PRINCIPI FONDAMENTALI
Il trattamento dei dati deve seguire i principi di necessità, liceità e correttezza
Gli scopi devono essere determinati, espliciti, legittimi ed i dati devono essere pertinenti, completi, non eccedenti le finalità della loro raccolta e conservati esclusivamente per il tempo necessario.
INFORMATIVA
CONSENSO
MISURE MINIME DI SICUREZZA
NOTIFICAZIONE
AUTORIZZAZIONE GARANTE
INFORMATIVA
L'interessato, cui i dati si riferiscono, deve essere previamente informato, oralmente o per iscritto, circa:
* Finalità e modalità del trattamento
* Obbligatorietà o facoltatività conferimento
* Conseguenze dell'eventuale rifiuto
* Soggetti a cui i dati possono essere comunicati
* Diritti dell'interessato (art. 7)
* Estremi del titolare, del responsabile, del rappresentante (in Italia), del responsabile del riscontro alle richieste ex. art. 7
* Può non contenere elementi già noti alla persona o di ostacolo alla sicurezza dello stato
L'informativa dev'essere fornita prima dell'acquisizione dei dati se gli stessi sono raccolti presso l'interessato.
Può essere fornita all'atto della registrazione se i dati sono non sono raccolti presso l'interessato.
L'obbligo di informativa è escluso quando i dati vanno trattati per obbligo di legge, in casi di investigazioni difensive o se lo stabilisce il Garante.
CONSENSO
Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.
Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
Deve essere espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato.
È manifestato in forma scritta quando il trattamento riguarda dati sensibili.
Per i soggetti pubblici il trattamento dei dati avviene solo per lo svolgimento delle funzioni istituzionali. Essi si attengono al codice, ma non devono richiedere il consenso dell'interessato.
Per le professioni sanitarie e la sanità pubblica il codice detta norme particolari
Per i dati sensibili, dev'esserci un consenso scritto dell'interressato.
In taluni casi è prevista la possibilità di compiere il trattamento da parte di privati ed enti pubblici senza rchiedere consenso dell'interessato:
* nell'ambito giudiziario, giuridico, polizia
* per adempimento ad un obbligo di legge o comunitario
* per dati provenienti da pubblici registri, elenchi conoscibili da tutti
* per la conclusione di un contratto, per svolgimento di un'attività economica
* per salvaguardare la vita e l'incolumità fisica
* nello svolgimento di attività investigative
* in casi individuati dal Garante
* da associazioni al loro interno per scopi statutari
* per scopi scientifici, statistici, storici
MISURE MINIME DI SICUREZZA
Quali sono:
* Autenticazione
* Autorizzazione
* Programmi antivirus
* Firewall
* Back-up e piano di disaster recovery
* Utilizzo dei supporti
* Dps
NOTIFICAZIONE
Il titolare notifica il trattamento con mezzi elettronici e telematici didati personali suscettibili di pregiudicare diritti e liberta_dell'interessato L'elenco e_ contenuto nell'art. 37, e altri casi possono essere aggiunti dal Garante
La notificazione deve essere effettuata solo nei seguenti casi
* dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggettimediante una rete di comunicazione elettronica;
* dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni,indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita_, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
* dati idonei a rivelare la vita sessuale o la sfera psichica trattati da Associazioni, enti od Organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religiosoo sindacale;
* dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalita_dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo diservizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
* dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonche_ dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
* dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilita_ economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, acomportamenti illeciti o fraudolenti.
AUTORIZZAZIONE DEL GARANTE
Il principio generale stabilisce che i dati sensibili possono essere trattati solo con consenso scritto dell'interesato e previa autorizzazione del Garante. Viene presentata all'ufficio del Garante che provvede ad esaminare la richiesta e a rispondere entro 45 giorni.
Esistono tuttavia delle autorizzazioni in via generale per categorie di trattamenti e di titolari che consentono di operare senza effettuare alcuna richiesta.