli Stati Uniti d'America che ad esso aderiscono;  ⁽¹²⁾
• in base all'adozione di clausole contrattuali standard tra "esportatore" e "importatore" di dati, il cui contenuto è stato ritenuto idoneo dalla Commissione europea (artt. 25, par. 6, e 26, par. 4, della direttiva 95/46/CE).  ⁽¹³⁾  

7. I doveri del titolare del trattamento in caso di esercizio dei diritti degli interessati ai sensi dell'art. 7 del Codice

7.1. Cosa si deve fare quando l'interessato esercita il diritto d'accesso?
Se l'interessato esercita il proprio diritto d'accesso ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti, il titolare del trattamento (o il responsabile) deve fornire riscontro (di regola) entro quindici giorni dal ricevimento dell'istanza (art. 146 del Codice).

7.2. Quali sono le conseguenze nel caso in cui non venga fornito il riscontro all'interessato?
In caso di omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).

8. Check list

(1)  La guida ha mero valore indicativo ed esemplificativo rispetto al contenuto delle disposizioni normative, alla cui osservanza chiunque resta vincolato.

(2)  In relazione al trattamento dei dati personali dei dipendenti si vedano altresì le  "Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati" , doc. web n.  1364099.

(3) In materia v. il provvedimento generale del  30 novembre 2005 , doc. web n.  1213644.

(4)  Così, in un'azienda nella quale ad una unità organizzativa sono stati assegnati un determinato numero di dipendenti, si potrà ovviare ad una formale designazione (ad esempio, mediante consegna di apposita comunicazione scritta), qualora si individuino gli ambiti di competenza (in ordine ai trattamenti di dati consentiti) di quella unità mediante una previsione scritta (ad es. nell'organigramma, nel contratto, nei mansionari, ecc.) e risulti inoltre che tali dipendenti sono stati assegnati stabilmente a tale unità.

(5) Specifiche indicazioni sono contenute anche nel provvedimento del Garante del 31 marzo 2004 Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione, in G.U. del 6 aprile 2004, n. 81 e in www.garanteprivacy.it, doc. web  852561. V. pure,  Chiarimenti sui trattamenti da notificare al Garante , 23 aprile 2004, doc. web. n.  993385.

(6) V. in materia Provv.  22 febbraio 2007 , doc. web n.  1389918.

(7)  Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso

1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
e) è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2;
f) con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
g) con esclusione della diffusione, è necessario, nei casi individuati dal Garante sulla base dei princìpi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all'attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell'interessato;
h) con esclusione della comunicazione all'esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13;
i) è necessario, in conformità ai rispettivi codici di deontologia di cui all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per esclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

(8) V., allo stato, l'Autorizzazione n. 1/2005 al trattamento dei dati sensibili nei rapporti di lavoro - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web  1203930; Autorizzazione n. 2/2005 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web  1203946; Autorizzazione  n. 3/2005  al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203934; Autorizzazione  n. 4/2005  al trattamento dei dati sensibili da parte dei liberi professionisti - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203954; Autorizzazione  n. 5/2005  al trattamento dei dati sensibili da parte di diverse categorie di titolari - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203938; Autorizzazione  n. 6/2005  al trattamento dei dati sensibili da parte degli investigatori privati - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203950; Autorizzazione  n. 7/2005  al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici - 21 dicembre 2005, in G.U. n. 2 del 3 gennaio 2006 Suppl. Ordinario n. 1 e doc. web n.  1203942.

(9)  Tuttavia "se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile".

(10)  Le misure minime di sicurezza contenute nell'allegato B) del Codice riguardano anzitutto i trattamenti effettuati con strumenti elettronici: esse comprendono un sistema di autenticazione informatica con credenziali di autenticazione (cioè, un codice per l'identificazione dell'incaricato associato a una parola chiave), programmi per elaboratore volti a prevenirne la vulnerabilità (ad esempio, antivirus), procedure per realizzare il salvataggio periodico dei dati (c.d. procedure di back up ) e la redazione di un documento programmatico sulla sicurezza in caso di trattamento di dati sensibili. Per i trattamenti effettuati senza l'ausilio di strumenti elettronici rientrano tra le misure minime le istruzioni scritte finalizzate al controllo ed alla custodia dei dati impartite agli incaricati e l'uso di contenitori o locali con idonea serratura per custodire i dati personali.

(11)  Per l'Argentina, Decisione della Commissione del 30 giugno 2003, n. 2003/490/CE; per il Canada, Decisione della Commissione del 20 dicembre 2001, n. 2002/2/CE; per il Baliato di Guernesy, Decisione della Commissione del 21 novembre 2003, n. 2003/821/CE; per l'Isola di Man, Decisione della Commissione del 28 aprile 2004, n. 2004/411/CE; per la Svizzera, Decisione della Commissione del 26 luglio 2000, n. 2000/518/CE. In relazione ad esse v., nell'ordine, le autorizzazioni rilasciate dal Garante:  Autorizzazione del 9 giugno 2005  in G.U. del 25 luglio 2005, n. 171, doc. web n.  1151846; Autorizzazione del 30 aprile 2003  in G.U. n. 191 del 19 agosto 2003, doc. web n.  1075324; Autorizzazione del 7 settembre 2004  in G.U. del 22 luglio 2005, n. 169, doc. web n.  1139333; Autorizzazione del 9 giugno 2005  in G.U. del 25 luglio 2005, n. 171, doc. web n.  1151889; Autorizzazione del 17 ottobre 2001  in G.U. del 26 novembre 2001 n. 275 - Suppl. Ordinario n. 250, doc. web n.  39428.

(12)  Cfr. Decisione della Commissione europea del 26 luglio 2000 n. 2000/520/CE e la correlativa l' Autorizzazione del 10 ottobre 2001  (in G.U. 26 novembre 2001), doc. web n.  39939. Le organizzazioni aderenti al Safe Harbor sono pubblicate sul sito web: www.export.gov/....

(13)  Cfr. Decisione della Commissione europea del 27 dicembre 2001, n. 2002/16/Ce, relativa alle clausole contrattuali tipo per il trasferimento di dati personali a "incaricati" del trattamento residenti in paesi terzi, a norma della direttiva 95/46/Ce (e correlativa deliberazione del Garante  n. 3 del 10 aprile 2002 , doc. web n.  1065361); Decisione della Commissione europea del 15 giugno 2001, n. 2001/497/CE, relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/Ce (e correlativa deliberazione del Garante del  10 ottobre 2001 , doc. web  42156). La Commissione ha altresì individuato un modello alternativo di clausole contrattuali tipo (definito Insieme II) con la decisione del 27 dicembre 2004, n. 2004/915/Ce (e la correlativa autorizzazione del Garante del  9 giugno 2005 , doc. web n.  1151949 ).

(14) Art. 7. Diritto di accesso ai dati personali ed altri diritti.

1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
2. L'interessato ha diritto di ottenere l'indicazione:

a) dell'origine dei dati personali;
b) delle finalità e modalità del trattamento;
c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L'interessato ha diritto di ottenere:

a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L'interessato ha diritto di opporsi, in tutto o in parte:

Anticipazione della legge quadro sulla privacy (04.02.02)
Certificazione BS 7799 sulla sicurezza informatica (10.05.02)
Come attuare le modifiche recate dal D.Lgs, 467/2001 in relazione alla notifica (02.09.02)
L'uso di internet sul posto di lavoro: le linee-guida del Garante tedesco (31.01.03)
Il viaggio on line vuole la privacy (16.05.03)
Approvato il Codice della Privacy (30.07.03)
No degli esperti UE ai test genetici sui lavoratori (10.10.03)
Lavoro: accessi ai dati e percorso professionale (10.11.03)
Malattie professionali: lecite le segnalazioni dei medici all’Inail (02.12.03)
Il nuovo Codice della Privacy (10.02.04)
Videosorveglianza e protezione dati personali (15.03.04)
Obblighi di sicurezza e documento programmatico: slitta al 30 giugno la redazione del dps (24.03.04)
Chiarimenti sui trattamenti da notificare al Garante (23.04.2004)
Prime riflessioni sui criteri di redazione del Documento programmatico sulla sicurezza (20.05.2004)
Adempimenti semplificati per gli avvocati (16.06.04)
Rinnovate le autorizzazioni generali (02.09.04)
La normativa in materia di privacy e il D.lgs. 626/94 (04.10.04)
Lavoro. Il fascicolo del dipendente è riservato, solo copie autorizzate (27.10.04)
Dati sanitari in busta chiusa (15.11.04)
Che cosa è un "dato personale" (09.12.04)
Nuove tecnologie: il Garante avvia la consultazione via web (12.01.05)
Videofonini. Le regole per rispettare gli altri (07.02.2005)
Controlli sulle telecamere (28.02.05)
Accesso alle banche dati e diritti dei cittadini (23.03.05)
Videosorveglianza: nuovi interventi del Garante (13.04.05)
Questionari a scuola e garanzie per alunni e genitori (05.05.05)
Accesso ai dati personali e diritti degli interessati (26.05.05)
Giornalismo: Codice della privacy e segreto professionale (20.06.05)
Il Garante potenzia l'attività ispettiva e vara il piano per i prossimi mesi (11.07.05)
No all'uso delle impronte digitali per controllare le presenze dei lavoratori (02.08.05)
Raccolta differenziata e tutela della privacy (31.08.05)
Radiotaxi: vietato schedare i clienti (20.09.05)
Scuola: più privacy per il "portfolio" degli alunni (12.10.05)
Pubblica Amministrazione e gestione dei dati in out-sourcing (02.11.05)
Protocollo di intesa Garante-Guardia di Finanza (24.11.05)
Le strutture sanitarie rispettino la dignità delle persone (19.12.05)
E' ancora proroga (04.01.06)
CNIPA, arriva la posta certificata (24.01.06)
Illecito spiare il contenuto della navigazione in internet del dipendente (15.02.06)
Filtri antispam: linee-guida dei Garanti europei (07.03.06)
Internet: motori di ricerca, il Garante chiede a Google america più tutele per gli utenti (19.04.06)
Alberghi: vietato profilare le abitudini dei clienti in modo illecito (15.05.06)
Scuola: chiarezza sui dati degli studenti (01.06.06)
Sanzionato chi diffonde virus informatici sui PC (21.06.06)
Condominio a prova di privacy (13.07.06)
Carte di fedeltà e diritti dei consumatori (02.08.06)
Informativa del medico di medicina generale e di pediatria (04.09.06)
Il diritto di accesso (27.09.06)
I ribelli della privacy (20.10.06)
Le banche dati genetiche devono tutelare la privacy (13.11.06)
Maggiori garanzie sul posto di lavoro: le linee guida del Garante privacy (13.12.06)
Privacy, adozioni e diritto di cronaca (10.01.07)
Le nuove norme in materia di privacy per le scuole (02.02.07)
Cartella clinica elettronica: linee guida dei Garanti Ue (02.03.07)
Lavoro: le linee guida del Garante per posta elettronica e internet (28.03.07)
Impronta della mano e privacy dei lavoratori (18.04.07)
Telecamere in piscina: vietato riprendere le persone negli spogliatoi (08.05.07)
Tutelare i minori nella navigazione in rete (05.06.07)