29/04/2015

1

1

Introduzione al diritto alla

protezione dei dati personali

Michela Rossi

michela.rossi@unibo.it

2

� il diritto alla riservatezza � diritto “alla tutela di quelle situazioni personali ofamiliari svoltesi anche al di fuori del domicilio domestico che non hanno per i terzi uninteresse socialmente apprezzabile, contro le ingerenze non giustificate da interessi pubbliciprevalenti, anche se lecite e tali da non offendere l’onore e il decoro. Questo diritto non puòessere negato ad alcuna categoria di persone, solo in considerazione della loro notorietà, salvoche un reale interesse sociale all’informazione o altre esigenze pubbliche lo esigano”. (Cass.27 maggio 1975, n. 2129)

� il diritto alla protezione dei dati personali � «Chiunque ha diritto allaprotezione dei dati personali che lo riguardano». (art. 1 Codice privacy)

� Art. 2. Finalità

� 1. Il presente testo unico, di seguito denominato "codice", garantisce che iltrattamento dei dati personali si svolga nel rispetto dei diritti e delle libertàfondamentali, nonché della dignità dell'interessato, con particolare riferimentoalla riservatezza, all'identità personale e al diritto alla protezione dei datipersonali.

Diritto alla riservatezza/Diritto alla protezione

dei dati personali

29/04/2015

2

3

D.lgs 196/2003 Codice in materia di protezione dei dati personali (c.d. Codice privacy)

DATO PERSONALE � qualunque informazione relativa apersona fisica, identificata o identificabile, anche indirettamente,mediante riferimento a qualsiasi altra informazione, ivi compresoun numero di identificazione personale.

DATI ANONIMI � il dato che in origine, o a seguito ditrattamento, non può più essere associato ad un interessatoidentificato o identificabile.

Definizioni – art. 4

4

DATI SENSIBILI ���� i dati personali idonei a rivelare l'originerazziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, leopinioni politiche, l'adesione a partiti, sindacati, associazioni odorganizzazioni a carattere religioso, filosofico, politico o sindacale,nonché i dati personali idonei a rivelare lo stato di salute e la vitasessuale;

DATI GIUDIZIARI � i dati personali idonei a rivelare provvedimentidi cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R.14 novembre 2002, n. 313, in materia di casellario giudiziale, dianagrafe delle sanzioni amministrative dipendenti da reato e dei relativicarichi pendenti, o la qualità di imputato o di indagato ai sensi degliarticoli 60 e 61 del codice di procedura penale;

Definizioni – art. 4

29/04/2015

3

5

TRATTAMENTO � qualunque operazione o complesso di

operazioni effettuate, anche senza l’ausilio di strumenti elettronici,

concernenti:

Definizioni – art. 4

la raccolta,

l’organizzazione,

la consultazione,

la modificazione,

l’estrazione,

l’utilizzo,

il blocco,

la diffusione,

la registrazione,

la conservazione,

l’elaborazione,

la selezione,

il raffronto,

l’interconnessione,

la comunicazione,

la cancellazione,

la distruzione.

6

COMUNICAZIONE � il dare conoscenza dei dati personali a uno o più

soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel

territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma,

anche mediante la loro messa a disposizione o consultazione.

DIFFUSIONE � il dare conoscenza di dati personali a soggetti

indeterminati, in qualunque forma, anche mediante la loro messa a

disposizione o consultazione.

Definizioni – art. 4

29/04/2015

4

7

Ambito soggettivo

TITOLARE

persona fisica, persona giuridica,

pubblica amministrazione e qualsiasi

altro ente, associazione od organismo

INCARICATO

Persona fisica

RESPONSABILE

persona fisica, persona giuridica,

pubblica amministrazione e qualsiasi

altro ente, associazione od organismo

INTERESSATO

La persona cui i

dati si riferiscono

8

INTERESSATO del trattamento � la persona fisica cui si riferiscono i

dati personali.

TITOLARE del trattamento � la persona fisica, la persona giuridica, la

pubblica amministrazione e qualsiasi altro ente, associazione od organismo

cui competono, anche unitamente ad altro titolare, le decisione in ordine alle

finalità, alle modalità del trattamento di dati personali e agli strumenti

utilizzati, ivi compreso il profilo della sicurezza.

L’interessato e il Titolare – art. 28

29/04/2015

5

9

RESPONSABILE del trattamento � la persona fisica, la persona

giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione o

organismo preposti dal titolare al trattamento dei dati personali.

In particolare:

� la sua nomina dal parte del titolare del trattamento è facoltativa;

� requisiti: esperienza, capacità e affidabilità;

� è richiesta per la nomina la forma scritta ad substantiam;

� deve attenersi alle istruzioni impartite dal titolare;

Il responsabile – art. 29

10

INCARICATO del trattamento � è la persona fisica autorizzata dal

titolare o dal responsabile a compiere le operazioni di trattamento.

In particolare:

� designazione effettuata dal titolare o dal responsabile per iscritto,

ad substantiam;

� gestisce concretamente i dati;

� è sempre e soltanto una persona fisica;

� deve attenersi alle istruzioni impartite dal titolare o dal responsabile.

L’incaricato – art. 30

29/04/2015

6

11

Il Garante per la protezione dei dati personali

Il Garante privacy è un’autorità amministrativa indipendente

(istituita nel 1996), è organo collegiale costituito da quattro

componenti, eletti due dalla Camera dei deputati e due dal Senato

della Repubblica;

I componenti:

� sono scelti tra esperti di riconosciuta competenza;

� durano in carica sette anni;

� eleggono nel loro ambito un presidente, il cui voto prevale in caso

di parità.

12

Il Garante per la protezione dei dati personali

Art. 153 del Codice privacy

I compiti:

� controlla se i trattamenti sono effettuati nel rispetto della

disciplina applicabile;

� Esaminare reclami e segnalazioni nonché decidere i ricorsi

presentati dagli interessati o dalle associazioni che li rappresentano;

� promuove la sottoscrizione di codici deontologici;

� segnala al Governo e al Parlamento l’opportunità di interventi

normativi;

� esprime pareri;

� (…).

29/04/2015

7

13

Presupposti di legittimità del

trattamento

14

L’informativa – art. 13

L’interessato o la persona presso la quale sono raccolti i datipersonali sono previamente informati, oralmente o periscritto, circa:

� le finalità e le modalità del trattamento cui sono destinati i dati;

� la natura obbligatoria o facoltativa del conferimento dei dati;

� le conseguenze di un eventuale rifiuto di rispondere;

� i soggetti o le categorie di soggetti ai quali i dati personali possonoessere comunicati o che possono venirne a conoscenza in qualità diresponsabili o incaricati;

� l’ambito di diffusione dei dati medesimi;

� i diritti spettanti all’interessato;

� gli estremi identificativi del titolare e, se questo designato, delresponsabile

29/04/2015

8

15

L’informativa – art. 13

L’informativa non è dovuta se:

� i dati sono trattati in base ad un obbligo previsto dalla legge;

� i dati sono trattati ai fini dello svolgimento delle investigazioni

difensive;

� l’informativa all’interessato comporta un impiego di mezzi che il

Garante dichiari manifestamente sproporzionati rispetto al

diritto tutelato, ovvero si riveli, a giudizio del Garante,

impossibile.

16

L’informativa (art. 13)

OMESSA O

INCOMPLETA

INFORMATIVA

SANZIONI

AMMINISTRATIVE

29/04/2015

9

17

Il Consenso

Il consenso deve essere:

� Preventivo

� informato, cioè è necessario che l’interessato abbia

preventivamente avuto l’informativa;

� documentato per iscritto (salvo per i dati sensibili);

� espresso (non tacito), libero, specifico.

In taluni casi tassativamente elencati è possibile effettuare iltrattamento senza il consenso dell’interessato: ad es. per adempieread un obbligo previsto dalla legge; se i dati provengono da pubbliciregistri; per la salvaguardia della vita o dell’incolumità fisica di unterzo; quando il trattamento riguarda dati contenuti nei curriculaspontaneamente trasmessi dagli interessati […] (art. 24).

18

Presupposti di legittimità del trattamento

Trattamento dei

dati effettuato da

un SOGGETTO

PRIVATO

Trattamento dei

dati effettuato da

un SOGGETTO

PUBBLICO

DATI PERSONALI

Informativa + consenso dell’interessato

DATI SENSIBILI

Informativa + Consenso scritto dell’interessato +

autorizzazione del Garante

DATI PERSONALI

Informativa + finalizzato all’adempimento delle funzioni

istituzionali + nel rispetto dei limiti stabili dal Garante

DATI SENSIBILI e DATI GIUDIZIARI

Informativa + solo se autorizzato da espressa previsione

di legge

DATI GIUDIZIARI

solo se autorizzato da espressa previsione di legge

29/04/2015

10

19

La notificazione – art. 37

Il titolare deve notificare al Garante che intende procedere al

trattamento dei dati solo se tale trattamento riguarda:

� dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti

mediante una rete di comunicazione elettronica;

� dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita;

� dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od

organismi senza scopo di lucro;

� dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità

dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di

servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili

per fornire i servizi medesimi agli utenti;

� dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché

dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;

� dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio

sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni,

a comportamenti illeciti o fraudolenti.

20

La notificazione

La notificazione non è un’istanza di autorizzazione, ma è una

semplice comunicazione che il titolare effettua al Garante.

Deve essere inoltrata utilizzando l’apposito modello

Ricevuta la notificazione il Garante è tenuto a registrare le

informazioni in essa contenute nel Registro dei Trattamenti che è

accessibile al pubblico.

29/04/2015

11

21

La notificazione

OMESSA O

INCOMPLETA

NOTIFICAZIONE

SANZIONI

AMMINISTRATIVE

NOTIFICAZIONE

CON NOTIZIE

FALSE

SANZIONI

PENALI

22

I principi

29/04/2015

12

23

I principi

ART. 3 – PRINCIPIO di NECESSITA’ NEL TRATTAMENTO DEI DATI

Configurazione dei sistemi informativi e dei programmi informatici in modo da

ridurre al minimo l’utilizzo di dati personali e identificativi.

ART. 11 – MODALITA’ di TRATTAMENTO E REQUISITI DEI DATI

-Principio di liceità e correttezza

- Principio di finalità (scopi determinati, espliciti e legittimi)

-Principio di pertinenza e non eccedenza (non eccedenti le finalità)

- conservazione dei dati (diritto all’oblio)

24

Principio di necessità nel trattamento dei dati

Articolo 3: «I sistemi informativi e i programmi informatici sono

configurati riducendo al minimo l’utilizzazione di dati personali e di dati

identificativi, in modo da escluderne il trattamento quando le finalità

perseguite nei singoli casi possono essere realizzate mediante,

rispettivamente, dati anonimi od opportune modalità che

permettano di identificare l’interessato solo in caso di necessità.”

I principi

29/04/2015

13

25

Il trattamento e le condizioni di legittimità.

L’art. 11 regola i diversi momenti del trattamento: quelli relativi alla

raccolta dei dati, ai requisiti dei dati, alle modalità di elaborazione e

di conservazione.

«I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza (principio di

liceità e correttezza);

b) raccolti e registrati per scopi determinati, espliciti e legittimi,ed utilizzati in altre operazioni del trattamento in termini

compatibili con tali scopi (principio di finalità);

I principi

26

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità

per le quali sono raccolti o successivamente trattati (principio

di pertinenza e di non eccedenza);

e) conservati in una forma che consenta l’identificazione

dell’interessato per un periodo di tempo non superiore a quello

necessario agli scopi per i quali essi sono stati raccolti o

successivamente trattati.

I dati personali trattati in violazione della disciplina rilevante

in materia di trattamento dei dati personali non possono

essere utilizzati».

I principi

29/04/2015

14

27

Le misure di sicurezza

28

Le misure “idonee” di sicurezza – art. 31

I dati personali oggetto di trattamento sono custoditi e controllati,

anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla

natura dei dati e alle specifiche caratteristiche del trattamento, in modo da

ridurre al minimo, mediante l’adozione di idonee e preventive

misure di sicurezza, i rischi di distruzione o perdita, anche

accidentale, dei dati stessi, di accesso non autorizzato o di

trattamento non consentito o non conforme alle finalità della

raccolta.

Tali misure:

� sono ulteriori rispetto a quelle minime;

� non sono individuate a priori;

� dipendono dal tipo di dati trattati e dal progresso tecnologico.

29/04/2015

15

29

Le misure “idonee” di sicurezza

Ai sensi dell'art. 15 Codice privacy

Chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto

al risarcimento ai sensi dell'art. 2050 c.c..

L'art. 2050 c.c. Responsabilità per l'esercizio di attività pericolose

Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua

natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di

avere adottato tutte le misure idonee a evitare il danno.

30

Le misure “minime” di sicurezza (artt. 33 e ss)

I titolari del trattamento sono tenuti ad adottare le misure minime

di sicurezza, tassativamente individuate dallo stesso Codice e da un

apposito disciplinare tecnico, volte ad assicurare un livello minimo di

protezione dei dati personali (art. 33).

Misure minime: il complesso delle misure tecniche, informatiche,

organizzative, logistiche e procedurali di sicurezza che configurano il livello

minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31. (art.

4)

29/04/2015

16

31

Le misure “minime” di sicurezza

Art. 34. Trattamenti con strumenti elettronici

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare

tecnico contenuto nell'allegato B), le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla

manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati

programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) [soppressa] (1);

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la

vita sessuale effettuati da organismi sanitari.

[…]

Art. 35. Trattamenti senza l'ausilio di strumenti elettronici

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate, nei modi previsti

dal disciplinare tecnico contenuto nell'allegato B), le seguenti misure minime:

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di

accesso finalizzata all'identificazione degli incaricati.

32

Mancata adozione delle misure “minime” (art. 169)

MANCATA

ADOZIONE

DELLE MISURE

MINIME

SANZIONI

PENALI

E

AMMINISTRATIVE

29/04/2015

17

33

I diritti dell’interessato

34

I diritti dell’interessato – art. 7

L’interessato ha diritto di ottenere:

� la conferma dell’esistenza o meno di dati personali che loriguardano;

� la loro comunicazione in forma intellegibile;

� l’indicazione dell’origine dei dati, delle finalità e modalità ditrattamento, della logica applicata in caso di trattamentoeffettuato con l’ausilio di mezzi elettronici, degli estremiidentificativi del titolare, dei responsabili, dei soggetti o categoriedi soggetti ai quali i dati possono essere comunicati.

29/04/2015

18

35

I diritti dell’interessato – art. 7

L’interessato ha, inoltre, diritto di ottenere:

� l’aggiornamento, la rettificazione ovvero, quando vi hainteresse, l’integrazione dei dati;

� la cancellazione, la trasformazione in forma anonima o ilblocco dei dati trattati in violazione di legge, compresi quelli dicui non è necessaria la conservazione in relazione agli scopi per iquali i dati sono stati raccolti o successivamente trattati,

� l’attestazione che le operazione di cui ai primi due punti sonostate portate a conoscenza, anche per quanto riguarda il lorocontenuto, di coloro ai quali i dati sono stati comunicati o diffusi,eccetto il caso in cui tale adempimento si rileva impossibile ocomporta un impiego di mezzi manifestamente sproporzionatorispetto al diritto tutelato.

36

I diritti dell’interessato – art. 7

L’interessato ha, infine, diritto di opporsi, in tutto o in parte:

� per motivi legittimi, al trattamento dei dati personali che lo

riguardano, ancorché pertinenti allo scopo della raccolta;

� al trattamento di dati personali che lo riguardano a fini di invio di

materiale pubblicitario o di vendita diretta per il compimento di

ricerche di mercato o di comunicazione commerciale.

29/04/2015

19

37

Esercizio dei diritti – l’interpello preventivo

I diritti dell’interessato sono esercitati con richiesta rivolta, senza formalità, al

titolare o al responsabile del trattamento, anche per il tramite di un incaricato.

Il titolare (o il responsabile del trattamento) è tenuto a fornire idoneo riscontro

senza ritardo alla richiesta dell’interessato.

Il riscontro deve essere fornito entro 15 g. dal ricevimento della richiesta (art.

146).

Il titolare è tenuto, inoltre, ad adottare idonee misure volte ad agevolare l’accesso

ai dati personali da parte dell’interessato e a semplificare le modalità e a ridurre i

tempi per il riscontro al richiedente.

Tutela con Ricorso:

� all’autorità giudiziaria (ricorso ex art. 152) oppure

� al Garante per la protezione dei dati personali (art. 145 comma 1)

38

Tutela dei diritti

Tutte le controversie che riguardano l’applicazione del Codice

privacy sono di competenza dell’autorità giudiziaria ordinaria che

decide con procedimento camerale ed in composizione

monocratica (Tribunale civile in composizione monocratica).

29/04/2015

20

39

La responsabilità nel trattamento dei dati

La responsabilità civile

Art 15, Codice privacy: «Chiunque cagiona danno ad

altri per effetto del trattamento dei dati personali è tenuto

al risarcimento ai sensi dell’art. 2050 del codice civile».

Art. 2050 c.c.: «Chiunque cagiona danno ad altri nello

svolgimento di un’attività pericolosa, per sua natura o per la

natura dei mezzi adoperati, è tenuto al risarcimento, se

non prova di avere adottato tutte le misure idonee a

evitare il danno».

40

La responsabilità nel trattamento dei dati

� «… ai sensi dell’art. 2050 c.c.»:

� inversione dell’onere della prova rispetto a quanto previsto

dall’art. 2043 c.c.;

ovvero,

� l’interessato dovrà provare: l’evento lesivo, il danno subito ed il

nesso di causalità, ma non la colpa del titolare o del responsabile

(presunzione di colpevolezza);

� il titolare (o il responsabile), per non essere tenuto al

risarcimento, dovrà provare «di aver adottato tutte le misure

idonee ad evitare», in astratto, «il danno».

29/04/2015

21

41

La responsabilità nel trattamento dei dati

� «… danno …»:

� patrimoniale;

� non patrimoniale.

Art. 15. comma 2

« Il danno non patrimoniale è risarcibile anche in caso di violazione

dell'articolo 11».

42

La responsabilità nel trattamento dei dati

La responsabilità penale

Il Codice privacy prevede sanzioni penali al fine di garantire il

rispetto della normativa sulla tutela dei dati personali.

In particolare, in caso di:

Art. 167. Trattamento illecito di dati

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè

o per altri profitto o di recare ad altri un danno, procede al trattamento di dati

personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130,

ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento,

con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione

o diffusione, con la reclusione da sei a ventiquattro mesi.

29/04/2015

22

43

La responsabilità nel trattamento dei dati

Art. 169. Misure di sicurezza

1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto

sino a due anni.

2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è

impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo

tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento

e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta

l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del

massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato.

L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e

24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

Art. 170. Inosservanza di provvedimenti del Garante

Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2,

90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

Art. 172. Pene accessorie

1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza.

44

La responsabilità nel trattamento dei dati

La responsabilità amministrativa

Il Codice privacy prevede sanzioni amministrative in caso di:

� omessa o inidonea informativa all’interessato (art. 161);

� mancata adozione di misure minime di sicurezza (art. 162);

� omessa o incompleta notificazione (art. 163);

� omessa informazione o esibizione di documenti al Garante(art. 164);

�(…).

29/04/2015

23

45

In caso di cessazione, per qualsiasi causa, di un trattamento i dati devono

essere:

� Distrutti

� Ceduti ad altro titolare purchè destinati ad un trattamento in termini compatibili agli

scopi per i quali sono stati raccolti

� Conservati esclusivamente per fini personali e non destinati ad una comunicazione

sistematica o alla diffusione

� Conservati o ceduti ad altro titolare per scopo storici, statistici, scientifici, in

conformità alla legge, ai regolamenti […]

La cessione in violazione delle disposizioni vigenti è priva di effetti.

Cessazione trattamento – art. 16

46

Ambito di applicazione – art. 5

Le disposizioni del Codice privacy si applicano

1. ad ogni tipo di trattamento non solo quello elettronico;

2. a qualunque trattamento di dati personali, anche detenuti

all’estero, effettuato da chiunque è stabilito nel territorio dello

Stato o in un luogo comunque soggetto alla sovranità dello

Stato;

3. ai trattamenti svolti da chiunque è stabilito nel territorio di un

paese non appartenente alla Unione europea e impiega

strumenti situati nel territorio italiano;

4. NON si applica al trattamento dei dati effettuati da persone

fisiche per fini esclusivamente personali che non prevedano la

diffusione dei dati o la loro comunicazione sistematica.

29/04/2015

24

47

Direttiva 95/46/CEArticolo 25 - Principi

1. Gli Stati membri dispongono che il trasferimento verso un paese terzo di dati personali oggetto di un trattamento o destinati a

essere oggetto di un trattamento dopo il trasferimento può aver luogo soltanto se il paese terzo di cui trattasi garantisce un livello

di protezione adeguato, fatte salve le misure nazionali di attuazione delle altre disposizioni della presente direttiva.

2. L'adeguatezza del livello di protezione garantito da un paese terzo è valutata con riguardo a tutte le circostanze relative ad un

trasferimento o ad una categoria di trasferimenti di dati; in particolare sono presi in considerazione la natura dei dati, le finalità

del o dei trattamenti previsti, il paese d'origine e il paese di destinazione finale, le norme di diritto, generali o settoriali, vigenti nel

paese terzo di cui trattasi, nonché le regole professionali e le misure di sicurezza ivi osservate. [....]

Articolo 26 - Deroghe

1. In deroga all'articolo 25 e fatte salve eventuali disposizioni contrarie della legislazione nazionale per casi specifici, gli Stati membri

dispongono che un trasferimento di dati personali verso un paese terzo che non garantisce una tutela adeguata ai sensi

del'articolo 25, paragrafo 2 può avvenire a condizione che:

a) la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile al trasferimento previsto, oppure

b) il trasferimento sia necessario per l'esecuzione di un contratto tra la persona interessata ed il responsabile del trattamento o per

l'esecuzione di misure precontrattuali prese a richiesta di questa, oppure

c) il trasferimento sia necessario per la conclusione o l'esecuzione di un contratto, concluso o da concludere nell'interesse della persona

interessata, tra il responsabile del trattamento e un terzo, oppure

d) il trasferimento sia necessario o prescritto dalla legge per la salvaguardia di un interesse pubblico rilevante, oppure per costatare,

esercitare o difendere un diritto per via giudiziaria, oppure

e) il trasferimento sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure [...]

2. Salvo il disposto del paragrafo 1, uno Stato membro può autorizzare un trasferimento o una categoria di trasferimenti di dati

personali verso un paese terzo che non garantisca un livello di protezione adeguato ai sensi dell'articolo 25, paragrafo 2, qualora il

responsabile del trattamento presenti garanzie sufficienti per la tutela della vita privata e dei diritti e delle libertà fondamentali

delle persone, nonché per l'esercizio dei diritti connessi; tali garanzie possono segnatamente risultare da clausole contrattuali

appropriate.