|
Decreto legislativo 30 giugno 2003, n. 196
Codice in materia di protezione dei dati personali
Articoli 1-186
Allegato B - Disciplinare tecnico in materia di misure minime di sicurezza
Allegato C - Trattamenti non occasionali effettuati in ambito giudiziario o
per fini di polizia
Tavola di corrispondenza dei riferimenti previgenti
ALLEGATO A
Codici di deontologia
A. 1- Codice di deontologia relativo al trattamento dei dati
personali nell'esercizio dell'attività giornalistica
A. 2 - Codice di deontologia e di buona condotta per i trattamenti di dati
personali per scopi storici
A. 3 - Codice di deontologia e di buona condotta per i trattamenti di dati
personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del
sistema statistico nazionale
A. 1 CODICE DI DEONTOLOGIA RELATIVO AL TRATTAMENTO DEI
DATI PERSONALI NELL'ESERCIZIO DELL'ATTIVITÀ GIORNALISTICA
(Provvedimento del Garante del 29 luglio 1998, in G.U. 3 agosto 1998, n. 179)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Visto l'art. 25 della legge 31 dicembre 1996, n. 675, come modificato
dall'art. 12 del decreto legislativo 13 maggio 1998, n. 171, secondo il quale il
trattamento dei dati personali nell'esercizio della professione giornalistica
deve essere effettuato sulla base di un apposito codice di deontologia, recante
misure ed accorgimenti a garanzia degli interessati rapportati alla natura dei
dati, in particolare per quanto riguarda i dati idonei a rivelare lo stato di
salute e la vita sessuale;
Visto il comma 4-bis dello stesso art. 25, secondo il quale tale codice è
applicabile anche all'attività dei pubblicisti e dei praticanti giornalisti,
nonché a chiunque tratti temporaneamente i dati personali al fine di
utilizzarli per la pubblicazione occasionale di articoli, di saggi e di altre
manifestazioni di pensiero;
Visto il comma 2 del medesimo art. 25, secondo il quale il codice di deontologia
è adottato dal Consiglio nazionale dell'ordine dei giornalisti in cooperazione
con il Garante, il quale ne promuove l'adozione e ne cura la pubblicazione nella
Gazzetta Ufficiale;
Vista la nota prot. n. 89/GAR del 26 maggio 1997, con la quale il Garante ha
invitato il Consiglio nazionale dell'ordine ad adottare il codice entro il
previsto termine di sei mesi dalla data di invio della nota stessa;
Vista la nota prot. n. 4640 del 24 novembre 1997, con il quale il Garante ha
aderito alla richiesta di breve differimento del predetto termine di sei mesi,
presentata il 19 novembre dal presidente del Consiglio nazionale dell'ordine;
Visto il provvedimento prot. n. 5252 del 18 dicembre 1997, con il quale il
Garante ha segnalato al Consiglio nazionale dell'ordine alcuni criteri da tenere
presenti nel bilanciamento delle libertà e dei diritti coinvolti dall'attività
giornalistica;
Vista la nota prot. n. 314 del 23 gennaio 1998, con la quale il Garante ha
formulato altre osservazioni sul primo schema di codice elaborato dal Consiglio
nazionale dell'ordine e trasmesso al Garante con nota prot. n. 7182 del 30
dicembre 1997;
Vista la nota prot. n. 204 del 15 gennaio 1998, con la quale il Garante, sulla
base della prima esperienza di applicazione della legge n. 675/1996 e dello
schema di codice elaborato, ha rappresentato al Ministro di grazia e giustizia
l'opportunità di una revisione dell'art. 25 della legge, che è stato poi
modificato con il citato decreto legislativo n. 171 del 13 maggio 1998;
Vista la nota prot. n. 5876 del 30 giugno 1998, con la quale il Garante ha
invitato il Consiglio nazionale dell'ordine ad apportare alcune residuali
modifiche all'ulteriore schema approvato dallo stesso Consiglio nella seduta del
26 e 27 marzo 1998 e trasmesso al Garante con nota prot. n. 1074 dell'8 aprile;
Constatata l'idoneità delle misure e degli accorgimenti a garanzia degli
interessati previsti dallo schema definitivo del codice di deontologia trasmesso
al Garante dal Consiglio nazionale dell'ordine con nota prot. n. 2210 del 15
luglio 1998;
Considerato che, ai sensi dell'art. 25, comma 2, della legge n. 675/1996, il
codice deve essere pubblicato nella Gazzetta Ufficiale, a cura del Garante, e
diviene efficace quindici giorni dopo la sua pubblicazione;
Dispone
La trasmissione del codice di deontologia che figura in allegato all'ufficio
pubblicazione leggi e decreti del Ministero di grazia e giustizia per la sua
pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 29 luglio 1998
IL PRESIDENTE
ORDINE DEI GIORNALISTI
CODICE DI DEONTOLOGIA RELATIVO AL TRATTAMENTO DEI DATI PERSONALI
NELL'ESERCIZIO DELL'ATTIVITÀ GIORNALISTICA
Art. 1 (Principi generali)
1. Le presenti norme sono volte a contemperare i diritti fondamentali della
persona con il diritto dei cittadini all'informazione e con la libertà di
stampa.
2. In forza dell'art. 21 della Costituzione, la professione giornalistica si
svolge senza autorizzazioni o censure. In quanto condizione essenziale per
l'esercizio del diritto dovere di cronaca, la raccolta, la registrazione, la
conservazione e la diffusione di notizie su eventi e vicende relativi a persone,
organismi collettivi, istituzioni, costumi, ricerche scientifiche e movimenti di
pensiero, attuate nell'ambito dell'attività giornalistica e per gli scopi
propri di tale attività, si differenziano nettamente per la loro natura dalla
memorizzazione e dal trattamento di dati personali ad opera di banche dati o
altri soggetti. Su questi principi trovano fondamento le necessarie deroghe
previste dai paragrafi 17 e 37 e dall'art. 9 della direttiva 95/46/CE del
Parlamento europeo e del Consiglio dell'Unione europea del 24 ottobre 1995 e
dalla legge n. 675/1996.
Art. 2 (Banche dati di uso redazionale e tutela degli archivi personali
dei giornalisti)
1. Il giornalista che raccoglie notizie per una delle operazioni di cui
all'art. 1, comma 2, lettera b), della legge n. 675/1996 rende note la propria
identità, la propria professione e le finalità della raccolta salvo che ciò
comporti rischi per la sua incolumità o renda altrimenti impossibile
l'esercizio della funzione informativa; evita artifici e pressioni indebite.
Fatta palese tale attività, il giornalista non è tenuto a fornire gli altri
elementi dell'informativa di cui all'art. 10, comma 1, della legge n. 675/1996.
2. Se i dati personali sono raccolti presso banche dati di uso redazionale,
le imprese editoriali sono tenute a rendere noti al pubblico, mediante annunci,
almeno due volte l'anno, l'esistenza dell'archivio e il luogo dove è possibile
esercitare i diritti previsti dalla legge n. 675/1996. Le imprese editoriali
indicano altresì fra i dati della gerenza il responsabile del trattamento al
quale le persone interessate possono rivolgersi per esercitare i diritti
previsti dalla legge n. 675/1996.
3. Gli archivi personali dei giornalisti, comunque funzionali all'esercizio
della professione e per l'esclusivo perseguimento delle relative finalità, sono
tutelati, per quanto concerne le fonti delle notizie, ai sensi dell'art. 2 della
legge n. 69/1963 e dell'art. 13, comma 5, della legge n. 675/1996.
4. Il giornalista può conservare i dati raccolti per tutto il tempo
necessario al perseguimento delle finalità proprie della sua professione.
Art. 3 (Tutela del domicilio)
1. La tutela del domicilio e degli altri luoghi di privata dimora si estende
ai luoghi di cura, detenzione o riabilitazione, nel rispetto delle norme di
legge e dell'uso corretto di tecniche invasive.
Art. 4 (Rettifica)
1. Il giornalista corregge senza ritardo errori e inesattezze, anche in
conformità al dovere di rettifica nei casi e nei modi stabiliti dalla legge.
Art. 5 (Diritto all'informazione e dati personali)
1. Nel raccogliere dati personali atti a rivelare origine razziale ed etnica,
convinzioni religiose, filosofiche o di altro genere, opinioni politiche,
adesioni a partiti, sindacati, associazioni o organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché dati atti a rivelare le
condizioni di salute e la sfera sessuale, il giornalista garantisce il diritto
all'informazione su fatti di interesse pubblico, nel rispetto dell'essenzialità
dell'informazione, evitando riferimenti a congiunti o ad altri soggetti non
interessati ai fatti.
2. In relazione a dati riguardanti circostanze o fatti resi noti direttamente
dagli interessati o attraverso loro comportamenti in pubblico, è fatto salvo il
diritto di addurre successivamente motivi legittimi meritevoli di tutela.
Art. 6 (Essenzialità dell'informazione)
1. La divulgazione di notizie di rilevante interesse pubblico o sociale non
contrasta con il rispetto della sfera privata quando l'informazione, anche
dettagliata, sia indispensabile in ragione dell'originalità del fatto o della
relativa descrizione dei modi particolari in cui è avvenuto, nonché della
qualificazione dei protagonisti.
2. La sfera privata delle persone note o che esercitano funzioni pubbliche
deve essere rispettata se le notizie o i dati non hanno alcun rilievo sul loro
ruolo o sulla loro vita pubblica.
3. Commenti e opinioni del giornalista appartengono alla libertà di
informazione nonché alla libertà di parola e di pensiero costituzionalmente
garantita a tutti.
Art. 7 (Tutela del minore)
1. Al fine di tutelarne la personalità, il giornalista non pubblica i nomi
dei minori coinvolti in fatti di cronaca, nè fornisce particolari in grado di
condurre alla loro identificazione.
2. La tutela della personalità del minore si estende, tenuto conto della
qualità della notizia e delle sue componenti, ai fatti che non siano
specificamente reati.
3. Il diritto del minore alla riservatezza deve essere sempre considerato
come primario rispetto al diritto di critica e di cronaca; qualora, tuttavia,
per motivi di rilevante interesse pubblico e fermo restando i limiti di legge,
il giornalista decida di diffondere notizie o immagini riguardanti minori, dovrà
farsi carico della responsabilità di valutare se la pubblicazione sia davvero
nell'interesse oggettivo del minore, secondo i principi e i limiti stabiliti
dalla "Carta di Treviso".
Art. 8 (Tutela della dignità delle persone)
1. Salva l'essenzialità dell'informazione, il giornalista non fornisce
notizie o pubblica immagini o fotografie di soggetti coinvolti in fatti di
cronaca lesive della dignità della persona, nè si sofferma su dettagli di
violenza, a meno che ravvisi la rilevanza sociale della notizia o dell'immagine.
2. Salvo rilevanti motivi di interesse pubblico o comprovati fini di
giustizia e di polizia, il giornalista non riprende nè produce immagini e foto
di persone in stato di detenzione senza il consenso dell'interessato.
3. Le persone non possono essere presentate con ferri o manette ai polsi,
salvo che ciò sia necessario per segnalare abusi.
Art. 9 (Tutela del diritto alla non discriminazione)
1. Nell'esercitare il diritto dovere di cronaca, il giornalista è tenuto a
rispettare il diritto della persona alla non discriminazione per razza,
religione, opinioni politiche, sesso, condizioni personali, fisiche o mentali.
Art. 10 (Tutela della dignità delle persone malate)
1. Il giornalista, nel far riferimento allo stato di salute di una
determinata persona, identificata o identificabile, ne rispetta la dignità, il
diritto alla riservatezza e al decoro personale, specie nei casi di malattie
gravi o terminali, e si astiene dal pubblicare dati analitici di interesse
strettamente clinico.
2. La pubblicazione è ammessa nell'ambito del perseguimento dell'essenzialità
dell'informazione e sempre nel rispetto della dignità della persona se questa
riveste una posizione di particolare rilevanza sociale o pubblica.
Art. 11 (Tutela della sfera sessuale della persona)
1. Il giornalista si astiene dalla descrizione di abitudini sessuali riferite
ad una determinata persona, identificata o identificabile.
2. La pubblicazione è ammessa nell'ambito del perseguimento dell'essenzialità
dell'informazione e nel rispetto della dignità della persona se questa riveste
una posizione di particolare rilevanza sociale o pubblica.
Art. 12 (Tutela del diritto di cronaca nei procedimenti penali)
1. Al trattamento dei dati relativi a procedimenti penali non si applica il
limite previsto dall'art. 24 della legge n. 675/1996.
2. Il trattamento di dati personali idonei a rivelare provvedimenti di cui
all'art. 686, commi 1, lettere a) e d), 2 e 3, del codice di procedura penale è
ammesso nell'esercizio del diritto di cronaca, secondo i principi di cui
all'art. 5.
Art. 13 (Ambito di applicazione, sanzioni disciplinari)
1. Le presenti norme si applicano ai giornalisti professionisti, pubblicisti
e praticanti e a chiunque altro, anche occasionalmente, eserciti attività
pubblicistica.
2. Le sanzioni disciplinari, di cui al titolo III della legge n. 69/1963, si
applicano solo ai soggetti iscritti all'albo dei giornalisti, negli elenchi o
nel registro.
A. 2 CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER IL
TRATTAMENTO DI DATI PERSONALI PER SCOPI STORICI
(Provvedimento del Garante n. 8/P/21 del 14 marzo 2001, in G.U. 5 aprile
2001, n.80)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella seduta odierna, con la partecipazione del prof. Stefano Rodotà,
presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Ugo De
Siervo e dell'ing. Claudio Manganelli, componenti, e del dott. Giovanni
Buttarelli, segretario generale;
Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo e del
Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e la Commissione
incoraggiano l'elaborazione di codici di condotta destinati a contribuire, in
funzione delle specificità settoriali, alla corretta applicazione delle
disposizioni nazionali di attuazione della direttiva adottate dagli Stati
membri;
Visto l'art. 31, comma 1, lettera h) della legge 31 dicembre 1996, n. 675, il
quale attribuisce al Garante il compito di promuovere nell'ambito delle
categorie interessate, nell'osservanza del principio di rappresentatività, la
sottoscrizione di codici di deontologia e di buona condotta per determinati
settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso
l'esame di osservazioni di soggetti interessati e contribuire a garantirne la
diffusione e il rispetto;
Visto il decreto legislativo 30 luglio 1999, n. 281, in materia di trattamento
dei dati personali per finalità storiche, statistiche e di ricerca scientifica,
e in particolare il relativo art. 6, comma 1, il quale demanda al Garante il
compito di promuovere la sottoscrizione di uno o più codici di deontologia e di
buona condotta per i soggetti pubblici e privati, ivi comprese le società
scientifiche e le associazioni professionali, interessati al trattamento dei
dati per scopi storici;
Visto l'articolo 7, comma 5, del medesimo decreto legislativo n. 281/1999 ,
relativo ad alcuni profili che devono essere individuati dal codice per i
trattamenti di dati per scopi storici;
Visto il provvedimento 10 febbraio 2000 del Garante per la protezione dei dati
personali, pubblicato sulla Gazzetta Ufficiale n. 46 del 25 febbraio 2000, con
il quale il Garante ha promosso la sottoscrizione di uno o più codici di
deontologia e di buona condotta relativi del trattamento di dati personali per
scopi storici effettuati da archivisti e utenti ed ha invitato tutti i soggetti
aventi titolo a partecipare all'adozione del medesimo codice in base al
principio di rappresentatività a darne comunicazione al Garante entro il 31
marzo 2000;
Viste le comunicazioni pervenute al Garante in risposta al provvedimento del 10
febbraio 2000, con le quali diversi soggetti pubblici e privati, società
scientifiche ed associazioni professionali hanno manifestato la volontà di
partecipare alla redazione del codice e fra i quali è stato conseguentemente
costituito un apposito gruppo di lavoro composto da componenti della Commissione
consultiva per le questioni inerenti la consultabilità degli atti d'archivio
riservati, del Centro di Documentazione ebraica, del Ministero per i beni e le
attività culturali, dell'Associazione delle istituzioni culturali italiane,
dell'Associazione nazionale archivistica italiana, dell'istituto nazionale per
la storia del movimento di liberazione in Italia, della Società per lo studio
della storia contemporanea, dell'Istituto storico italiano per l'età moderna e
contemporanea, della Società per gli studi di storia delle istituzioni, della
Società italiana delle storiche, dell'istituto romano per la storia d'Italia
dal fascismo alla resistenza;
Considerato che il testo del codice è stato oggetto di ampia diffusione, anche
attraverso la sua pubblicazione su alcuni siti Internet, al fine di favorire il
più ampio dibattito e di permettere la raccolta di eventuali osservazioni e
integrazioni al testo medesimo da parte di tutti i soggetti interessati;
Vista la nota del 28 febbraio 2001 con cui il gruppo di lavoro ha trasmesso il
testo del codice di deontologia e di buona condotta per i trattamenti di dati
personali per scopi storici approvato e sottoscritto in pari data;
Rilevato che il rispetto delle disposizioni contenute nel codice costituisce
condizione essenziale per la liceità del trattamento dei dati personali;
Constatata la conformità del codice alle leggi e ai regolamenti in materia di
protezione delle persone rispetto al trattamento dei dati personali, ed in
particolare all' art. 31, comma 1, lettera h) della legge n. 675/1996, nonché
agli artt. 6 e 7 del decreto legislativo n. 281/1999;
Considerato che, ai sensi dell'art. 6, comma 1, del decreto legislativo n.
281/1999, il codice deve essere pubblicato nella Gazzetta Ufficiale della
Repubblica Italiana a cura del Garante;
Rilevato che anche dopo tale pubblicazione il codice potrà essere eventualmente
sottoscritto da altri soggetti pubblici e privati, società scientifiche ed
associazioni professionali interessati;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15
del regolamento del Garante n. 1/2000, adottato con deliberazione n. 15 del 28
giugno 2000 e pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n.
162 del 13 luglio 2000;
Dispone:
la trasmissione del codice di deontologia e di buona condotta per i
trattamenti di dati personali per scopi storici che figura in allegato
all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la
sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 14 marzo 2001
IL PRESIDENTE
IL RELATORE IL SEGRETARIO GENERALE
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI
PERSONALI PER SCOPI STORICI
Preambolo
I sottoindicati soggetti pubblici e privati sottoscrivono il presente codice
sulla base delle seguenti premesse:
1) Chiunque accede ad informazioni e documenti per scopi storici utilizza
frequentemente dati di carattere personale per i quali la legge prevede alcune
garanzie a tutela degli interessati, in considerazione dell'interesse pubblico
allo svolgimento di tali trattamenti, il legislatore - con specifico riguardo
agli archivi pubblici e a quelli privati dichiarati di notevole interesse
storico ai sensi dell'art. 36 del d.P.R. 30 settembre 1963 n. 1409 - ha esentato
i soggetti che utilizzano dati personali per le suddette finalità dall'obbligo
di richiedere il consenso degli interessati ai sensi degli artt. 12, 20 e 28
della legge (l. 31 dicembre 1996, n. 675, in particolare art. 27; dd.lg. 11
maggio 1999, n. 135 e 30 luglio 1999, n. 281, in particolare art. 7, comma 4;
d.P.R. 30 settembre 1963, n. 1409, e successive modificazioni e integrazioni).
2) L'utilizzazione di tali dati da parte di utenti ed archivisti deve pertanto
rispettare le previsioni di legge e quelle del presente codice di deontologia e
di buona condotta, l'osservanza del quale, oltre a rappresentare un obbligo
deontologico, costituisce condizione essenziale per la liceità del trattamento
dei dati (art. 31, comma 1, lettera h), l. 31 dicembre 1996, n. 675; art. 6,
d.lg. 30 luglio 1999, n. 281).
3) L'osservanza di tali regole non deve pregiudicare l'indagine, la ricerca, la
documentazione e lo studio ovunque svolti, in relazione a figure, fatti e
circostanze del passato.
4) I trattamenti di dati personali concernenti la conservazione, l'ordinamento e
la comunicazione dei documenti conservati negli Archivi di Stato e negli archivi
storici degli enti pubblici sono considerati di rilevante interesse pubblico
(art. 23 d.lg. 11 maggio 1999, n. 135).
5) La sottoscrizione del presente codice è promossa per legge dal Garante, nel
rispetto del principio di rappresentatività dei soggetti pubblici e privati
interessati. Il codice è espressione delle associazioni professionali e delle
categorie interessate, ivi comprese le società scientifiche, ed è volto ad
assicurare l'equilibrio delle diverse esigenze connesse alla ricerca e alla
rappresentazione di fatti storici con i diritti e le libertà fondamentali delle
persone interessate (art. 1, l. 31 dicembre 1996, n. 675).
6) Il presente codice, sulla base delle prescrizioni di legge, individua in
particolare: a) alcune regole di correttezza e di non discriminazione nei
confronti degli utenti da osservare anche nella comunicazione e diffusione dei
dati, armonizzate con quelle che riguardano il diritto di cronaca e la
manifestazione del pensiero; b) particolari cautele per la raccolta, la
consultazione e la diffusione di documenti concernenti dati idonei a rivelare lo
stato di salute, la vita sessuale o rapporti riservati di tipo familiare; c)
modalità di applicazione agli archivi privati della disciplina dettata in
materia di trattamento dei dati per scopi storici (art. 7, comma 5, d.lg. 30
luglio 1999, n. 281).
7) La sottoscrizione del presente codice è effettuata ispirandosi, oltre agli
artt. 21 e 33 della Costituzione della Repubblica italiana, alle pertinenti
fonti e documenti internazionali in materia di ricerca storica e di archivi e in
particolare:
a) agli artt. 8 e 10 della Convenzione europea per la salvaguardia dei diritti
dell'uomo e delle libertà fondamentali del 1950, ratificata dall'Italia con
legge 4 agosto 1955, n. 848 b) alla Raccomandazione N. R (2000) 13 del 13 luglio
2000 del Consiglio d'Europa;
c) agli artt. 1, 7, 8, 11 e 13 della Carta dei diritti fondamentali dell'Unione
europea;
d) ai Principi direttivi per una legge sugli archivi storici e gli archivi
correnti, individuati dal Consiglio internazionale degli archivi al congresso di
Ottawa nel 1996, e al Codice internazionale di deontologia degli archivisti
approvato nel congresso internazionale degli archivi, svoltosi a Pechino nel
1996.
Capo I
PRINCIPI GENERALI
Art. 1 (Finalità e ambito di applicazione)
1. Le presenti norme sono volte a garantire che l'utilizzazione di dati di
carattere personale acquisiti nell'esercizio della libera ricerca storica e del
diritto allo studio e all'informazione, nonché nell'accesso ad atti e
documenti, si svolga nel rispetto dei diritti, delle libertà fondamentali e
della dignità delle persone interessate, in particolare del diritto alla
riservatezza e del diritto all'identità personale.
2. Il presente codice detta disposizioni per i trattamenti di dati personali
effettuati per scopi storici in relazione ai documenti conservati presso archivi
delle pubbliche amministrazioni, enti pubblici ed archivi privati dichiarati di
notevole interesse storico. Il codice si applica, senza necessità di
sottoscrizione, all'insieme dei trattamenti di dati personali comunque
effettuati dagli utenti per scopi storici.
3. Il presente codice reca, altresì, principi-guida di comportamento dei
soggetti che trattano per scopi storici dati personali conservati presso archivi
pubblici e archivi privati dichiarati di notevole interesse storico, e in
particolare:
a) nei riguardi degli archivisti, individua regole di correttezza e di non
discriminazione nei confronti degli utenti, indipendentemente dalla loro
nazionalità, categoria di appartenenza, livello di istruzione;
b) nei confronti degli utenti, individua cautele per la raccolta,
l'utilizzazione e la diffusione dei dati contenuti nei documenti.
4. La competente sovrintendenza archivistica riceve comunicazione da parte di
proprietari, possessori e detentori di archivi privati non dichiarati di
notevole interesse storico o di singoli documenti di interesse storico, i quali
manifestano l'intenzione di applicare il presente codice nella misura per essi
compatibile.
Art. 2 (Definizioni)
1. Nell'applicazione del presente codice si tiene conto delle definizioni e
delle indicazioni contenute nella disciplina in materia di trattamento dei dati
personali e, in particolare, delle disposizioni citate nel preambolo. Ai
medesimi fini si intende, altresì:
a) per "archivista", chiunque, persona fisica o giuridica, ente o
associazione, abbia responsabilità di controllare, acquisire, trattare,
conservare, restaurare e gestire archivi storici, correnti o di deposito della
pubblica amministrazione, archivi privati dichiarati di notevole interesse
storico, nonché gli archivi privati di cui al precedente art. 1, comma 4;
b) per "utente", chiunque chieda di accedere o acceda per scopi
storici a documenti contenenti dati personali, anche per finalità
giornalistiche o di pubblicazione occasionale di articoli, saggi e altre
manifestazioni del pensiero;
c) per "documento", qualunque testimonianza scritta, orale o
conservata su qualsiasi supporto che contenga dati personali.
Capo II
REGOLE DI CONDOTTA PER GLI ARCHIVISTI E LICEITÀ DEI RELATIVI TRATTAMENTI
Art. 3 (Regole generali di condotta)
1. Nel trattare i dati di carattere personale e i documenti che li
contengono, gli archivisti adottano, in armonia con la legge e i regolamenti, le
modalità più opportune per favorire il rispetto dei diritti, delle libertà
fondamentali e della dignità delle persone alle quali si riferiscono i dati
trattati.
2. Gli archivisti di enti o istituzioni pubbliche si adoperano per il pieno
rispetto, anche da parte dei terzi con cui entrano in contatto per ragioni del
proprio ufficio o servizio, delle disposizioni di legge e di regolamento in
materia archivistica e, in particolare, di quanto previsto negli artt. 21 e
21-bis del d.P.R. 30 settembre 1963, n. 1409, come modificati dal d.lg. 30
luglio 1999, n. 281, dall'art. 7 del medesimo d.lg. n. 281, e successive
modificazioni ed integrazioni.
3. I soggetti che operano presso enti pubblici svolgendo funzioni
archivistiche, nel trattare dati di carattere personale si attengono ai doveri
di lealtà, correttezza, imparzialità, onestà e diligenza propri
dell'esercizio della professione e della qualifica o livello ricoperti. Essi
conformano il proprio operato al principio di trasparenza della attività
amministrativa.
4. I dati personali trattati per scopi storici possono essere ulteriormente
utilizzati per tali scopi, e sono soggetti in linea di principio alla medesima
disciplina indipendentemente dal documento in cui sono contenuti e dal luogo di
conservazione, ferme restando le cautele e le garanzie previste per particolari
categorie di dati o di trattamenti.
Art. 4 (Conservazione e tutela)
1. Gli archivisti si impegnano a:
a) favorire il recupero, l'acquisizione e la tutela dei documenti. A tal fine,
operano in conformità con i principi, i criteri metodologici e le pratiche
della professione generalmente condivisi ed accettati, curando anche
l'aggiornamento sistematico e continuo delle proprie conoscenze storiche,
amministrative e tecnologiche;
b) tutelare l'integrità degli archivi e l'autenticità dei documenti, anche
elettronici e multimediali, di cui promuovono la conservazione permanente, in
particolare di quelli esposti a rischi di cancellazione, dispersione ed
alterazione dei dati;
c) salvaguardare la conformità delle riproduzioni dei documenti agli originali
ed evitare ogni azione diretta a manipolare, dissimulare o deformare fatti,
testimonianze, documenti e dati;
d) assicurare il rispetto delle misure di sicurezza previste dall'art. 15 della
legge 31 dicembre 1996, n. 675 e dal d.P.R. 28 luglio 1999, n. 318 e successive
integrazioni e modificazioni, sviluppando misure idonee a prevenire l'eventuale
distruzione, dispersione o accesso non autorizzato ai documenti, e adottando, in
presenza di specifici rischi, particolari cautele quali la consultazione in
copia di alcuni documenti e la conservazione degli originali in cassaforte o
armadi blindati.
Art. 5 (Comunicazione e fruizione)
1. Gli archivi sono organizzati secondo criteri tali da assicurare il
principio della libera fruibilità delle fonti.
2. L'archivista promuove il più largo accesso agli archivi e, attenendosi al
quadro della normativa vigente, favorisce l'attività di ricerca e di
informazione nonché il reperimento delle fonti.
3. L'archivista informa il ricercatore sui documenti estratti temporaneamente
da un fascicolo perché esclusi dalla consultazione.
4. In caso di rilevazione sistematica dei dati realizzata da un archivio in
collaborazione con altri soggetti pubblici o privati, per costituire banche dati
di intere serie archivistiche, la struttura interessata sottoscrive una apposita
convenzione per concordare le modalità di fruizione e le forme di tutela dei
soggetti interessati, attenendosi alle disposizioni della legge, in particolare
per quanto riguarda il rapporto tra il titolare, il responsabile e gli
incaricati del trattamento, nonché i rapporti con i soggetti esterni
interessati ad accedere ai dati.
Art. 6 (Impegno di riservatezza)
1. Gli archivisti si impegnano a:
a) non fare alcun uso delle informazioni non disponibili agli utenti o non rese
pubbliche, ottenute in ragione della propria attività anche in via
confidenziale, per proprie ricerche o per realizzare profitti e interessi
privati. Nel caso in cui l'archivista svolga ricerche per fini personali o
comunque estranei alla propria attività professionale, è soggetto alle stesse
regole e ai medesimi limiti previsti per gli utenti;
b) mantenere riservate le notizie e le informazioni concernenti i dati personali
apprese nell'esercizio delle proprie attività.
2. L'archivista osserva tali doveri di riserbo anche dopo la cessazione dalla
propria attività.
Art. 7 (Aggiornamento dei dati)
1. L'archivista favorisce l'esercizio del diritto degli interessati
all'aggiornamento, alla rettifica o all'integrazione dei dati, garantendone la
conservazione secondo modalità che assicurino la distinzione delle fonti
originarie dalla documentazione successivamente acquisita.
2. Ai fini dell'applicazione dell'art. 13 della legge n. 675/1996, in
presenza di eventuali richieste generalizzate di accesso ad un'ampia serie di
dati o documenti, l'archivista pone a disposizione gli strumenti di ricerca e le
fonti pertinenti fornendo al richiedente idonee indicazioni per una loro agevole
consultazione.
3. In caso di esercizio di un diritto, ai sensi dell'art. 13, comma 3, della
legge n. 675/1996, da parte di chi vi abbia interesse in relazione a dati
personali che riguardano persone decedute e documenti assai risalenti nel tempo,
la sussistenza dell'interesse e valutata anche in riferimento al tempo
trascorso.
Art. 8 (Fonti orali)
1. In caso di trattamento di fonti orali, è necessario che gli intervistati
abbiano espresso il proprio consenso in modo esplicito, eventualmente in forma
verbale, anche sulla base di una informativa semplificata che renda nota almeno
l'identità e l'attività svolta dall'intervistatore nonché le finalità della
raccolta dei dati.
2. Gli archivi che acquisiscono fonti orali richiedono all'autore
dell'intervista una dichiarazione scritta dell'avvenuta comunicazione degli
scopi perseguiti nell'intervista stessa e del relativo consenso manifestato
dagli intervistati.
Capo III
REGOLE DI CONDOTTA PER GLI UTENTI E CONDIZIONI PER LA LICEITÀ DEI RELATIVI
TRATTAMENTI
Art. 9 (Regole generali di condotta)
1. Nell'accedere alle fonti e nell'esercitare l'attività di studio, ricerca
e manifestazione del pensiero, gli utenti, quando trattino i dati di carattere
personale, secondo quanto previsto dalla legge e dai regolamenti, adottano le
modalità più opportune per favorire il rispetto dei diritti, delle libertà
fondamentali e della dignità delle persone interessate.
2. In applicazione del principio di cui al comma 1, gli utenti utilizzano i
documenti sotto la propria responsabilità e conformandosi agli scopi perseguiti
e delineati nel progetto di ricerca, nel rispetto dei principi di pertinenza ed
indispensabilità di cui all'art. 7, del d.lg. 30 luglio 1999, n. 281.
Art. 10 (Accesso agli archivi pubblici)
1. L'accesso agli archivi pubblici è libero. Tutti gli utenti hanno diritto
ad accedere agli archivi con eguali diritti e doveri.
2. Fanno eccezione, ai sensi delle leggi vigenti, i documenti di carattere
riservato relativi alla politica interna ed estera dello Stato che divengono
consultabili cinquanta anni dopo la loro data e quelli contenenti i dati di cui
agli art. 22 e 24 della legge n. 675/1996, che divengono liberamente
consultabili quaranta anni dopo la loro data. Il termine è di settanta anni se
i dati sono idonei a rivelare lo stato di salute o la vita sessuale oppure
rapporti riservati di tipo familiare.
3. L'autorizzazione alla consultazione dei documenti di cui al comma 2 può
essere rilasciata prima della scadenza dei termini dal Ministro dell'Interno,
previo parere del direttore dell'Archivio di Stato o del sovrintendente
archivistico competenti e udita la Commissione per le questioni inerenti alla
consultabilità degli atti di archivio riservati istituita presso il Ministero
dell'Interno, secondo la procedura dettata dagli artt. 8 e 9 del decreto
legislativo n. 281/1999.
4. In caso di richiesta di autorizzazione a consultare i documenti di cui al
comma 2 prima della scadenza dei termini, l'utente presenta all'ente che li
conserva un progetto di ricerca che, in relazione alle fonti riservate per le
quali chiede l'autorizzazione, illustri le finalità della ricerca e le modalità
di diffusione dei dati. Il richiedente ha facoltà di presentare ogni altra
documentazione utile.
5. L'autorizzazione di cui al comma 3 alla consultazione è rilasciata a
parità di condizioni ad ogni altro richiedente. La valutazione della parità di
condizioni avviene sulla base del progetto di ricerca di cui al comma 4.
6. L'autorizzazione alla consultazione dei documenti, di cui al comma 3,
prima dello scadere dei termini, può contenere cautele volte a consentire la
comunicazione dei dati senza ledere i diritti, le libertà e la dignità delle
persone interessate.
7. Le cautele possono consistere anche, a seconda degli obiettivi della
ricerca desumibili dal progetto, nell'obbligo di non diffondere i nomi delle
persone, nell'uso delle sole iniziali dei nominativi degli interessati,
nell'oscuramento dei nomi in una banca dati, nella sottrazione temporanea di
singoli documenti dai fascicoli o nel divieto di riproduzione dei documenti.
Particolare attenzione è prestata al principio della pertinenza e
all'indicazione di fatti o circostanze che possono rendere facilmente
individuabili gli interessati.
8. L'autorizzazione di cui al comma 3 è personale e il titolare
dell'autorizzazione non può delegare altri al conseguente trattamento dei dati.
I documenti mantengono il loro carattere riservato e non possono essere
ulteriormente utilizzati da altri soggetti senza la relativa autorizzazione.
Art. 11 (Diffusione)
1. L'interpretazione dell'utente, nel rispetto del diritto alla riservatezza,
del diritto all'identità personale e della dignità degli interessati, rientra
nella sfera della libertà di parola e di manifestazione del pensiero
costituzionalmente garantite.
2. Nel far riferimento allo stato di salute delle persone l'utente si astiene
dal pubblicare dati analitici di interesse strettamente clinico e dal descrivere
abitudini sessuali riferite ad una determinata persona identificata o
identificabile.
3. La sfera privata delle persone note o che abbiano esercitato funzioni
pubbliche deve essere rispettata nel caso in cui le notizie o i dati non abbiano
alcun rilievo sul loro ruolo o sulla loro vita pubblica.
4. In applicazione di quanto previsto dall'art. 7, comma 2, del d.lg. n.
281/1999, al momento della diffusione dei dati il principio della pertinenza è
valutato dall'utente con particolare riguardo ai singoli dati personali
contenuti nei documenti, anziché ai documenti nel loro complesso. L'utente può
diffondere i dati personali se pertinenti e indispensabili alla ricerca e se gli
stessi non ledono la dignità e la riservatezza delle persone.
5. L'utente non è tenuto a fornire l'informativa di cui all'art.
10, comma 3, della legge n. 675/1996 nei casi in cui tale adempimento
comporti l'impiego di mezzi manifestamente sproporzionati.
6. L'utente può utilizzare i dati elaborati o le copie dei documenti
contenenti dati personali, accessibili su autorizzazione, solo ai fini della
propria ricerca, e ne cura la riservatezza anche rispetto ai terzi.
Art. 12 (Applicazione del codice)
1. I soggetti pubblici e privati, comprese le società scientifiche e le
associazioni professionali, che siano tenuti ad applicare il presente codice si
impegnano, con i modi e nelle forme previste dai propri ordinamenti, a
promuoverne la massima diffusione e la conoscenza, nonché ad assicurarne il
rispetto.
2. Nel caso degli archivi degli enti pubblici e degli archivi privati
dichiarati di notevole interesse storico, le sovrintendenze archivistiche
promuovono la diffusione e l'applicazione del codice.
Art. 13 (Violazione delle regole di condotta)
1. Nell'ambito degli archivi pubblici le amministrazioni competenti applicano
le sanzioni previste dai rispettivi ordinamenti.
2. Le società e le associazioni tenute ad applicare il presente codice
adottano, sulla base dei propri ordinamenti e regolamenti, le opportune misure
in caso di violazione del codice stesso, ferme restando le sanzioni di legge.
3. La violazione delle prescrizioni del presente codice da parte degli utenti
è comunicata agli organi competenti per il rilascio delle autorizzazioni a
consultare documenti riservati prima del decorso dei termini di legge, ed è
considerata ai fini del rilascio dell'autorizzazione medesima. L'Amministrazione
competente, secondo il proprio ordinamento, può altresì escludere
temporaneamente dalle sale di studio i soggetti responsabili della violazione
delle regole del presente codice. Gli stessi possono essere esclusi da ulteriori
autorizzazioni alla consultazione di documenti riservati.
4. Oltre a quanto previsto dalla legge per la denuncia di reato cui sono
tenuti i pubblici ufficiali, i soggetti di cui ai commi 1 e 2 possono segnalare
al Garante le violazioni delle regole di condotta per l'eventuale adozione dei
provvedimenti e delle sanzioni di competenza.
Art. 14 (Entrata in vigore)
1. Il presente codice si applica a decorrere dal quindicesimo giorno
successivo alla pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
A. 3 CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I
TRATTAMENTI DI DATI PERSONALI A SCOPI STATISTICI E DI RICERCA SCIENTIFICA
EFFETTUATI NELL'AMBITO DEL SISTEMA STATISTICO NAZIONALE
(Provvedimento del Garante n. 13 del 31 luglio 2002, in G.U. 16 agosto 1999,
n. 191)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella seduta odierna, con la partecipazione del prof. Stefano Rodotà,
presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano
Rasi e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli,
segretario generale;
Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo e del
Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e la Commissione
incoraggiano l'elaborazione di codici di condotta destinati a contribuire, in
funzione delle specificità settoriali, alla corretta applicazione delle
disposizioni nazionali di attuazione della direttiva adottate dagli Stati
membri;
Visto l'art. 31, comma 1, lettera h) della legge 31 dicembre 1996, n. 675, il
quale attribuisce al Garante il compito di promuovere nell'ambito delle
categorie interessate, nell'osservanza del principio di rappresentatività, la
sottoscrizione di codici di deontologia e di buona condotta per determinati
settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso
l'esame di osservazioni di soggetti interessati e contribuire a garantirne la
diffusione e il rispetto;
Visto il decreto legislativo 30 luglio 1999, n. 281, in materia di trattamento
dei dati personali per finalità storiche, statistiche e di ricerca scientifica,
e in particolare il relativo art. 6, comma 1, il quale demanda al Garante il
compito di promuovere la sottoscrizione di uno o più codici di deontologia e di
buona condotta per i soggetti pubblici e privati, ivi comprese le società
scientifiche e le associazioni professionali, interessati al trattamento dei
dati per scopi di statistica e di ricerca scientifica;
Visto l'articolo 10, comma 6, del medesimo decreto legislativo n. 281/1999,
relativo ad alcuni profili che devono essere individuati dal codice per i
trattamenti di dati per scopi statistici e di ricerca scientifica;
Visto altresì l'articolo 12, comma 2, del decreto legislativo 6 settembre 1989,
n. 322, come modificato dall'articolo 12, comma 6, del decreto legislativo n.
281/1999, nel quale si prevede che la Commissione per la garanzia
dell'informazione statistica debba essere sentita ai fini della sottoscrizione
dei codici di deontologia e di buona condotta relativi al trattamento dei dati
personali nell'ambito del Sistema statistico nazionale;
Visto il provvedimento 10 febbraio 2000 del Garante per la protezione dei dati
personali, pubblicato sulla Gazzetta Ufficiale n. 46 del 25 febbraio 2000, con
il quale il Garante ha promosso la sottoscrizione di uno o più codici di
deontologia e di buona condotta relativi del trattamento di dati personali per
scopi statistici e di ricerca scientifica ed ha invitato tutti i soggetti aventi
titolo a partecipare all'adozione dei medesimi codici in base al principio di
rappresentatività a darne comunicazione al Garante entro il 31 marzo 2000;
Viste le comunicazioni pervenute al Garante in risposta al provvedimento del 10
febbraio 2000, con le quali diversi soggetti pubblici e privati, società
scientifiche ed associazioni professionali hanno manifestato la volontà di
partecipare alla redazione dei codici e fra i quali è stato conseguentemente
costituito un apposito gruppo di lavoro, composto, fra gli altri, da
rappresentanti dei seguenti soggetti pubblici: Istituto nazionale di statistica
- ISTAT, Istituto di studi e analisi economica - ISAE, Istituto per lo sviluppo
della formazione professionale dei lavoratori - ISFOL, Presidenza del Consiglio
dei Ministri - Dipartimento della funzione pubblica;
Considerato che il testo del codice è stato oggetto di ampia consultazione
nell'ambito dei soggetti interessati, che hanno avuto modo di far pervenire
osservazioni e proposte;
Visto il decreto del Presidente del Consiglio dei ministri 9 marzo 2000, n. 152
contenente le norme per la definizione dei criteri e delle procedure per
l'individuazione dei soggetti privati partecipanti al Sistema statistico
nazionale (SISTAN) ai sensi dell'articolo 2, comma 1, della legge 28 aprile
1998, n. 125;
Visto il decreto del Presidente del Consiglio dei ministri 9 maggio 2001 in
materia di circolazione dei dati all'interno del Sistema statistico nazionale;
Visto il decreto del Presidente del Consiglio dei Ministri 28 maggio 2002
sull'inserimento di altri uffici di statistica nell'ambito del Sistan;
Vista la nota del 2 aprile 2001 con cui il Presidente dell'ISTAT, su mandato del
Comitato di indirizzo e coordinamento dell'informazione statistica, ha trasmesso
il testo del Codice di deontologia e di buona condotta per i trattamenti di dati
personali per scopi statistici e di ricerca scientifica effettuati nell'ambito
del Sistema statistico nazionale, sottoscritto dallo stesso a nome dei soggetti
interessati;
Vista la deliberazione di questa Autorità n. 23 del 4 luglio 2001 sull'esame
preliminare del codice;
Ritenuto opportuno procedere all'esame definitivo del codice di deontologia e di
buona condotta per i trattamenti di dati personali per scopi statistici
effettuati nell'ambito del SISTAN, anche separatamente rispetto al codice che, a
norma degli articoli art. 6, comma 1, e 10, comma 6 , del d.lg. n. 281/1999,
deve disciplinare l'utilizzo dei dati personali a fini statistici al di fuori
del SISTAN;
Sentita la Commissione per la garanzia nell'informazione statistica ai sensi
dell'articolo 12, comma 2, del decreto legislativo 6 settembre 1989, n. 322 e
sulla base degli approfondimenti curati d'intesa con l'Istat;
Rilevato che il rispetto delle disposizioni contenute nel codice costituisce
condizione essenziale per la liceità del trattamento dei dati personali;
Constatata la conformità del codice alle leggi e ai regolamenti in materia di
protezione delle persone rispetto al trattamento dei dati personali, ed in
particolare all'art. 31, comma 1, lettera h) della legge n. 675/1996, nonché
agli artt. 6 e 10, 11 e 12 del decreto legislativo n. 281/1999;
Considerato che, ai sensi dell'art. 6, comma 1, del decreto legislativo n.
281/1999, il codice deve essere pubblicato nella Gazzetta Ufficiale della
Repubblica Italiana a cura del Garante;
Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15
del regolamento del Garante n. 1/2000, adottato con deliberazione n. 15 del 28
giugno 2000 e pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n.
162 del 13 luglio 2000;
Dispone:
la trasmissione del codice di deontologia e di buona condotta per i
trattamenti di dati personali per scopi statistici e di ricerca scientifica
effettuati nell'ambito del Sistema statistico nazionale, che figura in allegato,
all'ufficio pubblicazione leggi e decreti del Ministero della giustizia per la
sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
Roma, 31 luglio 2002
IL PRESIDENTE
IL RELATORE IL SEGRETARIO GENERALE
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI
PERSONALI A SCOPI STATISTICI E DI RICERCA SCIENTIFICA EFFETTUATI NELL'AMBITO DEL
SISTEMA STATISTICO NAZIONALE
Preambolo
Il presente codice è volto a garantire che l'utilizzazione di dati di
carattere personale per scopi di statistica, considerati dalla legge di
rilevante interesse pubblico e fonte dell'informazione statistica ufficiale
intesa quale patrimonio della collettività, si svolga nel rispetto dei diritti,
delle libertà fondamentali e della dignità delle persone interessate, in
particolare del diritto alla riservatezza e del diritto all'identità personale.
Il codice è sottoscritto in attuazione degli articoli 6 e 10, comma 6, del
decreto legislativo 30 luglio 1999, n. 281 e si applica ai trattamenti per scopi
statistici effettuati nell'ambito del sistema statistico nazionale, per il
perseguimento delle finalità di cui al decreto legislativo 6 settembre 1989, n.
322. La sua sottoscrizione è effettuata ispirandosi alle pertinenti fonti e
documenti internazionali in materia di attività statistica e, in particolare:
a) alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle
libertà fondamentali del 4 novembre 1950, ratificata dall'Italia con legge 4
agosto 1955, n. 848;
b) alla Carta dei diritti fondamentali dell'Unione Europea del 18 dicembre 2000,
con specifico riferimento agli artt. 7 e 8;
c) alla Convenzione n. 108 adottata a Strasburgo il 28 gennaio 1981, ratificata
in Italia con legge 21 febbraio 1989, n. 98;
d) alla direttiva n. 95/46/CE del Parlamento europeo e del Consiglio dell'Unione
Europea del 24 ottobre 1995;
e) alla Raccomandazione del Consiglio d'Europa n. R(97)18, adottata il 30
settembre 1997;
f) all'articolo 10 del Regolamento (CE) n. 322/97 del Consiglio dell'Unione
Europea del 17 febbraio 1997.
Gli enti, gli uffici e i soggetti che applicano il seguente codice sono
chiamati ad osservare anche il principio di imparzialità e di non
discriminazione nei confronti di altri utilizzatori, in particolare, nell'ambito
della comunicazione per scopi statistici di dati depositati in archivi pubblici
e trattati da enti pubblici o sulla base di finanziamenti pubblici.
CAPO I
AMBITO DI APPLICAZIONE E PRINCIPI GENERALI
Art. 1 (Ambito di applicazione)
1. Il codice si applica ai trattamenti di dati personali per scopi statistici
effettuati da:
a) enti ed uffici di statistica che fanno parte o partecipano al sistema
statistico nazionale, per l'attuazione del programma statistico nazionale o per
la produzione di informazione statistica, in conformità ai rispettivi ambiti
istituzionali;
b) strutture diverse dagli uffici di cui alla lettera a), ma appartenenti alla
medesima amministrazione o ente, qualora i relativi trattamenti siano previsti
dal programma statistico nazionale e gli uffici di statistica attestino le
metodologie adottate, osservando le disposizioni contenute nei decreti
legislativi 6 settembre 1989, n. 322 e 30 luglio 1999, n. 281, e loro successive
modificazioni e integrazioni, nonché nel presente codice.
Art. 2 (Definizioni)
1. Ai fini del presente codice si applicano le definizioni elencate nell'art.
1 della legge 31 dicembre 1996, n. 675 (di seguito denominata
"Legge"), nel decreto legislativo 30 luglio 1999, n. 281, e loro
successive modificazioni e integrazioni. Ai fini medesimi, si intende inoltre
per:
a) "trattamento per scopi statistici", qualsiasi trattamento
effettuato per finalità di indagine statistica o di produzione, conservazione e
diffusione di risultati statistici in attuazione del programma statistico
nazionale o per effettuare informazione statistica in conformità agli ambiti
istituzionali dei soggetti di cui all'articolo 1;
b) "risultato statistico", l'informazione ottenuta con il trattamento
di dati personali per quantificare aspetti di un fenomeno collettivo;
c) "variabile pubblica", il carattere o la combinazione di caratteri,
di tipo qualitativo o quantitativo, oggetto di una rilevazione statistica che
faccia riferimento ad informazioni presenti in pubblici registri, elenchi, atti,
documenti o fonti conoscibili da chiunque;
d) "unità statistica", l'entità alla quale sono riferiti o
riferibili i dati trattati.
Art. 3 (Identificabilità dell'interessato)
1. Agli effetti dell'applicazione del presente codice:
a) un interessato si ritiene identificabile quando, con l'impiego di mezzi
ragionevoli, è possibile stabilire un'associazione significativamente probabile
tra la combinazione delle modalità delle variabili relative ad una unità
statistica e i dati identificativi della medesima;
b) i mezzi ragionevolmente utilizzabili per identificare un interessato
afferiscono, in particolare, alle seguenti categorie:
risorse economiche;
risorse di tempo;
archivi nominativi o altre fonti di informazione contenenti dati identificativi
congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o
diffusione;
archivi, anche non nominativi, che forniscano ulteriori informazioni oltre a
quelle oggetto di comunicazione o diffusione;
risorse hardware e software per effettuare le elaborazioni necessarie per
collegare informazioni non nominative ad un soggetto identificato, tenendo anche
conto delle effettive possibilità di pervenire in modo illecito alla sua
identificazione in rapporto ai sistemi di sicurezza ed al software di controllo
adottati;
conoscenza delle procedure di estrazione campionaria, imputazione, correzione e
protezione statistica adottate per la produzione dei dati;
c) in caso di comunicazione e di diffusione, l'interessato può ritenersi non
identificabile se il rischio di identificazione, in termini di probabilità di
identificare l'interessato stesso tenendo conto dei dati comunicati o diffusi,
è tale da far ritenere sproporzionati i mezzi eventualmente necessari per
procedere all'identificazione rispetto alla lesione o al pericolo di lesione dei
diritti degli interessati che può derivarne, avuto altresì riguardo al
vantaggio che se ne può trarre.
Art. 4 (Criteri per la valutazione del rischio di identificazione)
1. Ai fini della comunicazione e diffusione di risultati statistici, la
valutazione del rischio di identificazione tiene conto dei seguenti criteri:
a) si considerano dati aggregati le combinazioni di modalità alle quali è
associata una frequenza non inferiore a una soglia prestabilita, ovvero
un'intensità data dalla sintesi dei valori assunti da un numero di unità
statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia
è pari a tre;
b) nel valutare il valore della soglia si deve tenere conto del livello di
riservatezza delle informazioni;
c) i risultati statistici relativi a sole variabili pubbliche non sono soggetti
alla regola della soglia;
d) la regola della soglia può non essere osservata qualora il risultato
statistico non consenta ragionevolmente l'identificazione di unità statistiche,
avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;
e) i risultati statistici relativi a una stessa popolazione possono essere
diffusi in modo che non siano possibili collegamenti tra loro o con altre fonti
note di informazione, che rendano possibili eventuali identificazioni;
f) si presume che sia adeguatamente tutelata la riservatezza nel caso in cui
tutte le unità statistiche di una popolazione presentino la medesima modalità
di una variabile.
2. Nel programma statistico nazionale sono individuate le variabili che
possono essere diffuse in forma disaggregata, ove ciò risulti necessario per
soddisfare particolari esigenze conoscitive anche di carattere internazionale o
comunitario.
3. Nella comunicazione di collezioni campionarie di dati, il rischio di
identificazione deve essere per quanto possibile contenuto. Tale limite e la
metodologia per la stima del rischio di identificazione sono individuati dall'Istat
che, attenendosi ai criteri di cui all'art. 3, comma 1, lett. d), definisce
anche le modalità di rilascio dei dati dandone comunicazione alla Commissione
per la garanzia dell'informazione statistica.
Art. 5 (Trattamento di dati sensibili da parte di soggetti privati)
1. I soggetti privati che partecipano al sistema statistico nazionale ai
sensi della legge 28 aprile 1998, n. 125, raccolgono o trattano ulteriormente
dati sensibili per scopi statistici di regola in forma anonima, fermo restando
quanto previsto dall'art.
6-bis, comma 1, del decreto legislativo 6 settembre 1989, n. 322, come
introdotto dal decreto legislativo 30 luglio 1999, n. 281, e successive
modificazioni e integrazioni.
2. In casi particolari in cui scopi statistici, legittimi e specifici, del
trattamento di dati sensibili non possono essere raggiunti senza
l'identificazione anche temporanea degli interessati, per garantire la
legittimità del trattamento medesimo è necessario che concorrano i seguenti
presupposti:
a) l'interessato abbia espresso liberamente il proprio consenso sulla base degli
elementi previsti per l'informativa;
b) il titolare adotti specifiche misure per mantenere separati i dati
identificativi già al momento della raccolta, salvo che ciò risulti
irragionevole o richieda uno sforzo manifestamente sproporzionato;
c) il trattamento risulti preventivamente autorizzato dal Garante, anche sulla
base di un'autorizzazione relativa a categorie di dati o tipologie di
trattamenti, o sia compreso nel programma statistico nazionale.
3. Il consenso è manifestato per iscritto. Qualora la raccolta dei dati
sensibili sia effettuata con particolari modalità quali interviste telefoniche
o assistite da elaboratore che rendano particolarmente gravoso per l'indagine
acquisirlo per iscritto, il consenso, purché espresso, può essere documentato
per iscritto. In tal caso, la documentazione dell'informativa resa
all'interessato e dell'acquisizione del relativo consenso è conservata dal
titolare del trattamento per tre anni.
CAPO II
NFORMATIVA, COMUNICAZIONE E DIFFUSIONE
Art. 6 (Informativa)
1. Oltre alle informazioni di cui all'art. 10 della Legge, all'interessato o
alle persone presso le quali i dati personali dell'interessato sono raccolti per
uno scopo statistico è rappresentata l'eventualità che essi possono essere
trattati per altri scopi statistici, in conformità a quanto previsto dai
decreti legislativi 6 settembre 1989, n. 322 e 30 luglio 1999, n. 281, e loro
successive modificazioni e integrazioni.
2. Quando il trattamento riguarda dati personali non raccolti presso
l'interessato e il conferimento dell'informativa a quest'ultimo richieda uno
sforzo sproporzionato rispetto al diritto tutelato, in base a quanto previsto
dall'art. 10, comma 4 della Legge, l'informativa stessa si considera resa se il
trattamento è incluso nel programma statistico nazionale o è oggetto di
pubblicità con idonee modalità da comunicare preventivamente al Garante il
quale può prescrivere eventuali misure ed accorgimenti.
3. Nella raccolta di dati per uno scopo statistico, l'informativa alla
persona presso la quale i dati sono raccolti può essere differita per la parte
riguardante le specifiche finalità, le modalità del trattamento cui sono
destinati i dati, qualora ciò risulti necessario per il raggiungimento
dell'obiettivo dell'indagine - in relazione all'argomento o alla natura della
stessa - e purché il trattamento non riguardi dati sensibili. In tali casi, il
completamento dell'informativa deve essere fornito all'interessato non appena
vengano a cessare i motivi che ne avevano ritardato la comunicazione, a meno che
ciò comporti un impiego di mezzi palesemente sproporzionato. Il soggetto
responsabile della ricerca deve redigere un documento - successivamente
conservato per almeno due anni dalla conclusione della ricerca e reso
disponibile a tutti i soggetti che esercitano i diritti di cui all'art. 13 della
Legge - in cui siano indicate le specifiche motivazioni per le quali si è
ritenuto di differire l'informativa, la parte di informativa differita, nonché
le modalità seguite per informare gli interessati quando sono venute meno le
ragioni che avevano giustificato il differimento.
4. Quando le circostanze della raccolta e gli obiettivi dell'indagine sono
tali da consentire ad un soggetto di rispondere in nome e per conto di un altro,
in quanto familiare o convivente, l'informativa all'interessato può essere data
anche per il tramite del soggetto rispondente.
Art. 7 (Comunicazione a soggetti non facenti parte del sistema statistico
nazionale)
1. Ai soggetti che non fanno parte del sistema statistico nazionale possono
essere comunicati, sotto forma di collezioni campionarie, dati individuali privi
di ogni riferimento che ne permetta il collegamento con gli interessati e
comunque secondo modalità che rendano questi ultimi non identificabili.
2. La comunicazione di dati personali a ricercatori di università o ad
istituti o enti di ricerca o a soci di società scientifiche a cui si applica il
codice di deontologia e di buona condotta per i trattamenti di dati personali
per scopi statistici e di ricerca scientifica effettuati fuori dal sistema
statistico nazionale, di cui all'articolo 10, comma 6, del decreto legislativo
30 luglio 1999, n. 281 e successive modificazioni e integrazioni, è consentita
nell'ambito di specifici laboratori costituiti da soggetti del sistema
statistico nazionale, a condizione che:
a) i dati siano il risultato di trattamenti di cui i medesimi soggetti del
sistema statistico nazionale siano titolari;
b) i dati comunicati siano privi di dati identificativi;
c) le norme in materia di segreto statistico e di protezione dei dati personali,
contenute anche nel presente codice, siano rispettate dai ricercatori che
accedono al laboratorio anche sulla base di una preventiva dichiarazione di
impegno;
d) l'accesso al laboratorio sia controllato e vigilato;
e) non sia consentito l'accesso ad archivi di dati diversi da quello oggetto
della comunicazione;
f) siano adottate misure idonee affinché le operazioni di immissione e prelievo
di dati siano inibite ai ricercatori che utilizzano il laboratorio;
g) il rilascio dei risultati delle elaborazioni effettuate dai ricercatori che
utilizzano il laboratorio sia autorizzato solo dopo una preventiva verifica, da
parte degli addetti al laboratorio stesso, del rispetto delle norme di cui alla
lettera c).
3. Nell'ambito di progetti congiunti, finalizzati anche al perseguimento di
compiti istituzionali del titolare del trattamento che ha originato i dati, i
soggetti del sistema statistico nazionale possono comunicare dati personali a
ricercatori operanti per conto di università, altre istituzioni pubbliche e
organismi aventi finalità di ricerca, purché sia garantito il rispetto delle
condizioni seguenti:
a) i dati siano il risultato di trattamenti di cui i medesimi soggetti del
sistema statistico nazionale sono titolari;
b) i dati comunicati siano privi di dati identificativi;
c) la comunicazione avvenga sulla base di appositi protocolli di ricerca
sottoscritti da tutti i ricercatori che partecipano al progetto;
d) nei medesimi protocolli siano esplicitamente previste, come vincolanti per
tutti i ricercatori che partecipano al progetto, le norme in materia di segreto
statistico e di protezione dei dati personali contenute anche nel presente
codice.
4. È vietato ai ricercatori ammessi alla comunicazione dei dati di
effettuare trattamenti per fini diversi da quelli esplicitamente previsti dal
protocollo di ricerca, di conservare i dati comunicati oltre i termini di durata
del progetto, di comunicare ulteriormente i dati a terzi.
Art. 8 (Comunicazione dei dati tra soggetti del Sistema statistico
nazionale)
1. La comunicazione di dati personali, privi di dati identificativi, tra i
soggetti del sistema statistico nazionale è consentita per i trattamenti
statistici, strumentali al perseguimento delle finalità istituzionali del
soggetto richiedente, espressamente determinati all'atto della richiesta, fermo
restando il rispetto dei principi di pertinenza e di non eccedenza.
2. La comunicazione anche dei dati identificativi di unità statistiche tra i
soggetti del sistema statistico nazionale è consentita, previa motivata
richiesta in cui siano esplicitate le finalità perseguite ai sensi del decreto
legislativo 6 settembre 1989, n. 322, ivi comprese le finalità di ricerca
scientifica per gli enti di cui all'art. 2 del decreto legislativo medesimo,
qualora il richiedente dichiari che non sia possibile conseguire altrimenti il
medesimo risultato statistico e, comunque, nel rispetto dei principi di
pertinenza e di stretta necessità.
3. I dati comunicati ai sensi dei commi 1 e 2 possono essere trattati dal
soggetto richiedente, anche successivamente, per le sole finalità perseguite ai
sensi del decreto legislativo 6 settembre 1989, n. 322, ivi comprese le finalità
di ricerca scientifica per gli enti di cui all'art. 2 del decreto legislativo
medesimo, nei limiti previsti dal decreto legislativo 30 luglio 1999, n. 281, e
nel rispetto delle misure di sicurezza previste dall'art. 15 della Legge e
successive modificazioni e integrazioni.
Art. 9 (Autorità di controllo)
1. La Commissione per la garanzia dell'informazione statistica di cui
all'articolo 12 del decreto legislativo 6 settembre 1989, n. 322 contribuisce
alla corretta applicazione delle disposizioni del presente codice e, in
particolare, di quanto previsto al precedente art. 8, segnalando al Garante i
casi di inosservanza.
CAPO III
SICUREZZA E REGOLE DI CONDOTTA
Art. 10 (Raccolta dei dati)
1. I soggetti di cui all'art. 1 pongono specifica attenzione nella selezione
del personale incaricato della raccolta dei dati e nella definizione
dell'organizzazione e delle modalità di rilevazione, in modo da garantire il
rispetto del presente codice e la tutela dei diritti degli interessati,
procedendo altresì alla designazione degli incaricati del trattamento, secondo
le modalità di legge.
2. In ogni caso, il personale incaricato della raccolta si attiene alle
disposizioni contenute nel presente codice e alle istruzioni ricevute. In
particolare:
a) rende nota la propria identità, la propria funzione e le finalità della
raccolta, anche attraverso adeguata documentazione;
b) fornisce le informazioni di cui all'art. 10 della Legge e di cui all'art. 6
del presente codice, nonché ogni altro chiarimento che consenta all'interessato
di rispondere in modo adeguato e consapevole, evitando comportamenti che possano
configurarsi come artifici o indebite pressioni;
c) non svolge contestualmente presso gli stessi interessati attività di
rilevazione di dati per conto di più titolari, salvo espressa autorizzazione;
d) provvede tempestivamente alla correzione degli errori e delle inesattezze
delle informazioni acquisite nel corso della raccolta;
e) assicura una particolare diligenza nella raccolta di dati personali di cui
agli articoli 22, 24 e 24 bis della legge.
Art. 11 (Conservazione dei dati)
1. I dati personali possono essere conservati anche oltre il periodo
necessario per il raggiungimento degli scopi per i quali sono stati raccolti o
successivamente trattati, in conformità all'art. 9 della Legge e all'art. 6-bis
del decreto legislativo 6 settembre 1989, n. 322 e successive modificazioni e
integrazioni, in tali casi, i dati identificativi possono essere conservati fino
a quando risultino necessari per:
indagini continue e longitudinali;
indagini di controllo, di qualità e di copertura;
definizione di disegni campionari e selezione di unità di rilevazione;
costituzione di archivi delle unità statistiche e di sistemi informativi;
altri casi in cui ciò risulti essenziale e adeguatamente documentato per le
finalità perseguite.
2. Nei casi di cui al comma 1, i dati identificativi sono conservati
separatamente da ogni altro dato, in modo da consentirne differenti livelli di
accesso, salvo che ciò risulti impossibile in ragione delle particolari
caratteristiche del trattamento o comporti un impiego di mezzi manifestamente
sproporzionati rispetto al diritto tutelato.
Art. 12 (Misure di sicurezza)
1. Nell'adottare le misure di sicurezza di cui all'art. 15, comma 1, della
Legge e di cui al regolamento previsto dal comma 2 del medesimo articolo, il
titolare del trattamento determina anche i differenti livelli di accesso ai dati
personali con riferimento alla natura dei dati stessi e alle funzioni dei
soggetti coinvolti nei trattamenti.
2. I soggetti di cui all'art. 1 adottano le cautele previste dagli articoli 3
e 4 del decreto legislativo 11 maggio 1999, n. 135 in riferimento ai dati di cui
agli articoli 22 e 24 della Legge.
Art. 13 (Esercizio dei diritti dell'interessato)
1. In caso di esercizio dei diritti di cui all'art. 13 della Legge,
l'interessato può accedere agli archivi statistici contenenti i dati che lo
riguardano per chiederne l'aggiornamento, la rettifica o l'integrazione, sempre
che tale operazione non risulti impossibile per la natura o lo stato del
trattamento, o comporti un impiego di mezzi manifestamente sproporzionati.
2. In attuazione dell'art. 6-bis, comma 8, del decreto legislativo 6
settembre 1989, n. 322, il responsabile del trattamento annota in appositi spazi
o registri le modifiche richieste dall'interessato, senza variare i dati
originariamente immessi nell'archivio, qualora tali operazioni non producano
effetti significativi sull'analisi statistica o sui risultati statistici
connessi al trattamento. In particolare, non si procede alla variazione se le
modifiche richieste contrastano con le classificazioni e con le metodologie
statistiche adottate in conformità alle norme internazionali comunitarie e
nazionali.
Art. 14 (Regole di condotta)
1. I responsabili e gli incaricati del trattamento che, anche per motivi di
lavoro, studio e ricerca abbiano legittimo accesso ai dati personali trattati
per scopi statistici, conformano il proprio comportamento anche alle seguenti
disposizioni:
a) i dati personali possono essere utilizzati soltanto per gli scopi definiti
all'atto della progettazione del trattamento;
b) i dati personali devono essere conservati in modo da evitarne la dispersione,
la sottrazione e ogni altro uso non conforme alla legge e alle istruzioni
ricevute;
c) i dati personali e le notizie non disponibili al pubblico di cui si venga a
conoscenza in occasione dello svolgimento dell'attività statistica o di attività
ad essa strumentali non possono essere diffusi, nè altrimenti utilizzati per
interessi privati, propri o altrui;
d) il lavoro svolto deve essere oggetto di adeguata documentazione;
e) le conoscenze professionali in materia di protezione dei dati personali
devono essere adeguate costantemente all'evoluzione delle metodologie e delle
tecniche;
f) la comunicazione e la diffusione dei risultati statistici devono essere
favorite, in relazione alle esigenze conoscitive degli utenti, purché nel
rispetto delle norme sulla protezione dei dati personali.
2. I responsabili e gli incaricati del trattamento di cui al comma 1 sono
tenuti a conformarsi alle disposizioni del presente codice, anche quando non
siano vincolati al rispetto del segreto d'ufficio o del segreto professionale. I
titolari del trattamento adottano le misure opportune per garantire la
conoscenza di tali disposizioni da parte dei responsabili e degli incaricati
medesimi.
3. I comportamenti non conformi alle regole di condotta dettate dal presente
codice devono essere immediatamente segnalati al responsabile o al titolare del
trattamento.
* In conformità all'articolo 184, comma 2, i riferimenti a disposizioni
della legge n. 675/1996 o od altre disposizioni abrogate devono intendersi
riferiti alle corrispondenti nuove disposizioni in vigore, secondo la tavola di
corrispondenza.
ALLEGATO B
DISCIPLINARE TECNICO IN MATERIA DI MISURE MINIME DI SICUREZZA (Artt. da 33 a
36 del codice)
Trattamenti con strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile ove
designato e dell'incaricato, in caso di trattamento con strumenti elettronici:
Sistema di autenticazione informatica
1. Il trattamento di dati personali con strumenti elettronici è consentito
agli incaricati dotati di credenziali di autenticazione che consentano il
superamento di una procedura di autenticazione relativa a uno specifico
trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per
l'identificazione dell'incaricato associato a una parola chiave riservata
conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in
possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice
identificativo o a una parola chiave, oppure in una caratteristica biometrica
dell'incaricato, eventualmente associata a un codice identificativo o a una
parola chiave.
3. Ad ogni incaricato sono assegnate o associate individualmente una o più
credenziali per l'autenticazione.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le
necessarie cautele per assicurare la segretezza della componente riservata della
credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo
dell'incaricato.
5. La parola chiave, quando è prevista dal sistema di autenticazione, è
composta da almeno otto caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di caratteri pari al massimo
consentito; essa non contiene riferimenti agevolmente riconducibili
all'incaricato ed è modificata da quest'ultimo al primo utilizzo e,
successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili
e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
6. Il codice per l'identificazione, laddove utilizzato, non può essere
assegnato ad altri incaricati, neppure in tempi diversi.
7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono
disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione
tecnica.
8. Le credenziali sono disattivate anche in caso di perdita della qualità
che consente all'incaricato l'accesso ai dati personali.
9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e
accessibile lo strumento elettronico durante una sessione di trattamento.
10. Quando l'accesso ai dati e agli strumenti elettronici è consentito
esclusivamente mediante uso della componente riservata della credenziale per
l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte
a individuare chiaramente le modalità con le quali il titolare può assicurare
la disponibilità di dati o strumenti elettronici in caso di prolungata assenza
o impedimento dell'incaricato che renda indispensabile e indifferibile
intervenire per esclusive necessità di operatività e di sicurezza del sistema.
In tal caso la custodia delle copie delle credenziali è organizzata garantendo
la relativa segretezza e individuando preventivamente per iscritto i soggetti
incaricati della loro custodia, i quali devono informare tempestivamente
l'incaricato dell'intervento effettuato.
11. Le disposizioni sul sistema di autenticazione di cui ai precedenti punti
e quelle sul sistema di autorizzazione non si applicano ai trattamenti dei dati
personali destinati alla diffusione.
Sistema di autorizzazione
12. Quando per gli incaricati sono individuati profili di autorizzazione di
ambito diverso è utilizzato un sistema di autorizzazione.
13. I profili di autorizzazione, per ciascun incaricato o per classi omogenee
di incaricati, sono individuati e configurati anteriormente all'inizio del
trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare
le operazioni di trattamento.
14. Periodicamente, e comunque almeno annualmente, è verificata la
sussistenza delle condizioni per la conservazione dei profili di autorizzazione.
Altre misure di sicurezza
15. Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale
dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati
e addetti alla gestione o alla manutenzione degli strumenti elettronici, la
lista degli incaricati può essere redatta anche per classi omogenee di incarico
e dei relativi profili di autorizzazione.
16. I dati personali sono protetti contro il rischio di intrusione e
dell'azione di programmi di cui all'art. 615-quinquies del codice penale,
mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza
almeno semestrale.
17. Gli aggiornamenti periodici dei programmi per elaboratore volti a
prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti
sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o
giudiziari l'aggiornamento è almeno semestrale.
18. Sono impartite istruzioni organizzative e tecniche che prevedono il
salvataggio dei dati con frequenza almeno settimanale.
Documento programmatico sulla sicurezza
19. Entro il 31 marzo di ogni anno, il titolare di un trattamento di dati
sensibili o di dati giudiziari redige anche attraverso il responsabile, se
designato, un documento programmatico sulla sicurezza contenente idonee
informazioni riguardo:
19.1. l'elenco dei trattamenti di dati personali;
19.2. la distribuzione dei compiti e delle responsabilità nell'ambito delle
strutture preposte al trattamento dei dati;
19.3. l'analisi dei rischi che incombono sui dati;
19.4. le misure da adottare per garantire l'integrità e la disponibilità dei
dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della
loro custodia e accessibilità;
19.5. la descrizione dei criteri e delle modalità per il ripristino della
disponibilità dei dati in seguito a distruzione o danneggiamento di cui al
successivo punto 23;
19.6. la previsione di interventi formativi degli incaricati del trattamento,
per renderli edotti dei rischi che incombono sui dati, delle misure disponibili
per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei
dati personali più rilevanti in rapporto alle relative attività, delle
responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure
minime adottate dal titolare. La formazione è programmata già al momento
dell'ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di
introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento
di dati personali;
19.7. la descrizione dei criteri da adottare per garantire l'adozione delle
misure minime di sicurezza in caso di trattamenti di dati personali affidati, in
conformità al codice, all'esterno della struttura del titolare;
19.8. per i dati personali idonei a rivelare lo stato di salute e la vita
sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la
cifratura o per la separazione di tali dati dagli altri dati personali
dell'interessato.
Ulteriori misure in caso di trattamento di dati sensibili o giudiziari
20. I dati sensibili o giudiziari sono protetti contro l'accesso abusivo, di
cui all'art. 615-ter del codice penale, mediante l'utilizzo di idonei strumenti
elettronici.
21. Sono impartite istruzioni organizzative e tecniche per la custodia e
l'uso dei supporti rimovibili su cui sono memorizzati i dati al fine di evitare
accessi non autorizzati e trattamenti non consentiti.
22. I supporti rimovibili contenenti dati sensibili o giudiziari se non
utilizzati sono distrutti o resi inutilizzabili, ovvero possono essere
riutilizzati da altri incaricati, non autorizzati al trattamento degli stessi
dati, se le informazioni precedentemente in essi contenute non sono
intelligibili e tecnicamente in alcun modo ricostruibili.
23. Sono adottate idonee misure per garantire il ripristino dell'accesso ai
dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in
tempi certi compatibili con i diritti degli interessati e non superiori a sette
giorni.
24. Gli organismi sanitari e gli esercenti le professioni sanitarie
effettuano il trattamento dei dati idonei a rivelare lo stato di salute e la
vita sessuale contenuti in elenchi, registri o banche di dati con le modalità
di cui all'articolo 22, comma 6, del codice, anche al fine di consentire il
trattamento disgiunto dei medesimi dati dagli altri dati personali che
permettono di identificare direttamente gli interessati. I dati relativi
all'identità genetica sono trattati esclusivamente all'interno di locali
protetti accessibili ai soli incaricati dei trattamenti ed ai soggetti
specificatamente autorizzati ad accedervi; il trasporto dei dati all'esterno dei
locali riservati al loro trattamento deve avvenire in contenitori muniti di
serratura o dispositivi equipollenti; il trasferimento dei dati in formato
elettronico è cifrato.
Misure di tutela e garanzia
25. Il titolare che adotta misure minime di sicurezza avvalendosi di soggetti
esterni alla propria struttura, per provvedere alla esecuzione riceve
dall'installatore una descrizione scritta dell'intervento effettuato che ne
attesta la conformità alle disposizioni del presente disciplinare tecnico.
26. Il titolare riferisce, nella relazione accompagnatoria del bilancio
d'esercizio, se dovuta, dell'avvenuta redazione o aggiornamento del documento
programmatico sulla sicurezza.
Trattamenti senza l'ausilio di strumenti elettronici
Modalità tecniche da adottare a cura del titolare, del responsabile, ove
designato, e dell'incaricato, in caso di trattamento con strumenti diversi da
quelli elettronici:
27. Agli incaricati sono impartite istruzioni scritte finalizzate al
controllo ed alla custodia, per l'intero ciclo necessario allo svolgimento delle
operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
Nell'ambito dell'aggiornamento periodico con cadenza almeno annuale
dell'individuazione dell'ambito del trattamento consentito ai singoli
incaricati, la lista degli incaricati può essere redatta anche per classi
omogenee di incarico e dei relativi profili di autorizzazione.
28. Quando gli atti e i documenti contenenti dati personali sensibili o
giudiziari sono affidati agli incaricati del trattamento per lo svolgimento dei
relativi compiti, i medesimi atti e documenti sono controllati e custoditi dagli
incaricati fino alla restituzione in maniera che ad essi non accedano persone
prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.
29. L'accesso agli archivi contenenti dati sensibili o giudiziari è
controllato. Le persone ammesse, a qualunque titolo, dopo l'orario di chiusura,
sono identificate e registrate. Quando gli archivi non sono dotati di strumenti
elettronici per il controllo degli accessi o di incaricati della vigilanza, le
persone che vi accedono sono preventivamente autorizzate.
ALLEGATO C)
TRATTAMENTI NON OCCASIONALI EFFETTUATI IN AMBITO GIUDIZIARIO O PER FINI DI
POLIZIA (Artt. 46 e 53 del codice) |
Pagina stampabile
