MANUALE DELLA PRIVACY REDATTO IN BASE AL DLGS 196/2003 E AL RELATIVO DISCIPLINARE TECNICO. INTESTAZIONE DITTA TOMARMI S.R.L. CATANIA CT - Via 5 Strada Zona Indusriale n. 6 Tel. 095591035 Data 18 gennaio 2006 Versione del Documento 0.0 INDICE 1. PRESENTAZIONE DEL MANUALE 1.1. Definizioni 1.2. Oggetto e finalità 1.3. Riferimenti normativi 1.4. Struttura e gestione del manuale 2. SOGGETTI CHE EFFETTUANO IL TRATTAMENTO 2.1. Premessa 2.2. Riferimenti normativi 2.3. Responsabilità 2.4. Nomina dei Responsabili 2.5. Nomina degli Incaricati 2.6. Allegati 3. SICUREZZA DEI DATI E DEI SISTEMI 3.1. Premessa 3.2. Riferimenti normativi 3.3. Responsabilità 3.4. Misure minime di sicurezza 3.4.1. Documento Programmatico sulla Sicurezza (DPS) 3.5. Controllo del processo di Trattamento 3.6. Controllo della qualità e della quantità dei dati trattati 3.7. Azioni correttive e di miglioramento 3.8. Modulistica 3.9. Allegati 4. DIRITTI DELL’INTERESSATO 4.1. Premessa 4.2. Riferimenti normativi 4.3. Responsabilità 4.4. Esercizio dei diritti 4.5. Informativa all’interessato 4.6. Garanzie per i dati sensibili 4.7. Allegati TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.1 - Manuale Privacy Pagina 1 di 26 1. PRESENTAZIONE DEL MANUALE Il presente Manuale è stato redatto sulla base di quanto previsto dal DLgs. 196/2003 ed è stato elaborato a seguito di una analisi dei rischi del trattamento potenzialmente presenti. Sono stati individuati, descritti ed analizzati tutti i possibili rischi e sono state descritte tutte le contromisure per l’abbassamento dei rischi e per garantire la massima sicurezza in ordine ai trattamenti dei dati personali. 1.1 Definizioni Si ritiene utile riportare, per favorire una migliore comprensione del manuale, le principali definizioni di ordine generale previste dal DLgs 196/2003. - trattamento: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; - dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; - dati identificativi: i dati personali che permettono l’identificazione diretta dell’interessato; - dati sensibili: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; - dati giudiziari: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.2 - Manuale Privacy Pagina 2 di 26 di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; - titolare: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; - responsabile: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; - incaricati: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; - interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; - comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; - diffusione: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; - dato anonimo: il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; - blocco: la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; - banca di dati: qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti; - Garante: l'autorità di cui all’articolo 153, istituita dalla legge 31.12.1996 n. 675. Valgono inoltre le seguenti definizioni di carattere più specificatamente tecnico, previste nel DLgs 196/2003: - comunicazione elettronica: ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.3 - Manuale Privacy Pagina 3 di 26 escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile; - chiamata: la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale; - reti di comunicazione elettronica: i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato; - rete pubblica di comunicazioni: una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico; - servizio di comunicazione elettronica: i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002; - abbonato: qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate; - utente: qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata; - dati relativi al traffico: qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.4 - Manuale Privacy Pagina 4 di 26 comunicazione elettronica o della relativa fatturazione; - dati relativi all’ubicazione: ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico; - servizio a valore aggiunto: il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione; - posta elettronica: messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell’apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza. Ai fini del codice sulla privacy si richiamano le ulteriori seguenti definizioni relative alle misure minime di sicurezza in materia di privacy, previste nel disciplinare tecnico allegato al DLgs 196/2003. - misure minime: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’art. 31; - strumenti elettronici: gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento; - autenticazione informatica: l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità; - credenziali di autenticazione: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’ autenticazione informatica; - parola chiave: componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; - profilo di autorizzazione: l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.5 - Manuale Privacy Pagina 5 di 26 ad essa consentiti; - sistema di autorizzazione: l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. Si intende, infine, per: - scopi storici: le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato; - scopi statistici: le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici; - scopi scientifici: le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore. 1.2. Oggetto e finalità Il Manuale descrive e definisce le responsabilità e le istruzioni impartite ai soggetti preposti al Trattamento (responsabili e incaricati del trattamento). Inoltre il Manuale si occupa di definire le azioni per la gestione dei rischi e per l'adozione delle misure di sicurezza. Definisce, infine, gli adempimenti necessari, sia a rilevanza interna che esterna, e individua le procedure per la tutela della riservatezza dei dati personali. Il manuale deve essere aggiornato ogni anno e sottoposto a revisione entro e non oltre ogni 31 marzo. Inoltre deve essere tempestivamente modificato dal Titolare e dal Responsabile del Trattamento qualora, nel corso delle attività svolte, dovessero presentarsi anomalie applicative delle misure di sicurezza adottate o dovessero presentarsi ulteriori nuovi rischi tali da dover intervenire con nuove misure di sicurezza. 1.3. Riferimenti normativi D.Lgs. n.196/2003 Parte I Disposizioni generali – Titolo I Principi generali - Art. 4 (Definizioni) - Art. 5 (Oggetto ed ambito di applicazione) - Art. 6 (Disciplina del trattamento) Parte I Disposizioni generali – Titolo II Diritti dell'interessato TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.6 - Manuale Privacy Pagina 6 di 26 - Art. 7 (Diritto di accesso ai dati personali ed altri diritti) - Art. 8 (Esercizio dei diritti) - Art. 9 (Modalita di esercizio) - Art. 10 (Riscontro all'interessato) Parte I Disposizioni generali – Titolo III Regole generali per il trattamento dei dati - Capo I Regole per tutti i trattamenti - Artt. 11-17 - Capo III Regole ulteriori per privati ed enti pubblici economici - Artt. 23-27 Parte I Disposizioni generali – Titolo IV Soggetti che effettuano il trattamento - Art. 28 (Titolare del trattamento) - Art. 29 (Responsabile del trattamento) - Art. 30 (Incaricati del trattamento) Parte I Disposizioni generali – Titolo V Sicurezza dei dati e dei sistemi - Capo I Misure di sicurezza – Art. 31 (Obblighi di sicurezza) - Capo II Misure minime di sicurezza – Artt. 33-36 Parte III Tutela dell’interessato e sanzioni – Titolo III Sanzioni - Capo I Violazioni amministrative – Artt. 161-166 - Capo II Illeciti penali – Artt. 167-172 Allegato B Disciplinare tecnico in materia di misure minime di sicurezza 1.4. Struttura e gestione del manuale Il presente Manuale è strutturato in sezioni numerate progressivamente. Ogni sezione presenta degli allegati individuati con un codice alfanumerico seguito da due numeri. Il primo numero identifica la Sezione del Manuale e il secondo il numero progressivo del documento, qualora una sezione presenti più di un allegato. Il Manuale deve essere tenuto ed aggiornato dal Titolare del Trattamento e deve essere soggetto a revisione periodica, I responsabili del trattamento hanno il compito di formulare le proposte di modificazione e integrazione, nonché di garantire la corretta applicazione e conservazione del manuale, nonché la distribuzione del medesimo, anche per via telematica. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.7 - Manuale Privacy Pagina 7 di 26 La versione del documento è riportata in basso a sinistra, contraddistinta da due numeri indicanti, rispettivamente, la versione e il numero di revisione del documento insieme alla data di approvazione dello stesso. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.8 - Manuale Privacy Pagina 8 di 26 2. SOGGETTI CHE EFFETTUANO IL TRATTAMENTO 2.1. Premessa In questa sezione sono definiti gli adempimenti necessari e le modalità per la nomina dei Responsabili del Trattamento e per l'individuazione degli incaricati per lo svolgimento delle singole operazioni di Trattamento. 2.2. Riferimenti normativi D.Lgs. n.196/2003 Parte I Disposizioni generali – Titolo IV Soggetti che effettuano il trattamento - Art. 28 (Titolare del trattamento) - Art. 29 (Responsabile del trattamento) - Art. 30 (Incaricati del trattamento) Parte I Disposizioni generali – Titolo III Regole generali per il trattamento dei dati - Capo I Regole per tutti i trattamenti - Artt. 11-17 - Capo III Regole ulteriori per privati ed enti pubblici economici - Artt. 23-27 2.3. Responsabilità L’art. 29 del DLgs 30 giugno 2003 n. 196 prevede per il Titolare la facoltà di designare un Responsabile del Trattamento, che è individuato tra soggetti aventi particolari qualità sia organizzative che di esperienza per garantire il pieno rispetto delle disposizioni normative. Lo stesso art. 29 del citato Testo Unico prevede, se reso necessario da particolari esigenze organizzative, la designazione come responsabili di più soggetti, anche mediante la suddivisione di compiti. Il Responsabile che effettua il trattamento deve attenersi alle istruzioni impartite dal Titolare, il quale ha l’obbligo di vigilare sulla osservanza delle disposizioni di legge. Il Titolare può prevedere verifiche periodiche del lavoro svolto dal Responsabile. I Responsabili del Trattamento possono designare degli incaricati, che materialmente effettueranno le operazioni di Trattamento. Gli incaricati dovranno operare sotto la diretta autorità del Responsabile, attenendosi alle istruzioni impartite. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.9 - Manuale Privacy Pagina 9 di 26 Il Titolare ed il Responsabile devono verificare che gli incaricati abbiano accesso ai soli dati particolari (ossia sensibili o giudiziari), per i quali è stato autorizzato l'accesso, che, come tale, deve essere strettamente limitato alle operazioni necessarie e sufficienti allo svolgimento delle operazioni loro affidate. 2.4 Nomina dei Responsabili Il responsabile del trattamento, scelto tra i soggetti interni all’azienda che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, è nominato utilizzando il modello predisposto (ALL.02.1), nel quale sono analiticamente indicati i compiti affidati dal Titolare. La nomina del Responsabile del Trattamento può riguardare anche soggetti esterni operanti in nome e per conto del Titolare. Questi soggetti agiscono per finalità definite dal titolare e non hanno poteri decisionali autonomi. Per la loro nomina deve essere utilizzato l’apposito modulo predisposto (ALL.02.2), previa l’esibizione da parte di tali soggetti dell’intera documentazione comprovante l’osservanza dei precetti imposti dalla Legge sulla Privacy. La nomina spetta sempre al Titolare del Trattamento, che dovrà prevederla negli atti di conferimento di incarichi (convenzioni, protocolli), o comunque dovrà essere prevista, per poi essere formalizzata con successivo atto nei contratti stipulati dall’azienda. La nomina di un soggetto esterno come Responsabile del Trattamento comporta che il trasferimento di dati personali dall’azienda al soggetto esterno non sia qualificabile tecnicamente come una comunicazione di informazioni. Nominare il soggetto privato come Responsabile del Trattamento fa sì che venga meno il rapporto di terzietà di quest'ultimo rispetto al legame Titolare dell’azienda - interessato al Trattamento; quindi la conoscenza dei dati di quest'ultimo, da parte del soggetto esterno, non è configurabile tecnicamente come una comunicazione. Il Titolare provvede a nominare il Responsabile interno utilizzando l'atto di nomina (ALL.02.1). Vengono specificati i compiti assegnati al Responsabile per iscritto, e tale conferimento di Responsabilità deve essere opportunamente firmato per accettazione. La documentazione originale deve essere conservata, mentre una copia deve essere consegnata al Responsabile del Trattamento. La mancata accettazione di tale Responsabilità comporta la preclusione a ricoprire l'incarico. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.10 - Manuale Privacy Pagina 10 di 26 Per ciò che concerne la nomina dei Responsabili esterni, questa deve essere espressamente accettata dal legale rappresentante pro-tempore, rappresentante del soggetto giuridico nominato, o dal soggetto che assumerà tale qualifica. Anche a tali Responsabili esterni deve essere consegnata la lettera di incarico con la specificazione analitica dei compiti assegnati e delle istruzioni relative (ALL.02.2). 2.5. Nomina degli Incaricati L'individuazione degli incaricati è effettuata a cura del Titolare o del Responsabile del Trattamento, quando nominato, mediante la modulistica predisposta (ALL.02.3). La designazione è effettuata per iscritto e individua puntualmente l’ambito di trattamento consentito. Ad ogni soggetto incaricato deve essere consegnata la lettera di incarico redatta in duplice copia, di cui una deve essere restituita al Responsabile, opportunamente firmata per ricevuta e da conservarsi agli atti. Gli Incaricati del Trattamento sono i soggetti che quotidianamente sono chiamati a rendere effettive le prescrizione del DLgs 196/2003. L’importanza di fornire istruzioni scritte, sia ai Responsabili che agli Incaricati del Trattamento, risiede nell’esigenza di sviluppare la consapevolezza e responsabilizzazione dei soggetti coinvolti affinché operino con le cautele necessarie per un legittimo Trattamento dei dati personali. Poiché maggiore è il numero di soggetti che hanno accesso ai dati, maggiori sono i rischi di identificazione dell'interessato e quindi le violazioni potenziali della riservatezza del medesimo, l'accesso alle diverse tipologie di dati è consentito ai soli incaricati del Trattamento sotto la diretta autorità del Titolare o del Responsabile. Questa disposizione prevede che non solo si debba procedere necessariamente alla individuazione degli incaricati, ma che questa nomina avvenga differenziando il profilo di ognuno nell’ambito delle finalità proprie del trattamento. L'autorizzazione deve essere comunque limitata ai soli dati la cui conoscenza è necessaria e sufficiente per lo svolgimento delle operazioni di Trattamento. Le autorizzazioni all'accesso sono rilasciate e revocate dal Titolare e/o dal Responsabile, che periodicamente, e comunque almeno una volta l'anno, deve verificare gli incarichi afferenti i dati sensibili in termini, sia di legittimità del Trattamento che della sussistenza delle cautele poste in essere per la conservazione dei medesimi dati. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.11 - Manuale Privacy Pagina 11 di 26 2.6. Allegati - ALL.02.1: Nomina dei Responsabili del Trattamento - ALL.02.2: Nomina di Responsabili esterni del Trattamento - ALL.02.3: Nomina degli incaricati del Trattamento TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.12 - Manuale Privacy Pagina 12 di 26 3. SICUREZZA DEI DATI E DEI SISTEMI 3.1. Premessa Il DLgs 196/2003 sancisce l’obbligo, per i soggetti coinvolti nelle operazioni di trattamento di dati personali, di adottare le idonee e preventive misure di sicurezza al fine di ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito di dati personali. La custodia e il controllo dei dati personali va adeguato alla natura dei dati e alle specifiche caratteristiche del trattamento, nonché alle conoscenze acquisite in base al progresso tecnologico. 3.2. Riferimenti normativi D.Lgs. n.196/2003 Parte I Disposizioni generali – Titolo V Sicurezza dei dati e dei sistemi - Capo I Misure di sicurezza – Art. 31 (Obblighi di sicurezza) - Capo II Misure minime di sicurezza – Artt. 33-36 Parte I Disposizioni generali – Titolo III Regole generali per il trattamento dei dati - Capo I Regole per tutti i trattamenti - Artt. 11-17 Allegato B Disciplinare tecnico in materia di misure minime di sicurezza 3.3. Responsabilità Il Titolare del Trattamento è tenuto ad adottare gli adempimenti previsti dal DLgs 196/2003. Per una miglior gestione e funzionalità organizzativa del processo, il Titolare provvede a nominare i Responsabili nonché gli Incaricati del Trattamento dei dati personali. A queste figure sono assegnati compiti non solo organizzativi e decisionali, ma anche di controllo e verifica dei processi. È da tener presente che, nonostante la possibilità di designare i Responsabili, il Titolare non può delegare a questi i poteri che la legge gli riconosce, e di conseguenza non può dirsi completamente deresponsabilizzato, in particolare con riferimento all'obbligo di adozione delle misure di sicurezza. 3.4. Misure minime di sicurezza Nell’ambito degli obblighi generali di sicurezza stabiliti con l’art. 31 del DLgs 196/2003, il titolare del trattamento è comunque tenuto all’adozione delle cosiddette misure minime di sicurezza individuate con gli artt. da 33 a 36 del TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.13 - Manuale Privacy Pagina 13 di 26 DLgs 196/2003. Il nuovo Testo Unico in materia di trattamento di dati personali prevede l'obbligo di adozione di idonee misure di sicurezza, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del Trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, i rischi di accesso non autorizzato e quelli di Trattamento non consentito o non conforme alle finalità della raccolta. Si tratta di un obbligo che deve essere assolto dal Titolare, il quale può nominare uno o più Responsabili, che devono fornire, ai sensi dell'art. 29 del D.Lgs. n.196/2003, idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di Trattamento. La norma in oggetto deve essere letta congiuntamente all'art. 15 della medesima legge sulla Privacy che, per i casi in cui si cagioni un danno ad altri per effetto del Trattamento, anche a seguito della mancata adozione di idonee misure di sicurezza, prevede l’obbligo di risarcire il danno ai sensi dell'art. 2050 c.c. Il richiamo dell'art. 2050 (attività pericolosa) comporta un'inversione dell'onere della prova, per cui, in caso di lesione, al danneggiato spetterà solo provare il danno e il nesso di causalità tra questo e la mancata adozione di misure idonee. Ai sensi dell'art. 2050 del c.c. il danneggiante dovrà provare, invece, di aver adottato tutte le misure idonee ad evitare il danno stesso. Gli articoli da 33 a 36 del Testo Unico prevedono, come detto, l'obbligo di adozione delle misure minime di sicurezza che sono ulteriormente individuate dal Disciplinare tecnico di cui all’allegato B del Testo Unico citato: la mancata adozione delle misure de quo comporterà una responsabilità penale ai sensi dell'art. 169 del D.Lgs. n.196/2003, che sanziona la fattispecie dell'omessa adozione di misure di sicurezza. Tra le misure minime previste dal Testo Unico è prevista la redazione di un Documento Programmatico sulla Sicurezza (DPS). Obbiettivo principale del Documento Programmatico sulla Sicurezza (DPS) è quello di fornire un resoconto dettagliato delle misure di sicurezza adottate dall’Azienda titolare di trattamenti di dati personali per evitare, o ridurre al minimo, il verificarsi di qualsiasi tipo di evento dannoso o pericoloso (Rischio) a carico degli stessi dati personali. Nel DPS vengono individuati, descritti e valutati i rischi e le conseguenti misure di sicurezza adeguate alla protezione della sicurezza delle aree, dei dati TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.14 - Manuale Privacy Pagina 14 di 26 e delle trasmissioni, al fine di ridurre al minimo i rischi stessi. 3.4.1. Documento Programmatico sulla Sicurezza (DPS) Il Documento Programmatico sulla Sicurezza si compone dei punti previsti nel Disciplinare tecnico in materia di misure minime di sicurezza (Allegato B D.Lgs. 196/2003). Le sezioni in cui è strutturato sono le seguenti. - Elenco dei trattamenti di dati personali (regola 19.1). In questa sezione sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione, ecc.) interna o esterna operativamente preposta, nonché degli strumenti impiegati. - Distribuzione dei compiti e delle responsabilità (regola 19.2). Questa sezione contiene la descrizione sintetica dell’organizzazione della struttura in relazione ai trattamenti da questa effettuati con i relativi compiti e responsabilità. - Analisi dei rischi che incombono sui dati (regola 19.3). Questa sezione descrive gli eventi potenzialmente dannosi per la sicurezza dei dati e ne valuta le possibili conseguenze e la gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici impiegati. - Misure in essere e da adottare (regola 19.4). In questa sezione sono elencate in forma sintetica le misure in essere e da adottare a contrasto dei rischi individuati dall’analisi dei rischi Vengono considerati, cioè, sia gli interventi tecnici o organizzativi specifici posti in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia, sia le attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. - Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5). In questa sezione sono descritti i criteri e le procedure adottate per il ripristino dei dati in caso di loro danneggiamento o di inaffidabilità della base dati. - Pianificazione degli interventi formativi previsti (regola 19.6). Questa sezione contiene la previsione degli interventi formativi previsti per gli incaricati dei trattamenti al fine di renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali, delle responsabilità che derivano TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.15 - Manuale Privacy Pagina 15 di 26 dalle attività svolte e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. - Trattamenti affidati all’esterno (regola 19.7). Questa sezione contiene un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati personali, con l’indicazione del quadro giuridico e contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce. - Cifratura dei dati o separazione dei dati identificativi (regola 19.8). Questa sezione riporta le modalità di protezione scelte per i dati sensibili con l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’interessato. 3.5. Controllo del processo di Trattamento L'art. 11 del DLgs 196/2003 prevede che i dati personali oggetto di Trattamento debbano essere: - trattati in modo lecito e secondo correttezza, ossia in modo conforme rispetto alle norme giuridiche e alle regole informatiche. - Raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in operazioni di Trattamento in termini non incompatibili con tali scopi. La finalità costituisce l'elemento cardine del Trattamento e la sua esplicitazione impedisce un uso plurimo e imprevedibile dei dati. - Esatti e, se necessario, aggiornati. - Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati - Conservati in una forma che consenta l'identificazione dell'interessato per un periodo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Il rispetto dei punti precedenti è demandato al Titolare o ai Responsabili che hanno il compito di procedere ai controlli. In tale contesto si colloca l’allegato DPS.01, che riporta l’elenco dei trattamenti svolti dall’azienda. In esso sono riportate le informazioni che consentono la completa caratterizzazione del trattamento, specie nei riguardi della natura dei dati trattati, nella comunicazione e diffusione dei dati, nella TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.16 - Manuale Privacy Pagina 16 di 26 specificazione delle categorie interessate, nelle finalità e modalità del trattamento. La definizione dettagliata dei vari campi che compongono l’allegato è riportata nel Documento Programmatico sulla Sicurezza. Un Trattamento di dati, in estrema sintesi, è una qualunque operazione o complesso di operazioni svolte con o senza l'ausilio di mezzi elettronici o comunque automatizzati. Le operazioni possono riguardare la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione, la distruzione dei dati. La raccolta dei dati può essere effettuata direttamente presso l'interessato ovvero presso terzi. Dal punto di vista operativo il procedimento di Trattamento dei dati personali è in generale caratterizzato da tre distinte fasi: 1) raccolta dati presso l'interessato o richiesta di comunicazione di dati personali a enti o persone giuridiche; 2) complesso delle operazioni di Trattamento interne; 3) fase della comunicazione e/o della diffusione. Nella prima fase occorre verificare se la raccolta di dati, da parte dell’azienda, sia necessaria per lo svolgimento di funzioni istituzionali. La seconda fase può essere ulteriormente classificata in due differenti categorie. Sono definite 'operazioni statiche' tutte quelle operazioni che non alterano il dato (registrazione, conservazione, organizzazione, blocco, cancellazione, distruzione, ecc.). Si definiscono 'operazioni dinamiche' quel complesso di operazioni che alterano il dato, generando informazioni di secondo livello che possono essere profondamente diverse da quelle inizialmente raccolte (elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, ecc.). La terza fase, costituita dalla comunicazione, riguarda il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato. Tale comunicazione può avvenire in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Una forma particolare di comunicazione è la diffusione, che consiste nel dare conoscenza dei dati personali a soggetti indeterminati. La differenza fra la comunicazione e la diffusione è, dunque, data dalla determinatezza o meno del soggetto destinatario delle informazioni. Queste due operazioni comportano i rischi maggiori per gli interessati e perciò la legge TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.17 - Manuale Privacy Pagina 17 di 26 prevede quanto segue: 1) l'interessato deve essere informato sulle categorie di soggetti ai quali i dati possono essere comunicati e sull'ambito di diffusione dei dati medesimi; 2) se i dati (di natura comune) sono trattati da un soggetto privato o da un Ente pubblico economico per poter essere trasferiti ad un terzo occorre il consenso dell'interessato, salvo i casi di esclusione, previsti dalla legge; 3) se i dati (sempre di natura comune) sono trattati da un soggetto pubblico, per essere comunicati o diffusi a soggetti privati (come destinatari) occorre una previsione specifica di legge o di regolamento; 4) se i dati trattati sono di natura sensibile, per poter essere trasferiti a terzi non previsti istituzionalmente occorre rispettivamente il consenso scritto dell'interessato, quando il Titolare sia un soggetto privato, una espressa autorizzazione di legge, nel caso dei soggetti pubblici. Le azioni di monitoraggio delle attività di Trattamento servono per avere un quadro generale e per verificare la compatibilità della situazione reale con le previsioni normative. In particolare sono previste, oltre alle già citate schede contenute nell’allegato DPS.01, le schede tecniche riportate negli allegati DPS.01.1, DPS.01.2 e DPS.01.1, relative, rispettivamente, alle banche dati, agli strumenti elettronici e agli strumenti non elettronici adoperati per le operazioni di trattamento dei dati personali. Tali schede sono utili per avere un quadro completo delle risorse tecniche dell’azienda. Vengono, infatti, monitorati gli strumenti informatici e telematici utilizzati e le banche dati costituite e detenute nell’azienda, sia sotto forma di database elettronici, sia sotto forma di archivi cartacei. La definizione dettagliata dei vari campi che compongono le schede è riportata nel Documento Programmatico sulla Sicurezza. Più in dettaglio, l’Allegato DPS.01.1 elenca le banche dati (ovvero il Database o l’archivio informatico) in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. La definizione dettagliata dei vari campi che compongono le schede è riportata nel Documento Programmatico sulla Sicurezza. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.18 - Manuale Privacy Pagina 18 di 26 L’allegato DPS.01.2 elenca gli strumenti elettronici che sono utilizzati per le operazioni di trattamento svolte in modalità informatizzata. In tale allegato sono inclusi sia gli strumenti hardware di qualsiasi tipo essi siano (Personal computer, computer palmare, dispositivo di backup, firewall, ecc.), sia gli strumenti software (sistemi operativi, antivirus, programmi generici, ecc.). La definizione dettagliata dei vari campi che compongono le schede è riportata nel Documento Programmatico sulla Sicurezza. L’allegato DPS.01.3 elenca gli strumenti non elettronici che sono utilizzati per le operazioni di trattamento svolte in modalità non informatizzata. In tale allegato sono inclusi i dispositivi utilizzati per proteggere i dati da eventi esterni quali furti o distruzione (archivio, armadio blindato, cassaforte, ecc.). La definizione dettagliata dei vari campi che compongono le schede è riportata nel Documento Programmatico sulla Sicurezza. Nelle schede relative alle strutture coinvolte nelle operazioni di trattamento (allegato DPS.02) vengono raccolti tutti i dati relativi alle strutture preposte al trattamento di dati personali. Lo scopo è quello di raccogliere una serie di dati e di informazioni al fine di creare dei profili degli incaricati del Trattamento. In particolare per ogni struttura individuata è riportato il soggetto responsabile della medesima, cioè il soggetto dirigente o responsabile della struttura (da non confondere con la figura del responsabile del trattamento), con l’indicazione del ruolo o la qualifica. Sono riportati, inoltre, i trattamenti svolti dalla struttura e i compiti assegnati alla struttura. Sono altresì descritti sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza (acquisizione e caricamento dei dati, gestione tecnica dei database, manutenzione dei programmi, ecc.). 3.6. Controllo della qualità e della quantità dei dati trattati Un altro obbligo costituente un'assoluta novità per chi tratta dati personali è dato dalla necessità di controllare sia la qualità sia la quantità dei dati, con riferimento soprattutto alla finalità dei trattamenti. I dati raccolti e successivamente trattati devono essere: esatti: il dato deve riprodurre con esattezza la fonte, che, nel caso di dati sensibili e qualora non sia stata specificamente indicata, si intende rilevata direttamente presso l’interessato. A tal proposito, nelle istruzioni impartite agli incaricati è stato previsto che essi devono prestare particolare attenzione alla raccolta dei dati. A volte i dati possono provenire da più fonti, TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.19 - Manuale Privacy Pagina 19 di 26 sorgendo così la necessità di armonizzazione, eliminando discrasie e divergenze. Sempre nelle istruzioni impartite ai Responsabili e agli incaricati si fa riferimento a questa necessità; aggiornati: l'aggiornamento riguarda una specie dell'esattezza, tanto che è richiesto solo se necessario. Questo significa che, se l’azienda raccoglie dati e li tratta esclusivamente in modo statico, deve solo controllarne l'esattezza. Diversamente, quando i dati vengono trattati in modo dinamico, l’azienda deve prevedere una serie di procedure per l'aggiornamento, curando ancora l'eventuale armonizzazione, qualora possano essere più di una le fonti di aggiornamento; pertinenti: è la caratteristica fondamentale del dato e costituisce un elemento fondamentale per la gestione, soprattutto nella fase di comunicazione e/o diffusione. Infatti quando perviene una richiesta di comunicazione, occorre verificare se vi è una copertura normativa (ossia una previsione di legge o di regolamento della comunicazione), ma questo non basta. Qualora il trasferimento sia legittimo, occorre anche verificare quali dati siano pertinenti rispetto allo scopo della comunicazione stessa; non eccedenti le finalità: mentre la pertinenza attiene maggiormente ad un ambito qualitativo, la finalità attiene maggiormente ad un profilo qualitativo; completi: attiene sia alla finalità della banca dati, sia ai dati stessi memorizzati. 3.7. Azioni correttive e di miglioramento Per azione correttiva si intende un'azione intrapresa per eliminare le cause di non conformità, difetti o altre situazioni non desiderate, al fine di eliminare la possibilità che simili evenienze abbiano a ripetersi. Le azioni correttive possono comportare modifiche di procedure e di sistemi al fine di ottenere un miglioramento della qualità del Trattamento dei dati personali. Non bisogna confondere l’azione correttiva con la correzione. La prima si riferisce all'eliminazione delle cause che hanno generato una non conformità, mentre per correzione ci si riferisce alle azioni pratiche intraprese per risolvere il problema manifestatosi. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.20 - Manuale Privacy Pagina 20 di 26 L'apertura di una azione correttiva (ALL.03.8) si può avere in seguito alle informazioni derivanti dai rapporti delle verifiche ispettive interne, delle non conformità, dei reclami e delle indagini conoscitive, dell'analisi dei processi e del riesame della direzione. I Responsabili dei trattamenti devono verificare periodicamente le attività connesse al Trattamento, riferendo al Titolare su eventuali non conformità riscontrate. Devono, inoltre, programmare le attività di controllo sull'operato degli incaricati, verificando in particolare modo il rispetto delle istruzioni, anche mediante visite ispettive a sorpresa, e il rispetto delle misure minime di sicurezza. 3.8. Modulistica I modelli riportati in allegato consentono la raccolta e la gestione sistematica delle situazioni indesiderate accadute all’interno dell’Azienda. In particolare i modelli ALL.03.1, ALL.03.3, ALL.03.3 e ALL.03.4 servono per la raccolta, rispettivamente, degli inconvenienti causati da attacchi di virus ai sistemi informatici, guasti hardware, inconvenienti legati a malfunzionamento di sistemi software e, infine, guasti causati dal malfunzionamento di strumenti non informatici o non elettronici in genere. Di ciascuno degli accadimenti riscontrati è necessario riportare la gravità dell’evento e l’azione correttiva intrapresa nell’immediato per fronteggiare l’evento capitato. Sono previsti modelli per il carico e scarico della documentazione sensibile (ALL.03.05), nei quali vanno registrati i dati del richiedente la documentazione, la finalità della richiesta, la modalità di acquisizione, ecc. . L’ALL.03.6 viene utilizzato per la nomina dell’incaricato di accesso ai locali ove avviene il trattamento di dati personali. A tale soggetto spetta, in primo luogo, di impedire l’intrusione nei locali delle persone non autorizzate e/o di identificare e registrare i soggetti ammessi dopo l’orario di chiusura dei locali stessi. Infine l’ALL.03.7 contiene la dichiarazione di cui all’art. 180, comma 2 del DLgs 196/2003. Tale dichiarazione, prestata dal Titolare del trattamento, attesta l’impossibilità, per obiettive ragioni tecniche, di consentire l’applicazione delle misure minime di sicurezza. 3.9. Allegati - ALL.DPS: Documento Programmatico sulla Sicurezza - ALL.DPS.01: Elenco dei trattamenti di dati personali - ALL.DPS.01.1: Elenco delle banche dati TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.21 - Manuale Privacy Pagina 21 di 26 - ALL.DPS.01.2: Strumenti per il trattamento dei dati in modalità informatizzata - ALL.DPS.01.3: Strumenti per il trattamento non informatizzato - ALL.DPS.02: Distribuzione dei compiti e delle responsabilità - ALL.DPS.03: Analisi dei rischi che incombono sui dati - ALL.DPS.04: Misure in essere e da adottare - ALL.DPS.05: Criteri e modalità di ripristino della disponibilità dei dati - ALL.DPS.06: Pianificazione degli interventi formativi previsti - ALL.DPS.07: Trattamenti affidati all’esterno - ALL.DPS.08: Cifratura dei dati o separazione dei dati identificativi - ALL.03.1: Report virus - ALL.03.2: Report hardware - ALL.03.3: Report software - ALL.03.4: Report strumenti non elettronici - ALL.03.5: Registro carico/scarico documentazione sensibile - ALL.03.6: Nomina incaricati accesso ai locali ove avviene il trattamento - ALL.03.7: Dichiarazione ai sensi dell’art. 180, comma 2 del DLgs 196/2003 - ALL.03.8: Richiesta di azioni correttive TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.22 - Manuale Privacy Pagina 22 di 26 4. DIRITTI DELL’INTERESSATO 4.1. Premessa Questa sezione del Manuale si occupa di formalizzare tutti gli adempimenti che l’azienda deve obbligatoriamente seguire nei riguardi del soggetto interessato al trattamento di dati personali e, più in generale, della gestione di tutte le richieste che giungono dall’esterno. In dettaglio, ai sensi dell’art. 7 del DLgs 196/2003, sono formalizzate le procedure da adottare per il rispetto delle richieste dell’interessato e per la gestione operativa delle stesse. Inoltre sono descritte le procedure di cui all’art. 13 del DLgs 196/2003 in tema di informativa da fornire agli interessati e di raccolta del consenso al trattamento di dati personali. 4.2. Riferimenti normativi D.Lgs. n.196/2003 Parte I Disposizioni generali – Titolo II Diritti dell'interessato - Art. 7 (Diritto di accesso ai dati personali ed altri diritti) - Art. 8 (Esercizio dei diritti) - Art. 9 (Modalita di esercizio) - Art. 10 (Riscontro all'interessato) Parte I Disposizioni generali – Titolo III Regole generali per il trattamento dei dati - Capo I Regole per tutti i trattamenti - Artt. 11-17 - Capo III Regole ulteriori per privati ed enti pubblici economici - Artt. 23-27 4.3. Responsabilità Il Responsabile del trattamento ed i singoli incaricati sono tenuti a fornire le informative approvate dal Titolare del Trattamento. Le informative possono essere fornite agli interessati anche dagli incaricati del Trattamento, con libertà di forme decise dai Responsabili. Particolare attenzione deve essere prestata ai moduli per ottenere il consenso degli interessati per il Trattamento dei dati sensibili. Tali moduli devono essere approvati dal Titolare del Trattamento. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.23 - Manuale Privacy Pagina 23 di 26 Possono ricevere il consenso al Trattamento anche gli incaricati che provvedono alla elaborazione della documentazione ed alla conservazione della relativa modulistica secondo quanto previsto nelle istruzioni impartite loro. 4.4. Esercizio dei diritti Per facilitare l'esercizio dei diritti dell'interessato, ai sensi dell'articolo 7 del DLgs 196/2003 il titolare del trattamento ha adottato una apposita procedura (ALL.04.1), disciplinante le modalità per rispondere tempestivamente alle richieste avanzate dagli interessati. Inoltre è stato predisposto un modulo (ALL.04.2), che gli interessati possono richiedere agli incaricati del trattamento, per l'esercizio delle diverse facoltà previste. 4.5. Informativa all’interessato Il DLgs 196/2003 prevede una serie di obblighi di trasparenza che si sostanziano nella necessità di fornire una pluralità di informazioni all'interessato (art. 13 del D.Lgs. n.196/2003) e di comunicare al Garante per la Protezione dei Dati Personali alcuni elementi relativi alle attività svolte. Al momento della raccolta dei dati occorre fornire all'interessato, o al terzo, presso il quale i dati sono raccolti, una informativa secondo quanto previsto dall'art. 13 del DLgs 196/2003, il quale, infatti, specifica che ‘l'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa le finalità e le modalità del trattamento cui sono destinati i dati’. L'informativa ha il duplice scopo di consentire all'interessato di conoscere l'identità di chi sta trattando dati personali che lo riguardano, per quali finalità e modalità e ciò al fine di controllare ed esercitare i diritti riconosciuti dalla legge in ordine all'utilizzo dei propri dati personali; in secondo luogo, nei casi in cui sia necessario, le informazioni servono a rendere edotto il soggetto chiamato ad esprimere il proprio consenso al Trattamento liberamente e in forma specifica. È da considerare che i soggetti pubblici, per poter trattare i dati personali, non necessitano di ottenere il previo consenso da parte degli interessati. La legge sulla privacy a tal proposito prevede due regimi di legittimazione diversi a seconda della natura dei soggetti titolari del Trattamento: a) Soggetto privato: se a procedere al Trattamento è un soggetto privato (cui sono equiparati gli enti pubblici economici), questo deve chiedere preliminarmente il consenso all'interessato, salvo i casi di esclusione espressamente previsti TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.24 - Manuale Privacy Pagina 24 di 26 dal legislatore; b) Soggetto pubblico: per i soggetti pubblici, al contrario, vige il principio di finalità istituzionale (o, secondo altri, di competenza), ossia essi possono trattare solo i dati che sono necessari per lo svolgimento di funzioni istituzionali. L'art. 13 del Testo Unico in materia di trattamento dei dati personali indica una serie di elementi che devono essere necessariamente presenti nell'informativa che il Titolare del Trattamento dei dati personali deve obbligatoriamente rendere all'interessato o alla persona presso la quale sono raccolti i dati. Per completezza dell’argomento si ricorda comunque che il legislatore ha anche previsto la possibilità di poter omettere le informazioni che siano già note alla persona che fornisce i dati o all'interessato. Le informazioni da fornire riguardano: 1. il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del Titolare e, se designato, del Responsabile; 2. le finalità e le modalità del Trattamento; 3. la natura obbligatoria o facoltativa del conferimento dei dati; 4. le conseguenze di un eventuale rifiuto; 5. i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi; 6. i diritti di cui all'articolo 7 del DLgs 196/2003. Al fine di permettere il più agevole raggiungimento ed il maggiore soddisfacimento degli scopi previsti nell’art. 13 del DLgs 196/2003 e garantire agli interessati un reale, efficace e trasparente controllo del Trattamento dei dati personali che li riguardano, si è ritenuto di fornire sempre un’informativa scritta anche nei casi in cui la normativa consente la possibilità di fornire una informativa solo orale o per i casi di trattamento non condizionato dal previo consenso dell’interessato in quanto rientrante integralmente nella previsione dei casi di esclusione del consenso previsti dalla normativa. 4.6. Garanzie per i dati sensibili Ai sensi dell’art. 26 del DLgs 196/2003 i soggetti privati possono effettuare trattamento di dati sensibili solo con il consenso scritto dell’interessato e previa autorizzazione del Garante. Tale principio non si applica ai dati relativi agli aderenti alle confessioni religiose o ad organizzazione di carattere sindacale. TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.25 - Manuale Privacy Pagina 25 di 26 Inoltre i dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante, quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, a carattere politico, filosofico, religioso o sindacale. Gli esercenti professioni sanitarie trattano i dati personali idonei a rivelare lo stato di salute con il consenso dell’interessato e anche senza autorizzazione del Garante se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità dell’interessato. È possibile il trattamento anche senza il consenso dell’interessato e previa autorizzazione del Garante, se la finalità di cui al precedente punto riguardano un terzo o la collettività. Per i casi citati il consenso è prestato con modalità semplificate, disciplinate dagli artt. 78, 79 e 80 del DLgs 196/2003. 4.7. Allegati - ALL.04.1: Procedura per la gestione delle richieste degli interessati - ALL.04.2: Modello per l'esercizio dei diritti da parte dell'interessato - ALL.04.3: Modello per informativa agli interessati - ALL.04.4: Modello per la richiesta del consenso al trattamento TOMARMI S.R.L. Manuale della Privacy Manuale della Privacy Ver.: 0.0 - 18/01/2006 Sezione 0.26 - Manuale Privacy Pagina 26 di 26