Art.
11
Modalità del
trattamento e requisiti dei dati
1.
I dati personali oggetto di trattamento sono:
a)
trattati in modo lecito e secondo correttezza;
b)
raccolti e registrati per scopi determinati, espliciti e legittimi, ed
utilizzati in altre operazioni del
trattamento in termini compatibili con tali scopi;
c)
esatti e, se necessario, aggiornati;
d)
pertinenti, completi e non eccedenti rispetto alle finalità per le
quali sono raccolti o
successivamente
trattati;
e)
conservati in una forma che consenta l'identificazione dell'interessato
per un periodo di tempo non
superiore a quello necessario agli scopi per i quali essi sono stati
raccolti o successivamente trattati.
2.
I dati personali trattati in violazione della disciplina rilevante in
materia di trattamento dei dati personali
non possono essere utilizzati.
Art.
12
Codici
di deontologia e di buona condotta
1.
Il Garante promuove nell'ambito delle categorie interessate,
nell'osservanza del principio di rappresentatività
e tenendo conto dei criteri direttivi delle raccomandazioni del
Consiglio d'Europa
sul trattamento di dati personali, la sottoscrizione di codici di
deontologia e di buona condotta
per determinati settori, ne verifica la conformità alle leggi e ai
regolamenti anche attraverso
l'esame di osservazioni di soggetti interessati e contribuisce a
garantirne la diffusione e il
rispetto.
2.
I codici sono pubblicati nella Gazzetta Ufficiale della
Repubblica italiana a cura del Garante e, con
decreto del Ministro della giustizia, sono riportati nell'allegato A)
del presente codice.
3.
Il rispetto delle disposizioni contenute nei codici di cui al comma 1
costituisce condizione essenziale
per la liceità e correttezza del trattamento dei dati personali
effettuato da soggetti privati
e pubblici.
4.
Le disposizioni del presente articolo si applicano anche al codice di
deontologia per i
trattamenti
di dati per finalità giornalistiche promosso dal Garante nei modi di
cui al comma 1 e all'articolo
139.
Art.
13
Informativa
1.
L'interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati
oralmente o per iscritto circa:
a)
le finalità e le modalità del trattamento cui sono destinati i dati;
b)
la natura obbligatoria o facoltativa del conferimento dei dati;
c)
le conseguenze di un eventuale rifiuto di rispondere;
d)
i soggetti o le categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono
venirne a conoscenza in qualità di responsabili o incaricati, e
l'ambito di diffusione dei dati
medesimi;
e)
i diritti di cui all'articolo 7;
f)
gli estremi identificativi del titolare e, se designati, del
rappresentante nel territorio dello Stato ai
sensi dell'articolo 5 e del responsabile. Quando il titolare ha
designato più responsabili è indicato
almeno uno di essi, indicando il sito della rete di comunicazione o le
modalità attraverso le
quali è conoscibile in modo agevole l'elenco aggiornato dei
responsabili. Quando è stato designato
un responsabile per il riscontro all'interessato in caso di esercizio
dei diritti di cui all'articolo
7, è indicato tale responsabile.
2.
L'informativa di cui al comma 1 contiene anche gli elementi previsti da
specifiche disposizioni del
presente codice e può non comprendere gli elementi già noti alla
persona che fornisce i dati o la
cui conoscenza può ostacolare in concreto l'espletamento, da parte di
un soggetto pubblico, di funzioni
ispettive o di controllo svolte per finalità di difesa o sicurezza
dello Stato oppure di prevenzione,
accertamento o repressione di reati.
3.
Il Garante può individuare con proprio provvedimento modalità
semplificate per l'informativa fornita
in particolare da servizi telefonici di assistenza e informazione al
pubblico.
4.
Se i dati personali non sono raccolti presso l'interessato,
l'informativa di cui al comma 1, comprensiva
delle categorie di dati trattati, è data al medesimo interessato
all'atto della registrazione
dei dati o, quando è prevista la loro comunicazione, non oltre la prima
comunicazione.
5.
La disposizione di cui al comma 4 non si applica quando:
a)
i dati sono trattati in base ad un obbligo previsto dalla legge, da un
regolamento o dalla
normativa
comunitaria;
b)
i dati sono trattati ai fini dello svolgimento delle investigazioni
difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere un diritto in sede
giudiziaria, sempre
che i dati siano trattati esclusivamente per tali finalità e per il
periodo strettamente necessario
al loro perseguimento;
c)
l'informativa all'interessato comporta un impiego di mezzi che il
Garante, prescrivendo
eventuali
misure appropriate, dichiari manifestamente sproporzionati rispetto al
diritto tutelato, ovvero
si riveli, a giudizio del Garante, impossibile.
Art.
14
Definizione
di profili e della personalità dell'interessato
1.
Nessun atto o provvedimento giudiziario o amministrativo che implichi
una valutazione del comportamento
umano può essere fondato unicamente su un trattamento automatizzato di
dati personali
volto a definire il profilo o la personalità dell'interessato.
2.
L'interessato può opporsi ad ogni altro tipo di determinazione adottata
sulla base del
trattamento
di cui al comma 1, ai sensi dell'articolo 7, comma 4, lettera a), salvo
che la
determinazione
sia stata adottata in occasione della conclusione o dell'esecuzione di
un contratto, in
accoglimento di una proposta dell'interessato o sulla base di adeguate
garanzie individuate dal presente
codice o da un provvedimento del Garante ai sensi dell'articolo 17.
Art.
15
Danni
cagionati per effetto del trattamento
1.
Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al
risarcimento
ai sensi dell'articolo 2050 del codice civile.
2.
Il danno non patrimoniale è risarcibile anche in caso di violazione
dell'articolo 11.
Art.
16
Cessazione
del trattamento
1.
In caso di cessazione, per qualsiasi causa, di un trattamento i dati
sono:
a)
distrutti;
b)
ceduti ad altro titolare, purché destinati ad un trattamento in termini
compatibili agli scopi per i
quali i dati sono raccolti;
c)
conservati per fini esclusivamente personali e non destinati ad una
comunicazione sistematica o
alla diffusione;
d)
conservati o ceduti ad altro titolare, per scopi storici, statistici o
scientifici, in conformità alla legge,
ai regolamenti, alla normativa comunitaria e ai codici di deontologia e
di buona condotta sottoscritti
ai sensi dell'articolo 12.
2.
La cessione dei dati in violazione di quanto previsto dal comma 1,
lettera b), o di altre
disposizioni
rilevanti in materia di trattamento dei dati personali è priva di
effetti.
Art.
17
Trattamento
che presenta rischi specifici
1.
Il trattamento dei dati diversi da quelli sensibili e giudiziari che
presenta rischi specifici per i diritti
e le libertà fondamentali, nonché per la dignità dell'interessato, in
relazione alla natura dei dati
o alle modalità del trattamento o agli effetti che può determinare, è
ammesso nel rispetto di misure
ed accorgimenti a garanzia dell'interessato, ove prescritti.
2.
Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal
Garante in applicazione dei principi
sanciti dal presente codice, nell'ambito di una verifica preliminare
all'inizio del trattamento,
effettuata anche in relazione a determinate categorie di titolari o di
trattamenti, anche
a seguito di un interpello del titolare.
CAPO
II REGOLE ULTERIORI
PER I SOGGETTI PUBBLICI
Art.
18
Principi
applicabili a tutti i trattamenti effettuati da soggetti pubblici
1.
Le disposizioni del presente capo riguardano tutti i soggetti pubblici,
esclusi gli enti pubblici economici.
2.
Qualunque trattamento di dati personali da parte di soggetti pubblici è
consentito soltanto per lo
svolgimento delle funzioni istituzionali.
3.
Nel trattare i dati il soggetto pubblico osserva i presupposti e i
limiti stabiliti dal presente codice,
anche in relazione alla diversa natura dei dati, nonché dalla legge e
dai regolamenti.
4.
Salvo quanto previsto nella Parte II per gli esercenti le professioni
sanitarie e gli organismi sanitari
pubblici, i soggetti pubblici non devono richiedere il consenso
dell'interessato.
5.
Si osservano le disposizioni di cui all'articolo 25 in tema di
comunicazione e diffusione.
Art.
19
Principi
applicabili al trattamento di dati diversi da quelli sensibili e
giudiziari
1.
Il trattamento da parte di un soggetto pubblico riguardante dati diversi
da quelli sensibili e giudiziari
è consentito, fermo restando quanto previsto dall'articolo 18, comma 2,
anche in mancanza
di una norma di legge o di regolamento che lo preveda espressamente.
2.
La comunicazione da parte di un soggetto pubblico ad altri soggetti
pubblici è ammessa quando
è prevista da una norma di legge o di regolamento. In mancanza di tale
norma la comunicazione
è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali
e può essere iniziata se è decorso il termine di cui all'articolo 39,
comma 2, e non è stata
adottata la diversa determinazione ivi indicata.
3.
La comunicazione da parte di un soggetto pubblico a privati o a enti
pubblici economici e la diffusione
da parte di un soggetto pubblico sono ammesse unicamente quando sono
previste da una
norma di legge o di regolamento.
Art.
20
Principi
applicabili al trattamento di dati sensibili
1.
Il trattamento dei dati sensibili da parte di soggetti pubblici è
consentito solo se autorizzato da espressa
disposizione di legge nella quale sono specificati i tipi di dati che
possono essere trattati e
di operazioni eseguibili e le finalità di rilevante interesse pubblico
perseguite.
2.
Nei casi in cui una disposizione di legge specifica la finalità di
rilevante interesse pubblico, ma non
i tipi di dati sensibili e di operazioni eseguibili, il trattamento è
consentito solo in riferimento ai
tipi di dati e di operazioni identificati e resi pubblici a cura dei
soggetti che ne effettuano il trattamento,
in relazione alle specifiche finalità perseguite nei singoli casi e nel
rispetto dei principi
di cui all'articolo 22, con atto di natura regolamentare adottato in
conformità al parere espresso
dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su
schemi tipo.
3.
Se il trattamento non è previsto espressamente da una disposizione di
legge i soggetti pubblici possono
richiedere al Garante l'individuazione delle attività, tra quelle
demandate ai medesimi soggetti
dalla legge, che perseguono finalità di rilevante interesse pubblico e
per le quali è conseguentemente
autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati
sensibili.
Il
trattamento è consentito solo se il soggetto pubblico provvede altresì
a identificare e rendere pubblici
i tipi di dati e di operazioni nei modi di cui al comma 2.
4.
L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3
è aggiornata e integrata periodicamente.
Art.
21
Principi
applicabili al trattamento di dati giudiziari
1.
Il trattamento di dati giudiziari da parte di soggetti pubblici è
consentito solo se autorizzato da espressa
disposizione di legge o provvedimento del Garante che specifichino le
finalità di rilevante
interesse pubblico del trattamento, i tipi di dati trattati e di
operazioni eseguibili.
2.
Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche
al trattamento dei dati giudiziari.
Art.
22
Principi
applicabili al trattamento di dati sensibili e giudiziari
1.
I soggetti pubblici conformano il trattamento dei dati sensibili e
giudiziari secondo modalità volte
a prevenire violazioni dei diritti, delle libertà fondamentali e della
dignità dell'interessato.
2.
Nel fornire l'informativa di cui all'articolo 13 i soggetti pubblici
fanno espresso riferimento alla
normativa che prevede gli obblighi o i compiti in base alla quale è
effettuato il trattamento dei
dati sensibili e giudiziari.
3.
I soggetti pubblici possono trattare solo i dati sensibili e giudiziari
indispensabili per svolgere attività
istituzionali che non possono essere adempiute, caso per caso, mediante
il trattamento di dati
anonimi o di dati personali di natura diversa.
4.
I dati sensibili e giudiziari sono raccolti, di regola, presso
l'interessato.
5.
In applicazione dell'articolo 11, comma 1, lettere c), d) ed e), i
soggetti pubblici verificano periodicamente
l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché
la loro pertinenza,
completezza, non eccedenza e indispensabilità rispetto alle finalità
perseguite nei singoli
casi, anche con riferimento ai dati che l'interessato fornisce di
propria iniziativa. Al fine di
assicurare che i dati sensibili e giudiziari siano indispensabili
rispetto agli obblighi e ai compiti
loro attribuiti, i soggetti pubblici valutano specificamente il rapporto
tra i dati e gli adempimenti.
I dati che, anche a seguito delle verifiche, risultano eccedenti o non
pertinenti o non
indispensabili non possono essere utilizzati, salvo che per l'eventuale
conservazione, a norma
di legge, dell'atto o del documento che li contiene. Specifica
attenzione è prestata per la verifica
dell'indispensabilità dei dati sensibili e giudiziari riferiti a
soggetti diversi da quelli cui si
riferiscono
direttamente le prestazioni o gli adempimenti.
6.
I dati sensibili e giudiziari contenuti in elenchi, registri o banche di
dati, tenuti con l'ausilio di strumenti
elettronici, sono trattati con tecniche di cifratura o mediante
l'utilizzazione di codici identificativi
o di altre soluzioni che, considerato il numero e la natura dei dati
trattati, li rendono temporaneamente
inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare
gli interessati solo in caso di necessità.
7.
I dati idonei a rivelare lo stato di salute e la vita sessuale sono
conservati separatamente da altri
dati personali trattati per finalità che non richiedono il loro
utilizzo. I medesimi dati sono trattati
con le modalità di cui al comma 6 anche quando sono tenuti in elenchi,
registri o banche di
dati senza l'ausilio di strumenti elettronici.
8.
I dati idonei a rivelare lo stato di salute non possono essere diffusi.
9.
Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del
comma 3, i soggetti pubblici sono
autorizzati ad effettuare unicamente le operazioni di trattamento
indispensabili per il perseguimento
delle finalità per le quali il trattamento è consentito, anche quando
i dati sono raccolti
nello svolgimento di compiti di vigilanza, di controllo o ispettivi.
10.
I dati sensibili e giudiziari non possono essere trattati nell'ambito di
test psico-attitudinali volti
a definire il profilo o la personalità dell'interessato. Le operazioni
di raffronto tra dati sensibili
e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai
sensi dell'articolo 14,
sono
effettuati solo previa annotazione scritta dei motivi.
11.
In ogni caso, le operazioni e i trattamenti di cui al comma 10, se
effettuati utilizzando banche di
dati di diversi titolari, nonché la diffusione dei dati sensibili e
giudiziari, sono ammessi solo se previsti
da espressa disposizione di legge.
12.
Le disposizioni di cui al presente articolo recano principi applicabili,
in conformità ai
rispettivi
ordinamenti, ai trattamenti disciplinati dalla Presidenza della
Repubblica, dalla Camera dei
deputati, dal Senato della Repubblica e dalla Corte costituzionale.
CAPO
III REGOLE ULTERIORI
PER PRIVATI ED ENTI PUBBLICI ECONOMICI
Art.
23
Consenso
1.
Il trattamento di dati personali da parte di privati o di enti pubblici
economici è ammesso solo con
il consenso espresso dell'interessato.
2.
Il consenso può riguardare l'intero trattamento ovvero una o più
operazioni dello stesso.
3.
Il consenso è validamente prestato solo se è espresso liberamente e
specificamente in riferimento
ad un trattamento chiaramente individuato, se è documentato per
iscritto, e se sono state
rese all'interessato le informazioni di cui all'articolo 13.
4.
Il consenso è manifestato in forma scritta quando il trattamento
riguarda dati sensibili.
Art.
24
Casi
nei quali può essere effettuato il trattamento senza consenso
1.
Il consenso non è richiesto, oltre che nei casi previsti nella Parte
II, quando il trattamento:
a)
è necessario per adempiere ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa
comunitaria;
b)
è necessario per eseguire obblighi derivanti da un contratto del quale
è parte l'interessato o per adempiere,
prima della conclusione del contratto, a specifiche richieste
dell'interessato;
c)
riguarda dati provenienti da pubblici registri, elenchi, atti o
documenti conoscibili da
chiunque,
fermi restando i limiti e le modalità che le leggi, i regolamenti o la
normativa
comunitaria
stabiliscono per la conoscibilità e pubblicità dei dati;
d)
riguarda dati relativi allo svolgimento di attività economiche,
trattati nel rispetto della vigente normativa
in materia di segreto aziendale e industriale;
e)
è necessario per la salvaguardia della vita o dell'incolumità fisica
di un terzo. Se la medesima
finalità
riguarda l'interessato e quest'ultimo non può prestare il proprio
consenso per impossibilità
fisica, per incapacità di agire o per incapacità di intendere o di
volere, il consenso è manifestato
da chi esercita legalmente la potestà, ovvero da un prossimo congiunto,
da un familiare,
da un convivente o, in loro assenza, dal responsabile della struttura
presso cui dimora l'interessato.
Si applica la disposizione di cui all'articolo 82, comma 2;
f)
con esclusione della diffusione, è necessario ai fini dello svolgimento
delle investigazioni difensive
di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o
difendere un diritto
in sede giudiziaria, sempre che i dati siano trattati esclusivamente per
tali finalità e per il periodo
strettamente necessario al loro perseguimento, nel rispetto della
vigente normativa in materia
di segreto aziendale e industriale;
g)
con esclusione della diffusione, è necessario, nei casi individuati dal
Garante sulla base dei principi
sanciti dalla legge, per perseguire un legittimo interesse del titolare
o di un terzo destinatario
dei dati, anche in riferimento all'attività di gruppi bancari e di
società controllate o collegate,
qualora non prevalgano i diritti e le libertà fondamentali, la dignità
o un legittimo interesse
dell'interessato;
h)
con esclusione della comunicazione all'esterno e della diffusione, è
effettuato da associazioni, enti
od organismi senza scopo di lucro, anche non riconosciuti, in
riferimento a soggetti che hanno
con essi contatti regolari o ad aderenti, per il perseguimento di scopi
determinati e legittimi
individuati dall'atto costitutivo, dallo statuto o dal contratto
collettivo, e con modalità di utilizzo
previste espressamente con determinazione resa nota agli interessati
all'atto dell'informativa
ai sensi dell'articolo 13;
i)
è necessario, in conformità ai rispettivi codici di deontologia di cui
all'allegato A), per
esclusivi
scopi scientifici o statistici, ovvero per esclusivi scopi storici
presso archivi privati dichiarati
di notevole interesse storico ai sensi dell'articolo 6, comma 2, del
decreto legislativo 29 ottobre
1999, n. 490, di approvazione del testo unico in materia di beni
culturali e ambientali o, secondo
quanto previsto dai medesimi codici, presso altri archivi privati.
Art.
25
Divieti
di comunicazione e diffusione
1.
La comunicazione e la diffusione sono vietate, oltre che in caso di
divieto disposto dal Garante o
dall'autorità giudiziaria:
a)
in riferimento a dati personali dei quali è stata ordinata la
cancellazione, ovvero quando è decorso
il periodo di tempo indicato nell'articolo 11, comma 1, lettera e);
b)
per finalità diverse da quelle indicate nella notificazione del
trattamento, ove prescritta.
2.
È fatta salva la comunicazione o diffusione di dati richieste, in
conformità alla legge, da forze di
polizia, dall'autorità giudiziaria, da organismi di informazione e
sicurezza o da altri soggetti pubblici
ai sensi dell'articolo 58, comma 2, per finalità di difesa o di
sicurezza dello Stato o di prevenzione,
accertamento o repressione di reati.
Art.
26
Garanzie
per i dati sensibili
1.
I dati sensibili possono essere oggetto di trattamento solo con il
consenso scritto
dell'interessato
e previa autorizzazione del Garante, nell'osservanza dei presupposti e
dei limiti stabiliti
dal presente codice, nonché dalla legge e dai regolamenti.
2.
Il Garante comunica la decisione adottata sulla richiesta di
autorizzazione entro
quarantacinque
giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il
provvedimento
di autorizzazione, ovvero successivamente, anche sulla base di eventuali
verifiche,
il Garante può prescrivere misure e accorgimenti a garanzia
dell'interessato, che il titolare
del trattamento è tenuto ad adottare.
3.
Il comma 1 non si applica al trattamento:
a)
dei dati relativi agli aderenti alle confessioni religiose e ai soggetti
che con riferimento a finalità
di natura esclusivamente religiosa hanno contatti regolari con le
medesime confessioni, effettuato
dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che
i dati non siano diffusi
o comunicati fuori delle medesime confessioni. Queste ultime determinano
idonee garanzie
relativamente ai trattamenti effettuati, nel rispetto dei principi
indicati al riguardo con autorizzazione
del Garante;
b)
dei dati riguardanti l'adesione di associazioni od organizzazioni a
carattere sindacale o di categoria
ad altre associazioni, organizzazioni o confederazioni a carattere
sindacale o di categoria.
4.
I dati sensibili possono essere oggetto di trattamento anche senza
consenso, previa
autorizzazione
del Garante:
a)
quando il trattamento è effettuato da associazioni, enti od organismi
senza scopo di lucro, anche
non riconosciuti, a carattere politico, filosofico, religioso o
sindacale, ivi compresi partiti e movimenti
politici, per il perseguimento di scopi determinati e legittimi
individuati dall'atto costitutivo,
dallo statuto o dal contratto collettivo, relativamente ai dati
personali degli aderenti o dei
soggetti che in relazione a tali finalità hanno contatti regolari con
l'associazione, ente od organismo,
sempre che i dati non siano comunicati all'esterno o diffusi e l'ente,
associazione od organismo
determini idonee garanzie relativamente ai trattamenti effettuati,
prevedendo espressamente
le modalità di utilizzo dei dati con determinazione resa nota agli
interessati all'atto dell'informativa
ai sensi dell'articolo 13;
b)
quando il trattamento è necessario per la salvaguardia della vita o
dell'incolumità fisica di un terzo.
Se la medesima finalità riguarda l'interessato e quest'ultimo non può
prestare il proprio consenso
per impossibilità fisica, per incapacità di agire o per incapacità di
intendere o di volere, il
consenso è manifestato da chi esercita legalmente la potestà, ovvero
da un prossimo congiunto, da
un familiare, da un convivente o, in loro assenza, dal responsabile
della struttura presso cui dimora
l'interessato. Si applica la disposizione di cui all'articolo 82, comma
2;
c)
quando il trattamento è necessario ai fini dello svolgimento delle
investigazioni difensive di cui
alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o
difendere in sede giudiziaria
un diritto, sempre che i dati siano trattati esclusivamente per tali
finalità e per il periodo
strettamente necessario al loro perseguimento. Se i dati sono idonei a
rivelare lo stato di salute
e la vita sessuale, il diritto deve essere di rango pari a quello
dell'interessato, ovvero consistente
in un diritto della personalità o in un altro diritto o libertà
fondamentale e inviolabile;
d)
quando è necessario per adempiere a specifici obblighi o compiti
previsti dalla legge, da un regolamento
o dalla normativa comunitaria per la gestione del rapporto di lavoro,
anche in materia
di igiene e sicurezza del lavoro e della popolazione e di previdenza e
assistenza, nei limiti
previsti dall'autorizzazione e ferme restando le disposizioni del codice
di deontologia e di buona
condotta di cui all'articolo 111.
5.
I dati idonei a rivelare lo stato di salute non possono essere diffusi.
Art.
27
Garanzie
per i dati giudiziari
Il
trattamento di dati giudiziari da parte di privati o di enti pubblici
economici è consentito
soltanto
se autorizzato da espressa disposizione di legge o provvedimento del
Garante che specifichino
le rilevanti finalità di interesse pubblico del trattamento, i tipi di
dati trattati e di operazioni
eseguibili.