FAQ: Botta e Risposta

Domanda: Vorrei avere qualche chiarimento sulla figura giuridica dell'incaricato del trattamento dei dati personali. In particolare, in relazione alle implicazioni che conseguono in termini di adempimenti previsti dal Codice della privacy (D.lgs. n.196/2003).

Risposta: L'incaricato è la persona fisica che, pur non essendo stato nominato responsabile, esegue le operazioni di trattamento su indicazione del titolare o del responsabile, osservando le loro prescrizioni. Deve essere individuato per iscritto.

D: Vorrei capire se nell'assolvimento di operazioni di trattamento, in particolare di raccolta dati, possa essere considerato "incaricato" il soggetto terzo rispetto al titolare, nei cui confronti agisca sulla base di un mandato (es. reti di vendita che collocano presso il pubblico strumenti finanziari offerti da società "prodotto").

R: Secondo l'interpretazione che ha dato il Garante, la cosa è possibile. Un classico esempio è rappresentato dalle ipotesi in cui le aziende, titolari del trattamento, conferiscono incarichi in outsourcing ad altre società e nominano le stesse responsabili del trattamento, oppure, nominano i dipendenti delle stesse, che trattano dati personali, incaricati.

Domanda: Vorrei delucidazioni in merito al Titolo III del Codice, relativo alle sanzioni. Infatti, in ogni articolo non ci si riferisce ad uno specifico soggetto (titolare, responsabile o incaricati) ma si indica la generica dizione di "chiunque".
Potreste indicare, per ogni articolo, quali potrebbero essere i soggetti sanzionabili?

Risposta:

  • Art. 163 - Notificazione: chiunque, essendovi tenuto, è il titolare.
  • Art. 167 - Trattamento illecito: chiunque, al fine di trarne profitto, tratta i dati, nell'ambito della filiera del trattamento (anche gli incaricati).
  • Art. 169 - Omessa adozione delle misure di sicurezza:
    Chiunque, essendovi tenuto (titolare e responsabile e, alla luce del disposto del "Disciplinare tecnico in materia di misure minime di sicurezza", All. B. -di cui agli artt. da 33 a 36 del D.Lgs.196/2003-, anche l'incaricato).
  • Art. 170 – Inosservanza dei provvedimenti del Garante: Chiunque, essendovi tenuto (titolare e responsabile).
  • Art. 168 - Falsità nelle dichiarazioni o notificazioni al Garante: chiunque (titolare).

    Domanda: Sto curando le procedure per l'adeguamento alla normativa sulla privacy per conto di un'Associazione a cui sono iscritto, che ha una banca dati di aziende e fornisco inoltre supporto ad un amico, presidente di un ordine professionale. Ho alcune domande da porvi:

    D1): Deve essere effettuata la notifica al Garante della Banca dati degli iscritti (associazione ed ordine)?

    Risposta: La notifica non deve essere effettuata. Il D.lgs. 30 giugno 2003 n.196, infatti, ha radicalmente modificato tale adempimento che, contrariamente a quanto avveniva con la precedente normativa sulla privacy, è oggi obbligatorio solo nei casi particolarissimi elencati dall'art.37, riguardanti prevalentemente dati genetici, dati relativi allo stato di salute ed alla vita sessuale, etc.; il Garante potrà individuare altri casi in cui è obbligatoria la notificazione del trattamento.

    D2): per quanto riguarda la banca dati delle aziende, vi sono raccolte informazioni anagrafiche, di bilancio, descrizione dell'attività, appartenenza ad altre associazioni (industriali, commercianti). Inoltre, sono indicati anche i nomi di alcuni responsabili e persone di contatto.
    All'atto dell'iscrizione viene fatto firmare un unico consenso ad un responsabile autorizzato dell'azienda.
    La gestione che stiamo realizzando è quella di una banca dati senza la gestione del trattamento di dati particolari.
    Vi sono altre attività da svolgere per la corretta applicazione della normativa ?

    R: Deve essere predisposto il Documento Programmatico per la Sicurezza e devono essere redatti i mansionari per gli incaricati.

    Domanda: Vorrei porre alcune domande circa la notifica:
    è corretto e sufficiente indicare le categorie di interessati cui i dati si riferiscono nel modo seguente: persone fisiche e giuridiche (clienti, ex-clienti, clienti potenziali).

    Risposta: Riteniamo di si: è la modalità che richiede la norma. Precisiamo che dal 1° gennaio 2004, è in vigore un nuovo modello per la notificazione, l'unico ammesso; tale adempimento può essere effettuato solo per via telematica e con la sottoscrizione tramite firma digitale.

    D: qualora il luogo di custodia o il titolare non siano unici, che cosa si deve indicare? Indirizzo, nome del titolare, misure tecniche di sicurezza, di ogni luogo di custodia? Eventuali accordi o contratti di outsourcing?

    R: Devono essere indicati tutti i riferimenti, secondo le modalità stabilite dal Garante.

    Domanda: Gradirei sapere:
    1) In caso di comunicazione e di diffusione di dati sensibili, quali siano gli adempimenti richiesti (se il consenso è richiesto oppure no);

    Risposta: Ai sensi del D.lgs. 196/2003, sono obbligatori: l'informativa all'interessato (art. 13), il consenso scritto dello stesso, in molti casi la notifica al Garante (art. 37) e l'autorizzazione preventiva del Garante (art. 26), operazione, quest'ultima, non necessaria nei casi in cui il Garante stesso ha già emesso un'autorizzazione generale. Occorre, però, verificare singolarmente le varie ipotesi.
    Peraltro, esistono dati sensibili di cui è radicalmente vietata la diffusione.

    D: 2) Qual è la disciplina in caso di trasferimento di dati all'estero intra UE, per i dati sensibili e per quelli non sensibili.

    R: La disciplina in tema di trasferimento di dati all'interno dell'Ue è stata di recente modificata; attualmente, nell'ambito dell'UE può essere effettuato il trattamento in base agli stessi criteri e con gli stessi obblighi necessari per trattare i dati all'interno del nostro Paese.
    In sostanza, non ricorre più la distinzione tra dati sensibili e dati comuni, che prima imponeva un regime particolare per il trasferimento dei dati sensibili all'interno del territorio europeo.

    Domanda: Vorrei porVi alcune questioni:
    1) L'elencazione dei dati sensibili contenuta nell'art.4, coma 1 lett.d) del Codice deve essere considerata tassativa?

    R: Si.

    D: 2) Le valutazioni sulle performances e sul potenziale dei dipendenti devono essere considerate dati personali?

    R: Si, tali dati devono essere considerati dati personali.

    Domanda: La gestione di dati sensibili per conto di altri soggetti (ad esempio una Cassa che gestisce le deleghe sindacali degli operai dell'edilizia) necessita della sola autorizzazione del Garante o anche di quella dei singoli interessati?

    Risposta: Per il trattamento dei dati sensibili sono necessari e obbligatori, sia il consenso scritto dell'interessato, sia l'autorizzazione (richiesta ed ottenuta "una tantum") del Garante. Quest'ultima operazione non è necessaria se è già stata emessa un'autorizzazione generale al trattamento dei dati sensibili in quell'ambito di attività.

    Si precisa che l'esenzione dal consenso previsto dal comma 4, lett.a), dell'art.26, non vale quando, come in questo caso, i dati siano comunicati all'esterno.
    Di conseguenza, nel caso in questione, sarà necessario fornire agli interessati un'adeguata informativa e raccogliere il loro consenso specifico per la comunicazione dei dati sensibili al soggetto terzo.

    Domanda: E' possibile avere un'interpretazione sul senso della locuzione "documentato per iscritto", contenuta nell'art. 23 del Codice ?
    Deve essere intesa nel senso che l'interessato deve comunque prestare il proprio consenso in forma scritta o nel senso che questo può essere reso oralmente e poi documentato dall'incaricato alla raccolta?

    Risposta: Secondo quanto già chiarito dal Garante:
    - se i dati non hanno natura "sensibile" (in quanto non attengono, ad esempio, alla sfera della salute, delle abitudini sessuali o delle convinzioni politiche, religiose e sindacali), la raccolta o l'elaborazione dei dati può essere basata sul consenso dell'interessato (manifestato anche oralmente, purchè documentabile per iscritto), oppure su un'ampia serie di presupposti equipollenti (es.: i dati siano estratti da un archivio pubblico accessibile a chiunque).

    Domanda: Nel caso di trattamenti già iniziati da tempo (anche da anni) si rientra nelle norme transitorie della Legge n.675/1996?

    Risposta: Si, si rientra nel regime transitorio.
    Dovrà, pertanto, essere effettuata la notifica al Garante nei casi richiesti e, se si tratta di dati sensibili, servirà verificare che esista l'autorizzazione generale del Garante.