Art. 8.
Protezione dei dati e delle informazioni
1. Agli obblighi di identificazione e registrazione previsti nel
presente regolamento si applicano le disposizioni previste
dall'articolo 11 del codice in materia di protezione dei dati
personali.
2. Gli operatori devono rilasciare ai clienti informativa idonea ad
assolvere agli obblighi previsti dall'articolo 13 del codice in
materia di protezione dei dati personali.
3. L'adempimento degli obblighi di identificazione, conservazione e
segnalazione costituisce «trattamento dei dati», come definito
nell'articolo 4, comma 1, lettera a), del codice in materia di
protezione dei dati personali. Le operazioni di trattamento sono
effettuate dagli incaricati del trattamento che operano sotto la
diretta autorita' del titolare o del responsabile, attenendosi alle
istruzioni da questi impartite. L'individuazione degli incaricati del
trattamento e' effettuata con le modalita' di cui all'articolo 30 del
codice in materia di protezione dei dati personali.
4. Nella tenuta dell'archivio previsto all'articolo 9, gli
operatori sono tenuti al rispetto degli obblighi e delle misure di
sicurezza contenuti negli articoli da 31 a 36 del codice in materia
di protezione dei dati personali.
Note all'art. 8:
- Si riportano gli articoli 11, 13, 4, comma 1, 30 e
dal 31 al 36 del decreto legislativo 30 giugno 2003, n.
196, recante: (Codice in materia di protezione dei dati
personali):
«Art. 11 (Modalita' del trattamento e requisiti dei
dati). - 1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni
del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle
finalita' per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta
l'identificazione dell'interessato per un periodo di tempo
non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della
disciplina rilevante in materia di trattamento dei dati
personali non possono essere utilizzati.».
«Art. 13 (Informativa). - 1. L'interessato o la persona
presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
a) le finalita' e le modalita' del trattamento cui
sono destinati i dati;
b) la natura obbligatoria o facoltativa del
conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di
rispondere;
d) i soggetti o le categorie di soggetti ai quali i
dati personali possono essere comunicati o che possono
venirne a conoscenza in qualita' di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'art. 7;
f) gli estremi identificativi del titolare e, se
designati, del rappresentante nel territorio dello Stato ai
sensi dell'art. 5 e del responsabile. Quando il titolare ha
designato piu' responsabili e' indicato almeno uno di essi,
indicando il sito della rete di comunicazione o le
modalita' attraverso le quali e' conoscibile in modo
agevole l'elenco aggiornato dei responsabili. Quando e'
stato designato un responsabile per il riscontro
all'interessato in caso di esercizio dei diritti di cui
all'art. 7, e' indicato tale responsabile.
2. L'informativa di cui al comma 1 contiene anche gli
elementi previsti da specifiche disposizioni del presente
codice e puo' non comprendere gli elementi gia' noti alla
persona che fornisce i dati o la cui conoscenza puo'
ostacolare in concreto l'espletamento, da parte di un
soggetto pubblico, di funzioni ispettive o di controllo
svolte per finalita' di difesa o sicurezza dello Stato
oppure di prevenzione, accertamento o repressione di reati.
3. Il Garante puo' individuare con proprio
provvedimento modalita' semplificate per l'informativa
fornita in particolare da servizi telefonici di assistenza
e informazione al pubblico.
4. Se i dati personali non sono raccolti presso
l'interessato, l'informativa di cui al comma 1, comprensiva
delle categorie di dati trattati, e' data al medesimo
interessato all'atto della registrazione dei dati o, quando
e' prevista la loro comunicazione, non oltre la prima
comunicazione.
5. La disposizione di cui al comma 4 non si applica
quando:
a) i dati sono trattati in base ad un obbligo
previsto dalla legge, da un regolamento o dalla normativa
comunitaria;
b) i dati sono trattati ai fini dello svolgimento
delle investigazioni difensive di cui alla legge 7 dicembre
2000, n. 397, o, comunque, per far valere o difendere un
diritto in sede giudiziaria, sempre che i dati siano
trattati esclusivamente per tali finalita' e per il periodo
strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comporta un impiego
di mezzi che il Garante, prescrivendo eventuali misure
appropriate, dichiari manifestamente sproporzionati
rispetto al diritto tutelato, ovvero si riveli, a giudizio
del Garante, impossibile.
«Art. 4 (Definizioni). - 1. Ai fini del presente codice
si intende per:
a) «trattamento», qualunque operazione o complesso di
operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione,
il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati;
b) «dato personale», qualunque informazione relativa
a persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
c) «dati identificativi», i dati personali che
permettono l'identificazione diretta dell'interessato;
d) «dati sensibili», i dati personali idonei a
rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico
o sindacale, nonche' i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
e) «dati giudiziari», i dati personali idonei a
rivelare provvedimenti di cui all'art. 3, comma 1, lettere
da a) a o) e da r) a u), del decreto del Presidente della
Repubblica 14 novembre 2002, n. 313, in materia di
casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi
pendenti, o la qualita' di imputato o di indagato ai sensi
degli articoli 60 e 61 del codice di procedura penale;
f) «titolare», la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle
finalita', alle modalita' del trattamento di dati personali
e agli strumenti utilizzati, ivi compreso il profilo della
sicurezza;
g) «responsabile», la persona fisica, la persona
giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo preposti dal titolare al
trattamento di dati personali;
h) «incaricati», le persone fisiche autorizzate a
compiere operazioni di trattamento dal titolare o dal
responsabile;
i) «interessato», la persona fisica, la persona
giuridica, l'ente o l'associazione cui si riferiscono i
dati personali;
l) «comunicazione», il dare conoscenza dei dati
personali a uno o piu' soggetti determinati diversi
dall'interessato, dal rappresentante del titolare nel
territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la loro
messa a disposizione o consultazione;
m) «diffusione», il dare conoscenza dei dati
personali a soggetti indeterminati, in qualunque forma,
anche mediante la loro messa a disposizione o
consultazione;
n) «dato anonimo», il dato che in origine, o a
seguito di trattamento, non puo' essere associato ad un
interessato identificato o identificabile;
o) «blocco», la conservazione di dati personali con
sospensione temporanea di ogni altra operazione del
trattamento;
p) «banca di dati», qualsiasi complesso organizzato
di dati personali, ripartito in una o piu' unita' dislocate
in uno o piu' siti;
q) «Garante», l'autorita' di cui all'art. 153,
istituita dalla legge 31 dicembre 1996, n. 675.».
«Art. 30 (Incaricati del trattamento). - 1. Le
operazioni di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorita' del
titolare o del responsabile, attenendosi alle istruzioni
impartite.
2. La designazione e' effettuata per iscritto e
individua puntualmente l'ambito del trattamento consentito.
Si considera tale anche la documentata preposizione della
persona fisica ad una unita' per la quale e' individuato,
per iscritto, l'ambito del trattamento consentito agli
addetti all'unita' medesima.».
«Art. 31 (Obblighi di sicurezza). - 1. I dati personali
oggetto di trattamento sono custoditi e controllati, anche
in relazione alle conoscenze acquisite in base al progresso
tecnico, alla natura dei dati e alle specifiche
caratteristiche del trattamento, in modo da ridurre al
minimo, mediante l'adozione di idonee e preventive misure
di sicurezza, i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, di accesso non autorizzato o
di trattamento non consentito o non conforme alle finalita'
della raccolta.».
«Art. 32 (Particolari titolari). - 1. Il fornitore di
un servizio di comunicazione elettronica accessibile al
pubblico adotta ai sensi dell'art. 31 idonee misure
tecniche e organizzative adeguate al rischio esistente, per
salvaguardare la sicurezza dei suoi servizi, l'integrita'
dei dati relativi al traffico, dei dati relativi
all'ubicazione e delle comunicazioni elettroniche rispetto
ad ogni forma di utilizzazione o cognizione non consentita.
2. Quando la sicurezza del servizio o dei dati
personali richiede anche l'adozione di misure che
riguardano la rete, il fornitore del servizio di
comunicazione elettronica accessibile al pubblico adotta
tali misure congiuntamente con il fornitore della rete
pubblica di comunicazioni. In caso di mancato accordo, su
richiesta di uno dei fornitori, la controversia e' definita
dall'Autorita' per le garanzie nelle comunicazioni secondo
le modalita' previste dalla normativa vigente.
3. Il fornitore di un servizio di comunicazione
elettronica accessibile al pubblico informa gli abbonati e,
ove possibile, gli utenti, se sussiste un particolare
rischio di violazione della sicurezza della rete,
indicando, quando il rischio e' al di fuori dell'ambito di
applicazione delle misure che il fornitore stesso e' tenuto
ad adottare ai sensi dei commi 1 e 2, tutti i possibili
rimedi e i relativi costi presumibili. Analoga informativa
e' resa al Garante e all'Autorita' per le garanzie nelle
comunicazioni.».
«Art. 33 (Misure minime). - 1. Nel quadro dei piu'
generali obblighi di sicurezza di cui all'art. 31, o
previsti da speciali disposizioni, i titolari del
trattamento sono comunque tenuti ad adottare le misure
minime individuate nel presente capo o ai sensi dell'art.
58, comma 3, volte ad assicurare un livello minimo di
protezione dei dati personali.».
«Art. 34 (Trattamenti con strumenti elettronici). - 1.
Il trattamento di dati personali effettuato con strumenti
elettronici e' consentito solo se sono adottate, nei modi
previsti dal disciplinare tecnico contenuto nell'allegato
b), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle
credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione
degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati
rispetto a trattamenti illeciti di dati, ad accessi non
consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di
sicurezza, il ripristino della disponibilita' dei dati e
dei sistemi;
g) tenuta di un aggiornato documento programmatico
sulla sicurezza;
h) adozione di tecniche di cifratura o di codici
identificativi per determinati trattamenti di dati idonei a
rivelare lo stato di salute o la vita sessuale effettuati
da organismi sanitari.».
«Art. 35 (Trattamenti senza l'ausilio di strumenti
elettronici). - 1. Il trattamento di dati personali
effettuato senza l'ausilio di strumenti elettronici e'
consentito solo se sono adottate, nei modi previsti dal
disciplinare tecnico contenuto nell'allegato b), le
seguenti misure minime:
a) aggiornamento periodico dell'individuazione
dell'ambito del trattamento consentito ai singoli
incaricati o alle unita' organizzative;
b) previsione di procedure per un'idonea custodia di
atti e documenti affidati agli incaricati per lo
svolgimento dei relativi compiti;
c) previsione di procedure per la conservazione di
determinati atti in archivi ad accesso selezionato e
disciplina delle modalita' di accesso finalizzata
all'identificazione degli incaricati.».
«Art. 36 (Adeguamento). - 1. Il disciplinare tecnico di
cui all'allegato B), relativo alle misure minime di cui al
presente capo, e' aggiornato periodicamente con decreto del
Ministro della giustizia di concerto con il Ministro per le
innovazioni e le tecnologie, in relazione all'evoluzione
tecnica e all'esperienza maturata nel settore.».