Quali finalità si propone il Codice?

Le norme del Codice della privacy, in aderenza alla disciplina dell'Unione Europea, intendono garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali (tutelati, in generale, dalla Costituzione della Repubblica), nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale.
La tutela si estende anche ai diritti delle persone giuridiche.

Quali sono i dati personali?

I dati personali sono tutte le informazioni relative a persone fisiche o giuridiche, oppure ad enti e associazioni, che consentano l'identificazione diretta o indiretta di questi stessi soggetti.
Esiste, inoltre, una categoria di dati - i cosiddetti dati sensibili - attinenti alla sfera personalissima dei singoli (informazioni sulle opinioni religiose o politiche, sulle abitudini sessuali, etc.), per i quali la legge prevede una tutela più forte rispetto agli altri.
Il trattamento di dati relativi a procedimenti penali ed a tutti i provvedimenti di cui all’art. 686, comma 1, lett. a) e d), nonché commi 2 e 3, è ammesso solo se autorizzato da espressa disposizione di legge o provvedimento del Garante, che ne specifichi le finalità, i tipi di dati e le operazioni autorizzate.

Quali sono gli obblighi relativi al trattamento?

I dati personali devono essere:
a. trattati in modo lecito e corretto;
b. raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
c. esatti e, se necessario, aggiornati;
d. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;
e. conservati in una forma che consenta l'identificazione dell'interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.

Quali informazioni devono essere fornite agli interessati?

Il soggetto interessato, o la persona presso la quale sono raccolti i dati personali devono essere preventivamente informati per iscritto, circa:
a. le finalità e le modalità del trattamento;
b. l'obbligo o la facoltà di conferire i dati;
c. le conseguenze giuridiche del rifiuto a rispondere;
d. i soggetti a cui i dati possono essere comunicati;
e. l'ambito di diffusione dei dati personali;
f. i diritti spettanti al soggetto interessato;
g. identificazione anagrafico-logistica del titolare del trattamento, del responsabile nel territorio dello Stato, di almeno un responsabile del trattamento, se designato; occorre indicare, inoltre, le modalità tramite cui reperire l’elenco completo ed aggiornato di tutti i responsabili del trattamento.

E' necessario il consenso dell'interessato per il trattamento dei dati personali?

Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso espresso dell'interessato, salve le eccezioi di cui al punto seguente. Il consenso è validamente prestato soltanto se è espresso liberamente.
Il consenso per il trattamento dei dati comuni può anche essere orale, purché documentato per iscritto, mentre quello per i dati sensibili deve essere prestato esclusivamente in forma scritta.

Quando non è necessario il consenso dell'interessato?

Il consenso dell'interessato non è richiesto quando il trattamento:
a. riguarda dati trattati per adempiere ad obblighi previsti da leggi, regolamenti o disposizioni comunitarie;
b. è necessario per l'esecuzione di un contratto di cui è parte l'interessato, o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo;
c. riguarda dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque;
d. riguarda dati relativi allo svolgimento di attività economiche;
e. è necessario per la salvaguardia dell'incolumità o della vita dell'interessato o di un terzo;
f. con l’esclusione della diffusione, è effettuato per lo svolgimento di investigazioni difensive;
g. con l’esclusione della diffusione, è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate;
h. con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il raggiungimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo;
i. è necessario, in conformità con i codici deontologici, per esclusivi scopi scientifici, statistici o storici.

Cosa è previsto per la comunicazione e la diffusione dei dati personali?

La comunicazione e la diffusione sono consentite, come il trattamento, con il consenso dell’interessato, ovvero nel caso in cui ricorra un’ipotesi di esenzione.
In ogni caso, non possono essere comunicati o diffusi i dati per i quali è stata ordinata la cancellazione, ovvero quando è stato superato il periodo di tempo necessario al raggiungimento degli scopi, ovvero per scopi diversi da quelli indicati nella notificazione del trattamento al Garante, ove prescritta.

Quali sanzioni sono previste?

Il Codice sanziona penalmente i comportamenti adottati in difformità dallo stesso, quali il trattamento illecito di dati personali, la omessa adozione delle misure di sicurezza, nonché l'omessa osservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni al Garante.
Sono, inoltre, previste sanzioni amministrative nei casi di omessa o incompleta notificazione del trattamento al Garante, di inosservanza delle richieste del Garante o per l'omessa informativa ai soggetti interessati.