introduzione al diritto alla protezione dei dati personali...29/04/2015 1 1 introduzione al diritto...
TRANSCRIPT
29/04/2015
1
1
Introduzione al diritto alla
protezione dei dati personali
Michela Rossi
2
� il diritto alla riservatezza � diritto “alla tutela di quelle situazioni personali ofamiliari svoltesi anche al di fuori del domicilio domestico che non hanno per i terzi uninteresse socialmente apprezzabile, contro le ingerenze non giustificate da interessi pubbliciprevalenti, anche se lecite e tali da non offendere l’onore e il decoro. Questo diritto non puòessere negato ad alcuna categoria di persone, solo in considerazione della loro notorietà, salvoche un reale interesse sociale all’informazione o altre esigenze pubbliche lo esigano”. (Cass.27 maggio 1975, n. 2129)
� il diritto alla protezione dei dati personali � «Chiunque ha diritto allaprotezione dei dati personali che lo riguardano». (art. 1 Codice privacy)
� Art. 2. Finalità
� 1. Il presente testo unico, di seguito denominato "codice", garantisce che iltrattamento dei dati personali si svolga nel rispetto dei diritti e delle libertàfondamentali, nonché della dignità dell'interessato, con particolare riferimentoalla riservatezza, all'identità personale e al diritto alla protezione dei datipersonali.
Diritto alla riservatezza/Diritto alla protezione
dei dati personali
29/04/2015
2
3
D.lgs 196/2003 Codice in materia di protezione dei dati personali (c.d. Codice privacy)
DATO PERSONALE � qualunque informazione relativa apersona fisica, identificata o identificabile, anche indirettamente,mediante riferimento a qualsiasi altra informazione, ivi compresoun numero di identificazione personale.
DATI ANONIMI � il dato che in origine, o a seguito ditrattamento, non può più essere associato ad un interessatoidentificato o identificabile.
Definizioni – art. 4
4
DATI SENSIBILI ���� i dati personali idonei a rivelare l'originerazziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, leopinioni politiche, l'adesione a partiti, sindacati, associazioni odorganizzazioni a carattere religioso, filosofico, politico o sindacale,nonché i dati personali idonei a rivelare lo stato di salute e la vitasessuale;
DATI GIUDIZIARI � i dati personali idonei a rivelare provvedimentidi cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R.14 novembre 2002, n. 313, in materia di casellario giudiziale, dianagrafe delle sanzioni amministrative dipendenti da reato e dei relativicarichi pendenti, o la qualità di imputato o di indagato ai sensi degliarticoli 60 e 61 del codice di procedura penale;
Definizioni – art. 4
29/04/2015
3
5
TRATTAMENTO � qualunque operazione o complesso di
operazioni effettuate, anche senza l’ausilio di strumenti elettronici,
concernenti:
Definizioni – art. 4
la raccolta,
l’organizzazione,
la consultazione,
la modificazione,
l’estrazione,
l’utilizzo,
il blocco,
la diffusione,
la registrazione,
la conservazione,
l’elaborazione,
la selezione,
il raffronto,
l’interconnessione,
la comunicazione,
la cancellazione,
la distruzione.
6
COMUNICAZIONE � il dare conoscenza dei dati personali a uno o più
soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel
territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma,
anche mediante la loro messa a disposizione o consultazione.
DIFFUSIONE � il dare conoscenza di dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione.
Definizioni – art. 4
29/04/2015
4
7
Ambito soggettivo
TITOLARE
persona fisica, persona giuridica,
pubblica amministrazione e qualsiasi
altro ente, associazione od organismo
INCARICATO
Persona fisica
RESPONSABILE
persona fisica, persona giuridica,
pubblica amministrazione e qualsiasi
altro ente, associazione od organismo
INTERESSATO
La persona cui i
dati si riferiscono
8
INTERESSATO del trattamento � la persona fisica cui si riferiscono i
dati personali.
TITOLARE del trattamento � la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od organismo
cui competono, anche unitamente ad altro titolare, le decisione in ordine alle
finalità, alle modalità del trattamento di dati personali e agli strumenti
utilizzati, ivi compreso il profilo della sicurezza.
L’interessato e il Titolare – art. 28
29/04/2015
5
9
RESPONSABILE del trattamento � la persona fisica, la persona
giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione o
organismo preposti dal titolare al trattamento dei dati personali.
In particolare:
� la sua nomina dal parte del titolare del trattamento è facoltativa;
� requisiti: esperienza, capacità e affidabilità;
� è richiesta per la nomina la forma scritta ad substantiam;
� deve attenersi alle istruzioni impartite dal titolare;
Il responsabile – art. 29
10
INCARICATO del trattamento � è la persona fisica autorizzata dal
titolare o dal responsabile a compiere le operazioni di trattamento.
In particolare:
� designazione effettuata dal titolare o dal responsabile per iscritto,
ad substantiam;
� gestisce concretamente i dati;
� è sempre e soltanto una persona fisica;
� deve attenersi alle istruzioni impartite dal titolare o dal responsabile.
L’incaricato – art. 30
29/04/2015
6
11
Il Garante per la protezione dei dati personali
Il Garante privacy è un’autorità amministrativa indipendente
(istituita nel 1996), è organo collegiale costituito da quattro
componenti, eletti due dalla Camera dei deputati e due dal Senato
della Repubblica;
I componenti:
� sono scelti tra esperti di riconosciuta competenza;
� durano in carica sette anni;
� eleggono nel loro ambito un presidente, il cui voto prevale in caso
di parità.
12
Il Garante per la protezione dei dati personali
Art. 153 del Codice privacy
I compiti:
� controlla se i trattamenti sono effettuati nel rispetto della
disciplina applicabile;
� Esaminare reclami e segnalazioni nonché decidere i ricorsi
presentati dagli interessati o dalle associazioni che li rappresentano;
� promuove la sottoscrizione di codici deontologici;
� segnala al Governo e al Parlamento l’opportunità di interventi
normativi;
� esprime pareri;
� (…).
29/04/2015
7
13
Presupposti di legittimità del
trattamento
14
L’informativa – art. 13
L’interessato o la persona presso la quale sono raccolti i datipersonali sono previamente informati, oralmente o periscritto, circa:
� le finalità e le modalità del trattamento cui sono destinati i dati;
� la natura obbligatoria o facoltativa del conferimento dei dati;
� le conseguenze di un eventuale rifiuto di rispondere;
� i soggetti o le categorie di soggetti ai quali i dati personali possonoessere comunicati o che possono venirne a conoscenza in qualità diresponsabili o incaricati;
� l’ambito di diffusione dei dati medesimi;
� i diritti spettanti all’interessato;
� gli estremi identificativi del titolare e, se questo designato, delresponsabile
29/04/2015
8
15
L’informativa – art. 13
L’informativa non è dovuta se:
� i dati sono trattati in base ad un obbligo previsto dalla legge;
� i dati sono trattati ai fini dello svolgimento delle investigazioni
difensive;
� l’informativa all’interessato comporta un impiego di mezzi che il
Garante dichiari manifestamente sproporzionati rispetto al
diritto tutelato, ovvero si riveli, a giudizio del Garante,
impossibile.
16
L’informativa (art. 13)
OMESSA O
INCOMPLETA
INFORMATIVA
SANZIONI
AMMINISTRATIVE
29/04/2015
9
17
Il Consenso
Il consenso deve essere:
� Preventivo
� informato, cioè è necessario che l’interessato abbia
preventivamente avuto l’informativa;
� documentato per iscritto (salvo per i dati sensibili);
� espresso (non tacito), libero, specifico.
In taluni casi tassativamente elencati è possibile effettuare iltrattamento senza il consenso dell’interessato: ad es. per adempieread un obbligo previsto dalla legge; se i dati provengono da pubbliciregistri; per la salvaguardia della vita o dell’incolumità fisica di unterzo; quando il trattamento riguarda dati contenuti nei curriculaspontaneamente trasmessi dagli interessati […] (art. 24).
18
Presupposti di legittimità del trattamento
Trattamento dei
dati effettuato da
un SOGGETTO
PRIVATO
Trattamento dei
dati effettuato da
un SOGGETTO
PUBBLICO
DATI PERSONALI
Informativa + consenso dell’interessato
DATI SENSIBILI
Informativa + Consenso scritto dell’interessato +
autorizzazione del Garante
DATI PERSONALI
Informativa + finalizzato all’adempimento delle funzioni
istituzionali + nel rispetto dei limiti stabili dal Garante
DATI SENSIBILI e DATI GIUDIZIARI
Informativa + solo se autorizzato da espressa previsione
di legge
DATI GIUDIZIARI
solo se autorizzato da espressa previsione di legge
29/04/2015
10
19
La notificazione – art. 37
Il titolare deve notificare al Garante che intende procedere al
trattamento dei dati solo se tale trattamento riguarda:
� dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica;
� dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita;
� dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od
organismi senza scopo di lucro;
� dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità
dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di
servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili
per fornire i servizi medesimi agli utenti;
� dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché
dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
� dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio
sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni,
a comportamenti illeciti o fraudolenti.
20
La notificazione
La notificazione non è un’istanza di autorizzazione, ma è una
semplice comunicazione che il titolare effettua al Garante.
Deve essere inoltrata utilizzando l’apposito modello
Ricevuta la notificazione il Garante è tenuto a registrare le
informazioni in essa contenute nel Registro dei Trattamenti che è
accessibile al pubblico.
29/04/2015
11
21
La notificazione
OMESSA O
INCOMPLETA
NOTIFICAZIONE
SANZIONI
AMMINISTRATIVE
NOTIFICAZIONE
CON NOTIZIE
FALSE
SANZIONI
PENALI
22
I principi
29/04/2015
12
23
I principi
ART. 3 – PRINCIPIO di NECESSITA’ NEL TRATTAMENTO DEI DATI
Configurazione dei sistemi informativi e dei programmi informatici in modo da
ridurre al minimo l’utilizzo di dati personali e identificativi.
ART. 11 – MODALITA’ di TRATTAMENTO E REQUISITI DEI DATI
-Principio di liceità e correttezza
- Principio di finalità (scopi determinati, espliciti e legittimi)
-Principio di pertinenza e non eccedenza (non eccedenti le finalità)
- conservazione dei dati (diritto all’oblio)
24
Principio di necessità nel trattamento dei dati
Articolo 3: «I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l’utilizzazione di dati personali e di dati
identificativi, in modo da escluderne il trattamento quando le finalità
perseguite nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalità che
permettano di identificare l’interessato solo in caso di necessità.”
I principi
29/04/2015
13
25
Il trattamento e le condizioni di legittimità.
L’art. 11 regola i diversi momenti del trattamento: quelli relativi alla
raccolta dei dati, ai requisiti dei dati, alle modalità di elaborazione e
di conservazione.
«I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza (principio di
liceità e correttezza);
b) raccolti e registrati per scopi determinati, espliciti e legittimi,ed utilizzati in altre operazioni del trattamento in termini
compatibili con tali scopi (principio di finalità);
I principi
26
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità
per le quali sono raccolti o successivamente trattati (principio
di pertinenza e di non eccedenza);
e) conservati in una forma che consenta l’identificazione
dell’interessato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
I dati personali trattati in violazione della disciplina rilevante
in materia di trattamento dei dati personali non possono
essere utilizzati».
I principi
29/04/2015
14
27
Le misure di sicurezza
28
Le misure “idonee” di sicurezza – art. 31
I dati personali oggetto di trattamento sono custoditi e controllati,
anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla
natura dei dati e alle specifiche caratteristiche del trattamento, in modo da
ridurre al minimo, mediante l’adozione di idonee e preventive
misure di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o di
trattamento non consentito o non conforme alle finalità della
raccolta.
Tali misure:
� sono ulteriori rispetto a quelle minime;
� non sono individuate a priori;
� dipendono dal tipo di dati trattati e dal progresso tecnologico.
29/04/2015
15
29
Le misure “idonee” di sicurezza
Ai sensi dell'art. 15 Codice privacy
Chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto
al risarcimento ai sensi dell'art. 2050 c.c..
L'art. 2050 c.c. Responsabilità per l'esercizio di attività pericolose
Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua
natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di
avere adottato tutte le misure idonee a evitare il danno.
30
Le misure “minime” di sicurezza (artt. 33 e ss)
I titolari del trattamento sono tenuti ad adottare le misure minime
di sicurezza, tassativamente individuate dallo stesso Codice e da un
apposito disciplinare tecnico, volte ad assicurare un livello minimo di
protezione dei dati personali (art. 33).
Misure minime: il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano il livello
minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31. (art.
4)
29/04/2015
16
31
Le misure “minime” di sicurezza
Art. 34. Trattamenti con strumenti elettronici
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare
tecnico contenuto nell'allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla
manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati
programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
g) [soppressa] (1);
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la
vita sessuale effettuati da organismi sanitari.
[…]
Art. 35. Trattamenti senza l'ausilio di strumenti elettronici
Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti
dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:
a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di
accesso finalizzata all'identificazione degli incaricati.
32
Mancata adozione delle misure “minime” (art. 169)
MANCATA
ADOZIONE
DELLE MISURE
MINIME
SANZIONI
PENALI
E
AMMINISTRATIVE
29/04/2015
17
33
I diritti dell’interessato
34
I diritti dell’interessato – art. 7
L’interessato ha diritto di ottenere:
� la conferma dell’esistenza o meno di dati personali che loriguardano;
� la loro comunicazione in forma intellegibile;
� l’indicazione dell’origine dei dati, delle finalità e modalità ditrattamento, della logica applicata in caso di trattamentoeffettuato con l’ausilio di mezzi elettronici, degli estremiidentificativi del titolare, dei responsabili, dei soggetti o categoriedi soggetti ai quali i dati possono essere comunicati.
29/04/2015
18
35
I diritti dell’interessato – art. 7
L’interessato ha, inoltre, diritto di ottenere:
� l’aggiornamento, la rettificazione ovvero, quando vi hainteresse, l’integrazione dei dati;
� la cancellazione, la trasformazione in forma anonima o ilblocco dei dati trattati in violazione di legge, compresi quelli dicui non è necessaria la conservazione in relazione agli scopi per iquali i dati sono stati raccolti o successivamente trattati,
� l’attestazione che le operazione di cui ai primi due punti sonostate portate a conoscenza, anche per quanto riguarda il lorocontenuto, di coloro ai quali i dati sono stati comunicati o diffusi,eccetto il caso in cui tale adempimento si rileva impossibile ocomporta un impiego di mezzi manifestamente sproporzionatorispetto al diritto tutelato.
36
I diritti dell’interessato – art. 7
L’interessato ha, infine, diritto di opporsi, in tutto o in parte:
� per motivi legittimi, al trattamento dei dati personali che lo
riguardano, ancorché pertinenti allo scopo della raccolta;
� al trattamento di dati personali che lo riguardano a fini di invio di
materiale pubblicitario o di vendita diretta per il compimento di
ricerche di mercato o di comunicazione commerciale.
29/04/2015
19
37
Esercizio dei diritti – l’interpello preventivo
I diritti dell’interessato sono esercitati con richiesta rivolta, senza formalità, al
titolare o al responsabile del trattamento, anche per il tramite di un incaricato.
Il titolare (o il responsabile del trattamento) è tenuto a fornire idoneo riscontro
senza ritardo alla richiesta dell’interessato.
Il riscontro deve essere fornito entro 15 g. dal ricevimento della richiesta (art.
146).
Il titolare è tenuto, inoltre, ad adottare idonee misure volte ad agevolare l’accesso
ai dati personali da parte dell’interessato e a semplificare le modalità e a ridurre i
tempi per il riscontro al richiedente.
Tutela con Ricorso:
� all’autorità giudiziaria (ricorso ex art. 152) oppure
� al Garante per la protezione dei dati personali (art. 145 comma 1)
38
Tutela dei diritti
Tutte le controversie che riguardano l’applicazione del Codice
privacy sono di competenza dell’autorità giudiziaria ordinaria che
decide con procedimento camerale ed in composizione
monocratica (Tribunale civile in composizione monocratica).
29/04/2015
20
39
La responsabilità nel trattamento dei dati
La responsabilità civile
Art 15, Codice privacy: «Chiunque cagiona danno ad
altri per effetto del trattamento dei dati personali è tenuto
al risarcimento ai sensi dell’art. 2050 del codice civile».
Art. 2050 c.c.: «Chiunque cagiona danno ad altri nello
svolgimento di un’attività pericolosa, per sua natura o per la
natura dei mezzi adoperati, è tenuto al risarcimento, se
non prova di avere adottato tutte le misure idonee a
evitare il danno».
40
La responsabilità nel trattamento dei dati
� «… ai sensi dell’art. 2050 c.c.»:
� inversione dell’onere della prova rispetto a quanto previsto
dall’art. 2043 c.c.;
ovvero,
� l’interessato dovrà provare: l’evento lesivo, il danno subito ed il
nesso di causalità, ma non la colpa del titolare o del responsabile
(presunzione di colpevolezza);
� il titolare (o il responsabile), per non essere tenuto al
risarcimento, dovrà provare «di aver adottato tutte le misure
idonee ad evitare», in astratto, «il danno».
29/04/2015
21
41
La responsabilità nel trattamento dei dati
� «… danno …»:
� patrimoniale;
� non patrimoniale.
Art. 15. comma 2
« Il danno non patrimoniale è risarcibile anche in caso di violazione
dell'articolo 11».
42
La responsabilità nel trattamento dei dati
La responsabilità penale
Il Codice privacy prevede sanzioni penali al fine di garantire il
rispetto della normativa sulla tutela dei dati personali.
In particolare, in caso di:
Art. 167. Trattamento illecito di dati
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè
o per altri profitto o di recare ad altri un danno, procede al trattamento di dati
personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130,
ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento,
con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione
o diffusione, con la reclusione da sei a ventiquattro mesi.
29/04/2015
22
43
La responsabilità nel trattamento dei dati
Art. 169. Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto
sino a due anni.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è
impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento
e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta
l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del
massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato.
L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e
24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.
Art. 170. Inosservanza di provvedimenti del Garante
Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2,
90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.
Art. 172. Pene accessorie
1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza.
44
La responsabilità nel trattamento dei dati
La responsabilità amministrativa
Il Codice privacy prevede sanzioni amministrative in caso di:
� omessa o inidonea informativa all’interessato (art. 161);
� mancata adozione di misure minime di sicurezza (art. 162);
� omessa o incompleta notificazione (art. 163);
� omessa informazione o esibizione di documenti al Garante(art. 164);
�(…).
29/04/2015
23
45
In caso di cessazione, per qualsiasi causa, di un trattamento i dati devono
essere:
� Distrutti
� Ceduti ad altro titolare purchè destinati ad un trattamento in termini compatibili agli
scopi per i quali sono stati raccolti
� Conservati esclusivamente per fini personali e non destinati ad una comunicazione
sistematica o alla diffusione
� Conservati o ceduti ad altro titolare per scopo storici, statistici, scientifici, in
conformità alla legge, ai regolamenti […]
La cessione in violazione delle disposizioni vigenti è priva di effetti.
Cessazione trattamento – art. 16
46
Ambito di applicazione – art. 5
Le disposizioni del Codice privacy si applicano
1. ad ogni tipo di trattamento non solo quello elettronico;
2. a qualunque trattamento di dati personali, anche detenuti
all’estero, effettuato da chiunque è stabilito nel territorio dello
Stato o in un luogo comunque soggetto alla sovranità dello
Stato;
3. ai trattamenti svolti da chiunque è stabilito nel territorio di un
paese non appartenente alla Unione europea e impiega
strumenti situati nel territorio italiano;
4. NON si applica al trattamento dei dati effettuati da persone
fisiche per fini esclusivamente personali che non prevedano la
diffusione dei dati o la loro comunicazione sistematica.
29/04/2015
24
47
Direttiva 95/46/CEArticolo 25 - Principi
1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a
essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello
di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.
2. L'adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un
trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità
del o dei trattamenti previsti, il paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel
paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate. [....]
Articolo 26 - Deroghe
1. In deroga all'articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri
dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi
del'articolo 25, paragrafo 2 può avvenire a condizione che:
a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure
b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per
l'esecuzione di misure precontrattuali prese a richiesta di questa, oppure
c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona
interessata, tra il responsabile del trattamento e un terzo, oppure
d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare,
esercitare o difendere un diritto per via giudiziaria, oppure
e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure [...]
2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati
personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il
responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali
delle persone, nonché per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali
appropriate.