FAQ (domande frequenti) privacy e sicurezza dei dati

Il responsabile del trattamento deve essere solo una persona fisica?

No, il responsabile del trattamento può essere un ente collettivo.
 
La nomina del responsabile è obbligatoria?
No, la nomina del responsabile è facoltativa, ma l’opportunità di nominare uno o più responsabili del trattamento cresce con l’aumento della articolazione organizzativa della propria struttura.
 
Gli incaricati vanno nominati?
Si, l’articolo 30 prevede un doppio binario per le designazione degli incaricati. La designazione può essere effettuata individuando puntualmente l’ambito del trattamento consentito. Sic considera, però valida la designazione di incaricato mediante la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima
 
Chi è l'interessato?
È “interessato”, la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali; il soggetto interessato gode dei diritti previsti dall’articolo 7 del codice civile della privacy.
 
L’informativa all’interessato deve essere resa per scritto?
Le informazioni all’interessato presso quale sono raccolti i dati possono essere date per scritto od oralmente, la forma scritta è richiesta se il trattamento riguarda i dati sensibili, nel qual caso deve anche essere citata la disposizione che ne impone il trattamento
 
Quali sono i diritti degli interessati?
Gli interessati hanno il diritto di ricevere l’informativa, di prestare il consenso preventivo informativo, se non ricorre una causa di esonero. Gli interessati, inoltre, hanno i diritti di cui all’articolo 7 del codice della privacy: accesso ai dati personali, rettificazione dati inesatti, aggiornamento dati vecchi, integrazione dati incompleti, opposizione al trattamento, blocco e cancellazione dei dati trattati in maniera illegittima. Per esercitare i propri diritti l’interessato può ricorrere al Garante o al giudice ordinario
 
Il responsabile del trattamento può nominare altri responsabili del trattamento?
No, solo il titolare può nominare i responsabili di trattamento. Naturalmente il responsabile del trattamento può avvalersi di collaboratori per lo svolgimento dei propri compiti.
 
Come e con che costi devono essere comunicati i dati al richiedente?

I dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualità e la quantità delle informazioni. Se vi è richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica.


Salvo che la richiesta sia riferita ad un particolare trattamento o a specifici dati personali o categorie di dati personali, il riscontro all'interessato comprende tutti i dati personali che riguardano l'interessato comunque trattati dal titolare. Quando l'estrazione dei dati risulta particolarmente difficoltosa il riscontro alla richiesta dell'interessato può avvenire anche attraverso l'esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti.


Il diritto di ottenere la comunicazione in forma intelligibile dei dati non riguarda dati personali relativi a terzi, salvo che la scomposizione dei dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi all'interessato.


La comunicazione dei dati è effettuata in forma intelligibile anche attraverso l'utilizzo di una grafia comprensibile. In caso di comunicazione di codici o sigle sono forniti, anche mediante gli incaricati, i parametri per la comprensione del relativo significato.


Quando, a seguito della richiesta non risulta confermata l'esistenza di dati che riguardano l'interessato, può essere chiesto un contributo spese non eccedente i costi effettivamente sopportati per la ricerca effettuata nel caso specifico.


Il contributo non può comunque superare l'importo determinato dal Garante con provvedimento di carattere generale, che può individuarlo forfettariamente in relazione al caso in cui i dati sono trattati con strumenti elettronici e la risposta è fornita oralmente. Con il medesimo provvedimento il Garante può prevedere che il contributo possa essere chiesto quando i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione, oppure quando, presso uno o più titolari, si determina un notevole impiego di mezzi in relazione alla complessità o all'entità delle richieste ed è confermata l'esistenza di dati che riguardano l'interessato.


Il contributo è corrisposto anche mediante versamento postale o bancario, ovvero mediante carta di pagamento o di credito, ove possibile all'atto della ricezione del riscontro e comunque non oltre quindici giorni da tale riscontro.


Il garante, inoltre, ha evidenziato la necessità di determinare in termini generali la predetta misura del contributo spese relativamente ai casi di esercizio del diritto di accesso ai dati personali o a talune informazioni.


Il contributo spese in esame non si riferisce, quindi, all'esercizio di diritti dell'interessato diversi da quelli sopra specificamente indicati (ad esempio, non è ipotizzabile un contributo in caso di richiesta di rettificazione o di opposizione al trattamento).


Gli importi massimi del contributo spese qui previsti in base al Codice sono determinati tenendo conto della normativa comunitaria e internazionale, della corrispondente misura prevista anteriormente al Codice e della necessità di non rendere oneroso l'esercizio dei diritti dell'interessato.

Il principio generale resta, infatti, quello secondo cui l'esercizio del diritto di accesso ai dati che riguardano l'interessato è gratuito.


In riferimento ai casi in cui non può ritenersi confermata l'esistenza dei dati, va nuovamente rilevato che il contributo spese non è integralmente compensativo di tutti gli eventuali costi di un riscontro. Tale contributo, per disposizione di legge, non può in ogni caso eccedere i costi effettivamente sopportati per la ricerca effettuata nel caso specifico.


Ciò premesso, l'importo massimo che può essere richiesto è determinato dal Garante nella misura di euro dieci. Con riferimento al medesimo caso in cui non risulti confermata l'esistenza dei dati, lo stesso contributo è individuato forfettariamente in misura pari a euro 2,50, in relazione al caso in cui i dati siano trattati con strumenti elettronici e la risposta (negativa) sia fornita oralmente.


Il contributo spese di cui al presente punto 2 non può essere chiesto quando i dati, cancellati o comunque non reperibili, risultano essere stati comunque trattati in precedenza.


Negli altri casi in cui, a seguito di una richiesta dell'interessato, risulta invece confermata l'esistenza di dati che lo riguardano, l'esercizio del diritto è gratuito, ma può essere chiesto un contributo spese in presenza di una richiesta di riprodurre uno speciale supporto su cui i dati personali figurano. L'interessato può infatti richiedere specificamente la riproduzione di uno speciale supporto sul quale sono presenti già i dati personali. Tale caso riguarda solo le richieste di comunicare i dati in forma intelligibile e non attiene, inoltre, alle richieste di trasporre i dati su supporti di uso più comune, come ordinari floppy disk o cd-rom, concernendo solo richieste attinenti a determinati supporti di maggior costo quali audiovisivi, lastre, nastri o altri specifici supporti magnetici.


In riferimento a questi casi, si deve ritenere legittima la richiesta, rivolta all'interessato, di contribuire alla particolare spesa necessaria per comunicare i dati, sempre che l'interessato medesimo abbia chiesto specificamente di ottenere in tale forma la comunicazione dei dati che lo riguardano.


Sulla base di una valutazione ponderata delle principali situazioni verificabili, e della circostanza che si tratta anche in questo caso di un contributo, va ritenuta congruo l'importo di euro venti.


Si tratta di un importo massimo in quanto, anche in questo caso, il contributo non può comunque eccedere i costi effettivamente sostenuti e documentabili nel caso specifico
 

Quali sono i compiti del garante?

I compiti del Garante sono attualmente specificati nell’art. 31 della legge 675/1996, dove vengono indicati, tra l’altro:
- il controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità;
- l'esame delle segnalazioni e dei reclami degli interessati, nonché dei ricorsi presentati ai sensi dell'art. 29 della legge;
- l'adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili;
- la promozione, nell'ambito delle categorie interessate, della sottoscrizione dei codici di deontologia e di buona condotta;
- il divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l'interessato;
- la segnalazione al Governo dei provvedimenti normativi di settore, la cui adozione si manifesti opportuna, e la formulazione dei pareri richiesti dal Presidente del Consiglio o da ciascun ministro in ordine ai regolamenti ed agli atti amministrativi inerenti alla materia della protezione dei dati personali;
- la predisposizione di una relazione annuale sull'attività svolta e sullo stato di attuazione della legge e la sua trasmissione al Parlamento e al Governo;
- la partecipazione alle attività comunitarie ed internazionali di settore, quale componente delle autorità comuni di controllo previste da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale);
- il controllo, anche a richiesta degli interessati, sui trattamenti dei dati personali effettuati da forze di polizia e dai servizi di informazione e di sicurezza;
- l'indicazione degli accorgimenti da adottare nell'uso dei dati "semi-sensibili" (cd. prior checking, introdotto dal d.lg. n. 467/2001).
 
Che cosa si intende per misure di sicurezza?
Sono misure di sicurezza tutte le prescrizioni idonee  a evitare il danno di eccessivi abusi o di perdite accidentali dei dati personali. Si distinguono le misure minime di sicurezza e le misure ulteriori di sicurezza: l’osservanza delle prime esclude responsabilità penali; l’osservanza delle seconde elimina responsabilità per risarcimento del danno
 
In uno studio associato chi è il titolare del trattamento?
Di regola nello studio associato non è esclusa la possibilità che ciascun professionista sia titolare di trattamento autonomo, sia in relazione ai rapporti con la clientela sia in relazione all’autonomia nella gestione del trattamento dei dati personali.
 
La raccolta e conservazione in cartelle dei fascicoli di causa relativi ai clienti costituisce trattamento dati?
La raccolta in un falcone dei fascicoli di causa costituisce un trattamento svolto senza l’ausilio di strumenti automatizzati, non soggetti ai sensi dell’articolo 24, lettera b del Codice al consenso dell’interessato, in quanto riguarda dati l’informativa di cui all’articolo 13 dello stesso Codice. Il consenso è necessario qualora il trattamento interessi dati sensibili.
 
La consegna della busta paga deve avvenire nel rispetto della normativa della privacy?
Certamente. La busta paga è in documento riservato, che riporta dati personali, retributivi ed elementi sensibili, quali assegni di mantenimento per il coniuge separato, pignoramenti in atto ecc. Il dipendente ha il diritto quindi di ricevere la propria busta paga nel pieno rispetto delle norme sulla privacy
 
È conforme alla legge della privacy l’uso dei cartellini identificativi dei dipendenti?
La legge non vieta di dotare i lavoratori di un cartellino di riconoscimento e di rappresentanza, al fine di renderli identificabili per finalità di trasparenza, in particolare nei rapporti con il pubblico o con terzi estranei; i dati esposti devono però essere pertinenti allo scopo, non comprendendo elementi strettamente personali (es.: data, luogo di nascita, dati cioè non intenzionali allo scopo identificativo)
 

Come può un dipendente esercitare il diritto di accesso di cui all’art. 7 del Codice nei confronti del proprio datore di lavoro?
Il dipendente deve inoltrare una richiesta di accesso ai sensi dell’art. 7; in questo cosa il datore di lavoro è tenuto a fornire tutte le informazioni comuni e sensibili in suo possesso relative al dipendente
 
Le visite fiscali richieste dal datore di lavoro, in caso di assenza per malattia del dipendente, sono conformi alla privacy?
Le visite fiscali non violano la privacy, in quanto disposizioni di legge e contrattuali prevedono la possibilità di tali controlli.
 
Si possono riprendere con telecamere a circuito chiuso le lavorazioni all’interno di un luogo di lavoro?
Ai sensi dell’art. 4 dello Statuto dei lavoratori, che il Codice della privacy ha lasciato integralmente in vigore, la ripresa delle lavorazioni non è consentita. L’art. 4 di tale testo stabilisce il generale divieto dell’ “uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori”, a prescindere dunque dal consenso dei lavoratori
 
Se un dipendente usufruisce di permessi per esami universitari il datore di lavoro può richiedere che il certificato relativo all’esame sostenuto indichi anche la votazione conseguita?
No, l’art. 10 dello Statuto dei Lavoratori prevede che i datori di lavoro possono richiedere la produzione delle certificazioni necessarie all’esercizio del diritto di fruire di permessi per motivi di studio. Il codice privacy all’art. 11 stabilisce che i dati personali legati al trattamento devono essere pertinenti e non eccedenti le finalità per i quali sono raccolti. La votazione ottenuta nel caso specifico non è funzionale né pertinente con l’obbligo di certificare l’assenza dal lavoro