Guida alla compilazione della notifica al Garante della Privacy. dott. Luigi Innocenzi Tutti i diritti riservati

Guida alla compilazione della notifica al Garante della Privacy

Ai sensi dell'art. 5 della legge 22 aprile 1941 n. 633 sulla protezione del diritto d'autore, i testi degli atti ufficiali dello Stato e delle amministrazioni pubbliche, sia italiane che straniere, non sono coperti da diritti d'autore. Il copyright indicato si riferisce all'elaborazione e alla forma di presentazione dei testi stessi. è contro la legge riprodurre o trasmettere questa pubblicazione in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, incluso fotocopia e registrazione, per scopi diversi dall'esclusivo uso personale dell'acquirente, senza permesso scritto dell'autore.

I Indice Sezione I Notifica dei trattamenti 4 1 La notifica... al Garante della Privacy 5 Che cosa è la notificazione... 5 A chi è trasmessa... 6 In quale momento si... presenta 6 Quante volte si notifica... 6 Che cosa riguarda Come si trasmette Va ripetuta?... 6... 7... 7 Cosa è cambiato dal... 1 gennaio 2004 7 È possibile una notificazione... distinta se si trasferiscono dati all estero? 7 Quale uso viene fatto... della notificazione? 7 A quale obbligo è soggetto... chi non deve notificare? 7 Nel registro dei trattamenti... ci sono i nomi delle persone cui si riferiscono i 8 dati? Cosa accade se si omette... la notificazione o la si presenta in ritardo o 8 incompleta? Cosa accade se nella... notificazione ci sono notizie non veritiere? 8 2 Suggerimenti... per la notificazione 9 Chi deve notificare... 9 Tabella 1 Tabella 2 Tabella 3 Tabella 4 Tabella 5 Tabella 6 Tabella 7 Tabella 8... 9... 10... 10... 11... 11... 12... 13... 14 Provvedimento del... Garante 31 marzo 2004 15 Come si notifica... 17 Modalità di compilazione... della notificazione 18 Eventuale sospensione... durante la notificazione 18 Ripresa della compilazione... in seguito a sospensione 18 Diritti di segreteria... 19 Firma digitale... 19 Firma digitale presso... soggetti qualificati 19 Completamento della... notificazione e trasmissione al Garante 19 Modifiche della notificazione... e cessazione del trattamento 20 Anomalie e regolarizzazioni... 20 Assistenza nella compilazione... 20 Quadro normativo... di riferimento 20 Tabelle della procedura... di notificazione 21 3 La notifica... passo per passo 22 Introduzione Parte generale... 23... 23 Selezione del tipo... di notificazione 23 Selezione del tipo... di soggetto 24 I

II Selezione del soggetto... 24 Il titolare del trattamento... 25 Inserimento di eventuali... contitolari 27 Contitolare... 27 Designazione del... responsabile e del rappresentante del titolare 28 Responsabile del trattamento... 28 Rappresentante del titolare stabilito nel territorio di un Paese non appartenente all'ue... 29 Sito WEB e recapiti... utili per gli interessati 29 Tipologia di trattamenti... da notificare 30 Tabella 1: Trattamento... di dati genetici 31 Tabella 1: categoria di... dati 32 Tabella 1: categoria di... interessati 32 Tabella 1: finalità del trattamento... 33 Tabella 1: modalità del... trattamento 34 Tabella 2: Trattamento... di dati biometrici 35 Tabella 2: categoria di... dati 36 Tabella 2: categoria di... interessati 36 Tabella 2: finalità del trattamento... 37 Tabella 2: modalità del... trattamento 38 Tabella 3: Trattamento... di dati che indicano la posizione geografica di 39 Tabella 3: categoria di... dati 40 Tabella 3: categoria di... interessati 40 Tabella 3: finalità del trattamento... 41 Tabella 3: modalità del... trattamento 42 Tabella 4: Trattamento... di dati idonei a rivelare lo stato di salute 43 Tabella 4: categoria di... dati 44 Tabella 4: categoria di... interessati 44 Tabella 4: finalità del trattamento... 45 Tabella 4: modalità del... trattamento 46 Tabella 5: Trattamento... di dati idonei a rivelare la vita sessuale 47 Tabella 5: categoria di... dati 48 Tabella 5: categoria di... interessati 48 Tabella 5: finalità del trattamento... 48 Tabella 5: modalità del... trattamento 49 Tabella 6: Trattamento... effettuato con l'ausilio di strumenti elettronici 50 Tabella 6: categoria di... dati 51 Tabella 6: categoria di... interessati 51 Tabella 6: finalità del trattamento... 52 Tabella 6: modalità del... trattamento 53 Tabella 7: Trattamento... di dati sensibili registrati in banche 54 Tabella 7: categoria di... dati 54 Tabella 7: categoria di... interessati 55 Tabella 7: finalità del trattamento... 56 Tabella 7: modalità del... trattamento 57 Tabella 8: Trattamento... di dati registrati in apposite 58 Tabella 8: categoria di... dati 59 Tabella 8: categoria di... interessati 59 Tabella 8: finalità del trattamento... 60 Tabella 8: modalità del... trattamento 61 Modalità generali del... trattamento 62 Diffusione e Comunicazione... dei dati 62 Modalità di diffusione... dei dati 62 Modalità di comunicazione... dei dati 63

III Custodia dei dati... 64 Trattamenti effettuati... tramite sito WEB 65 Siti WEB... 65 Notifica di trasferimenti... di dati all'estero 66 Trasferimento di dati all'estero... 66 Principali presupposti... del trasferimento all'estero utilizzati dai titolari 68 Adozione delle misure... di sicurezza 69 Riepilogo della notificazione... 70 Conferma della... notificazione 70 4 Convenzione... con Poste Italiane 72 5 Convenzione con l Unione nazionale professionisti pratiche amministrative... 73 6 L'ufficio del... Garante della Privacy 74 III

4 Notifica dei trattamenti 1 Notifica dei trattamenti Ai sensi dell'art. 5 della legge 22 aprile 1941 n. 633 sulla protezione del diritto d'autore, i testi degli atti ufficiali dello Stato e delle amministrazioni pubbliche, sia italiane che straniere, non sono coperti da diritti d'autore. Il copyright indicato si riferisce all'elaborazione e alla forma di presentazione dei testi stessi. è contro la legge riprodurre o trasmettere questa pubblicazione in qualsiasi forma o con qualsiasi mezzo, elettronico o meccanico, incluso fotocopia e registrazione, per scopi diversi dall'esclusivo uso personale dell'acquirente, senza permesso scritto dell'autore.

Notifica dei trattamenti 5 1.1 La notifica al Garante della Privacy La notificazione, è l'atto con cui l'impresa, il professionista o la pubblica amministrazione segnala all'autorità i trattamenti di dati che intende effettuare. La notifica deve essere effettuata solo in particolari casi di trattamento di dati sensibili (specie se sanitari) con determinate modalità d'uso, ma anche per trattamenti particolarmente a rischio, effettuati con strumenti elettronici, nel campo della profilazione dei consumatori, oppure in relazione a procedure di selezione del personale e ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali e relative alla solvibilità. Con il nuovo Codice della Privacy, diminuiscono le ipotesi di notifica obbligatoria, e vengono snellite anche le modalità operative e dal 1 gennaio 2004 non è più utilizzabile il precedente modello. In questa pagine vengono pubblicati chiarimenti e istruzioni per individuare se, come e quando effettuare una notificazione al Garante. La notificazione è ora possibile solo per via telematica e con sottoscrizione con firma digitale, seguendo la procedura che è indicata in queste note. La maggior parte dei trattamenti da notificare a partire dal 1 gennaio sono iniziati prima di tale data: per tutti questi casi vi è tempo fino al 30 aprile 2004 per adempiere. È comunque già disponibile sul sito del Garante della Privacy il nuovo modello di notificazione telematica, poiché alcuni operatori che iniziano ex novo una nuova attività di trattamento dei dati a partire dal 1 gennaio potrebbero essere tenuti alla previa notificazione. Per tutti gli altri operatori è consigliabile approfondire attentamente i contenuti del modello, nelle prossime settimane, prima di procedere a questo importante adempimento. 1.1.1 Che cosa è la notificazione La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l'esistenza di un'attività di raccolta e di utilizzazione dei dati personali, svolta quale autonomo titolare del trattamento. Il Dls. n.196/2003 prevede un drastico ridimensionamento dell'obbligo di inoltrare la notificazione preventiva al Garante, che nella nuova disciplina dovrà essere adempiuto solo nel caso in cui vengono effettuati trattamenti descritti nell'articolo 37, comma 1. Il secondo comma attribuisce al Garante la facoltà di modificare il quadro dei trattamenti, che devono essere oggetto di notificazione. con proprio provvedimento, pubblicato sulla Gazzetta ufficiale della Repubblica italiana, adottabile anche ai sensi dell'articolo 17 (Trattamento che presenta rischi specifici). L'Autorità può: sia individuare altri trattamenti che, essendo suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione delle relative modalità o della natura dei dati personali, vengono assoggettati ad obbligo di notificazione che, per contro, individuare, nell'ambito dei trattamenti di cui al comma 1 dell'articolo 37, sopra elencati, eventuali trattamenti non suscettibili di recare il suddetto pregiudizio, sottraendoli pertanto dall'obbligo di notificazione. Il Garante si è avvalso di tale facoltà, con provvedimento di carattere generale adottato il 30 marzo 2004.

6 Notifica dei trattamenti Si noti che, rispetto alla previgente normativa, non viene più riproposta la disposizione per cui il trattamento nonché la cessazione del trattamento di dati concernenti persone giuridiche, enti o associazioni non sono soggetti a notificazione: il trattamento dei dati sopra elencati dovrà quindi essere notificato anche nelle ipotesi in cui dovesse riguardare tali soggetti. Il terzo comma dell'articolo 37, nel prescrivere che la notificazione va effettuata con unico atto, anche quando il trattamento comporta il trasferimento all'estero dei dati: da un lato, ribadisce l'analoga disposizione, già contenuta nella precedente normativa dall'altro è però innovativo, nel senso che, con il nuovo codice, diviene sufficiente notificare che, nell'ambito del trattamento generale dei dati, essi possono essere oggetto di trasferimento. Cessa invece l'obbligo, in precedenza previsto, di procedere a specifica notifica, in occasione del trasferimento dei dati verso Paesi extra Ue (si veda il commento all'articolo 44). Il quarto comma ribadisce infine la disposizione, per cui il Garante inserisce le notificazioni ricevute in un registro dei trattamenti, accessibile a chiunque. Il registro è consultabile on line nel sito del Garante. Si ricorda che, in occasione della entrata in vigore della normativa privacy, l'obbligo di notifica ha sostituito quello, in vigore precedentemente, di procedere alla notificazione al Ministero dell'interno, tramite le prefetture, degli archivi magnetici, entro il 31 dicembre di ogni anno, ai sensi della legge n.121/1981. In quella occasione, il Ministero dell'interno ha trasferito all'ufficio del Garante il materiale informativo raccolto ai sensi della suddetta legge. Le disposizioni di attuazione del presente codice (articolo 181 comma 4) prevedono che il materiale informativo eventualmente trasferito al Garante ai sensi dell'articolo 43, comma 1, della legge 31 dicembre 1996, n. 675, utilizzato per le opportune verifiche, continua ad essere successivamente archiviato o distrutto in base alla normativa vigente. 1.1.2 A chi è trasmessa Al Garante, tramite il sito del Garante della Privacy e utilizzando la procedura indicata nelle istruzioni. 1.1.3 In quale momento si presenta A. Per le attività di trattamento dei dati che non esistevano prima del 1 gennaio 2004, la notificazione va effettuata prima che inizi il trattamento medesimo. B. Per le attività che erano già in essere prima del 1 gennaio 2004, la notificazione si può effettuare entro il 30 aprile 2004. 1.1.4 Quante volte si notifica Una sola volta, indipendentemente dalla durata, dal tipo e dal numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino più attività di trattamento con finalità correlate tra loro. 1.1.5 Che cosa riguarda La notificazione riguarda l'attività di trattamento di dati personali (a volte solo se registrati in banche dati o archivi indicati dalla legge o dal Garante), ma non una banca dati o un archivio in quanto tale. Può aversi, infatti, un trattamento anche se materialmente i dati non sono organizzati in una banca

Notifica dei trattamenti 7 dati. 1.1.6 Come si trasmette Come già detto, solo per via telematica tramite il sito del Garante della Privacy, anche con la collaborazione di eventuali intermediari autorizzati. 1.1.7 Va ripetuta? La notificazione una volta fatta non va ripetuta. Una nuova notificazione è richiesta solo: a) prima che cessi definitivamente l'attività di trattamento b) oppure prima che si apportino al trattamento alcune modifiche agli elementi da indicare nella notificazione. 1.1.8 Cosa è cambiato dal 1 gennaio 2004 A partire dal 1 gennaio 2004 sono tenuti a notificare solo alcuni soggetti, ossia solo i titolari che effettuano una o più attività di trattamento tra quelle specificamente indicate dal Codice. La precedente normativa, invece, prevedeva per tutti i titolari l'obbligo di effettuare la notificazione, a meno che potessero avvalersi dei casi di esonero o di possibile utilizzazione di una notificazione semplificata. Il Garante potrà individuare, con un proprio provvedimento, nell'ambito dei trattamenti che devono essere notificati, alcuni trattamenti che presentano minori rischi per i diritti degli interessati e che possono pertanto essere esonerati dalla notificazione; potrà, al contrario, anche indicare altri trattamenti al momento non indicati espressamente dalla legge, che dovranno essere notificati. 1.1.9 È possibile una notificazione distinta se si trasferiscono dati all estero? Se si trasferiscono dati all'estero non si deve effettuare una notificazione distinta. La circostanza va indicata nella stessa unica notificazione che riguarda il trattamento di questi dati. 1.1.10 Quale uso viene fatto della notificazione? Le notificazioni sono inserite in un registro pubblico che sarà consultabile gratuitamente da tutti online. Il cittadino può così acquisire notizie e può utilizzarle per le finalità di applicazione della disciplina in materia di protezione dei dati personali (ad esempio, per esercitare il diritto di accesso ai dati o altri diritti riconosciuti dal Codice in materia di protezione dei dati personali). Mediante il registro saranno effettuati controlli sui trattamenti oggetto di notificazione, verificando le notizie in essa contenute. 1.1.11 A quale obbligo è soggetto chi non deve notificare? Il titolare che non è tenuto alla notificazione deve comunque fornire le notizie contenute nel modello di notificazione a chi ne fa richiesta (nell'esercizio del diritto di accesso e degli altri diritti riconosciuti all'interessato), a meno che il trattamento riguardi pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

8 Notifica dei trattamenti 1.1.12 Nel registro dei trattamenti ci sono i nomi delle persone cui si riferiscono i dati? Nel registro dei trattamenti non ci sono i nomi delle persone cui si riferiscono i dati. Tuttavia, le notizie accessibili mediante la consultazione del registro permettono di capire che tipo di dati sono trattati. 1.1.13 Cosa accade se si omette la notificazione o la si presenta in ritardo o incompleta? Il titolare è punito con una sanzione pecuniaria (da diecimila euro a sessantamila euro) e con la pena accessoria della pubblicazione dell'ordinanza che applica la sanzione stessa in uno o più giornali, per intero o per estratto. 1.1.14 Cosa accade se nella notificazione ci sono notizie non veritiere? La falsa dichiarazione è un reato, punito con la reclusione (da sei mesi a tre anni e salvo che il fatto configuri un reato più grave).

Notifica dei trattamenti 9 1.2 Suggerimenti per la notificazione Le norme richiamate nel testo, ove non diversamente specificato, si riferiscono al decreto legislativo n. 196/2003 (Codice in materia di protezione dei dati personali). 1.2.1 Chi deve notificare I trattamenti che devono essere notificati sulla base della classificazione prevista dalle istruzioni ufficiali, nonché nel modello di notifica, presente nel Sito del Garante http://www.garanteprivacy.it sono suddivisi in 8 tabelle che specificano altrettante tipologie di trattamenti di dati personali e sono: 1) Trattamento di dati genetici 2) Trattamento di dati biometrici 3) Trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica 4) Trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria 5) Trattamento di dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale 6) Trattamento effettuato con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi 7) Trattamento di dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché di dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie 8) Trattamento di dati sensibili registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti 1.2.1.1 Tabella 1 Trattamento di dati genetici (riferimento legislativo: lettera a) del comma 1 dell'articolo 37) che, ad esempio, possono essere costituiti dai: dati idonei a rilevare patologie descritte nel registro nazionale delle malattie rare e/o in quelli regionali dati idonei a rilevare la gravità o il decorso del quadro clinico delle patologie genetiche dati idonei a identificare malattie ereditarie dati relativi alle malformazioni congenite la cui causa non e' nota dati idonei ad accertare maternità o paternità dati relativi a indagini epidemiologiche dati relativi a indagini sulla popolazione dati relativi a trapianti di tessuti od organi o all'impiego di cellule staminali dati relativi alla procreazione dati tratti da studi di relazione tra patrimonio genetico e fattori di rischio. Con la delibera del 31 marzo 2004 pubblicata sulla G.U. n. 81 del 6 aprile 2004 il Garante ha però sottratto dall'obbligo di notificazione:

10 Notifica dei trattamenti i trattamenti non sistematici di dati genetici effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica. Ciò limitatamente ai dati e alle operazioni, compresa la comunicazione, indispensabili per perseguire finalità di tutela della salute o dell'incolumità fisica dell'interessato o di un terzo i trattamenti di dati genetici effettuati nell'esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. 1.2.1.2 Tabella 2 Trattamento di dati biometrici (riferimento legislativo: lettera a) del comma 1 dell'articolo 37) che, ad esempio, possono essere costituiti da: caratteristiche della voce geometria della mano impronte digitali informazioni di tipo comportamentale (andatura, movimento delle labbra, digitazione su tastiera...) riconoscimento dell'iride o retina rilevazione facciale attraverso uno o più elementi combinazione di due o più elementi sopra indicati. Con la delibera del 31 marzo 2004 pubblicata sulla G.U. n. 81 del 6 aprile 2004 il Garante ha però sottratto dall'obbligo di notificazione: i trattamenti non sistematici di dati biometrici effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica. Ciò limitatamente ai dati e alle operazioni, compresa la comunicazione, indispensabili per perseguire finalità di tutela della salute o dell'incolumità fisica dell'interessato o di un terzo i trattamenti di dati biometrici effettuati nell'esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. 1.2.1.3 Tabella 3 Trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica (riferimento legislativo: lettera a) del comma 1 dell'articolo 37) che, ad esempio, possono essere costituiti da: dati idonei a rilevare immagini o suoni dati idonei a rilevare la posizione di beni, strumenti, oggetti dati idonei a rilevare la posizione di persone.

Notifica dei trattamenti 11 Con la delibera del 31 marzo 2004 pubblicata sulla G.U. n. 81 del 6 aprile 2004 il Garante ha però sottratto dall'obbligo di notificazione: i trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente a fini di sicurezza del trasporto. 1.2.1.4 Tabella 4 Trattamento di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositivita', trapianto di organi e tessuti e monitoraggio della spesa sanitaria (riferimento legislativo: lettera b) del comma 1 dell'articolo 37) che, ad esempio, possono essere costituiti da: dati idonei a rivelare l'identità del donatore dati idonei a rivelare l'identità del ricevente dati idonei a rivelare la vita sessuale dati idonei a rivelare lo stato di disabilità dati idonei a rivelare sieropositività dati idonei a rivelare malattie infettive e diffusive dati idonei a rivelare malattie mentali dati idonei a rivelare stato di salute dati relativi a indagini epidemiologiche dati relativi a prescrizioni farmaceutiche e cliniche dati relativi ad esiti diagnostici e programmi terapeutici dati relativi all'utilizzo di particolari ausili protesici dati relativi alla prenotazione di esami clinici e visite specialistiche dati idonei a rivelare AIDS conclamato. Con la delibera del 31 marzo 2004 pubblicata sulla G.U. n. 81 del 6 aprile 2004 il Garante ha però sottratto dall'obbligo di notificazione i trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti: a fini di procreazione assistita, di trapianto di organi e tessuti, indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività. Ciò sempre che i trattamenti siano effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell'incolumità fisica dell'interessato o di un terzo ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione. 1.2.1.5 Tabella 5 Trattamento di dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale (riferimento legislativo: lettera c) del comma 1 dell'articolo 37) che, ad esempio, possono essere costituiti da: Dati idonei a rivelare la vita sessuale

12 Notifica dei trattamenti Dati inerenti a caratteristiche o idoneità psichiche Con la delibera del 31 marzo 2004 pubblicata sulla G.U. n. 81 del 6 aprile 2004 il Garante ha però sottratto dall'obbligo di notificazione i trattamenti di dati idonei a rivelare la sfera psichica di lavoratori: effettuati da associazioni, enti od organismi a carattere sindacale per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di rapporto di lavoro o di previdenza, anche in tema di diritto al lavoro dei disabili effettuati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico o religioso riguardo a dati di propri dipendenti o collaboratori, per adempiere esclusivamente a specifici obblighi previsti dalla normativa in materia di rapporto di lavoro o di previdenza. 1.2.1.6 Tabella 6 Trattamento effettuato con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con l'esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi (riferimento legislativo: lettera d) del comma 1 dell'articolo 37) che, ad esempio, possono essere costituiti dai: dati giudiziari dati idonei a rivelare caratteristiche o idoneità psico-fisiche dati idonei a rivelare convinzioni di altro genere (diverse dalle convinzioni religiose o filosofiche) dati idonei a rivelare gusti, preferenze, abitudini di vita o di consumo dati idonei a rivelare l'adesione a partiti dati idonei a rivelare l'adesione a sindacati dati idonei a rivelare l'adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale dati idonei a rivelare l'appartenenza ad un gruppo linguistico dati idonei a rivelare le convinzioni filosofiche dati idonei a rivelare le convinzioni religiose dati idonei a rivelare le opinioni politiche dati idonei a rivelare lo stato matrimoniale o di famiglia dati idonei a rivelare l'origine nazionale dati idonei a rivelare l'origine razziale ed etnica dati personali idonei a rivelare la vita sessuale dati personali idonei a rivelare lo stato di salute dati relativi a comportamenti illeciti o fraudolenti dati relativi ad altri provvedimenti o procedimenti giudiziari dati relativi ad altri provvedimenti o procedimenti sanzionatori, disciplinari, amministrativi o contabili dati relativi al comportamento debitorio dati relativi al grado di istruzione o di cultura dati relativi all'affidabilità o puntualità nei pagamenti dati relativi alla solvibilità economica dati relativi all'adempimento di obbligazioni dati relativi alle pregresse esperienze professionali dati relativi allo svolgimento di attività economiche e altre informazioni commerciali (es. fatturato, bilanci, aspetti economici, finanziari, organizzativi, produttivi, industriali, commerciali,

Notifica dei trattamenti 13 imprenditoriali). Con la delibera del 31 marzo 2004 pubblicata sulla G.U. n. 81 del 6 aprile 2004 il Garante ha però sottratto dall'obbligo di notificazione i trattamenti di dati personali: che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro (al di fuori dei casi di cui alla lettera e) dell'articolo 37, comma 1, che rimangono soggetti a notificazione nei termini previsti da tale lettera, sotto esaminati ) che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore, effettuati esclusivamente per adempiere a specifici obblighi previsti dalla normativa in materia di intermediazione finanziaria relativi all'utilizzo di marcatori elettronici (cookies) o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet. 1.2.1.7 Tabella 7 Trattamento di dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché di dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie (riferimento legislativo: lettera e) del comma 1 dell'articolo 37) che ad esempio, possono essere costituiti dai: dati giudiziari dati idonei a rivelare caratteristiche o idoneità psico-fisiche dati idonei a rivelare gusti, preferenze, abitudini di vita o di consumo dati idonei a rivelare l'appartenenza a categorie protette dati idonei a rivelare l'adesione a partiti dati idonei a rivelare l'adesione a sindacati dati idonei a rivelare l'adesione ad associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale dati idonei a rivelare l'appartenenza ad un gruppo linguistico dati idonei a rivelare le convinzioni filosofiche dati idonei a rivelare le convinzioni religiose dati idonei a rivelare le opinioni politiche dati idonei a rivelare lo stato di disabilità dati idonei a rivelare lo stato di gravidanza dati idonei a rivelare l'origine razziale ed etnica dati personali idonei a rivelare la vita sessuale dati personali idonei a rivelare lo stato di salute dati relativi a comportamenti illeciti o fraudolenti dati relativi ad altri provvedimenti o procedimenti giudiziari dati relativi ad altri provvedimenti o procedimenti sanzionatori, disciplinari, amministrativi o contabili dati relativi ad eventuali controversie con precedenti datori di lavoro dati idonei a rivelare convinzioni di altro genere (diverse dalle convinzioni religiose o filosofiche). Con la delibera del 31 marzo 2004 pubblicata sulla G.U. n. 81 del 6 aprile 2004 il Garante ha però sottratto dall'obbligo di notificazione i trattamenti di dati sensibili effettuati: al solo fine di selezione di personale per conto esclusivamente di soggetti appartenenti al

14 Notifica dei trattamenti medesimo gruppo bancario o societario da soggetti pubblici per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di occupazione e mercato del lavoro da associazioni o organizzazioni di categoria al solo fine di svolgere ricerche campionarie relativamente a dati riguardanti l'adesione alla medesima associazione o organizzazione. 1.2.1.8 Tabella 8 Trattamento di dati sensibili registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti (riferimento legislativo: lettera f) del comma 1 dell'articolo 37) che, ad esempio, possono essere costituiti dai: dati giudiziari dati idonei a rivelare il rapporto di parentela o affinità dati idonei a rivelare l'origine nazionale dati idonei a rivelare scelte di consumo dati relativi a comportamenti illeciti o fraudolenti dati relativi ad altri provvedimenti o procedimenti giudiziari dati relativi ad altri provvedimenti o procedimenti sanzionatori, disciplinari, amministrativi o contabili dati relativi al comportamento debitorio dati relativi al grado di istruzione o di cultura dati relativi all'affidabilità o puntualità nei pagamenti dati relativi alla solvibilità economica dati relativi all'adempimento di obbligazioni dati relativi alle pregresse esperienze professionali dati relativi allo svolgimento di attività economiche e altre informazioni commerciali (es. fatturato, bilanci, aspetti economici, finanziari, organizzativi, produttivi, industriali, commerciali, imprenditoriali). Con la delibera del 31 marzo 2004 pubblicata sulla G.U. n. 81 del 6 aprile 2004 il Garante ha però sottratto dall'obbligo di notificazione i trattamenti di dati personali: effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza registrati in banche di dati utilizzate da soggetti pubblici al solo fine della tenuta ed esecuzione di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all'esclusivo fine di prestare l'attività di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali ("confidi").

Notifica dei trattamenti 15 1.2.2 Provvedimento del Garante 31 marzo 2004 Garante per la protezione dei dati personali DELIBERAZIONE 31 marzo 2004 Provvedimento relativo ai casi da sottrarre all'obbligo di notificazione Registro delle Deliberazioni n. 1 del 31 marzo 2004 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI In data odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale; VISTO l'art. 37, commi 1 e 2, del d.lg. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali; RILEVATO che tale Codice indica i trattamenti di dati da notificare al Garante e demanda a questa Autorità il compito di individuare, tra essi, quelli sottratti all'obbligo di notificazione purché non suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato in ragione delle modalità di trattamento o della natura dei dati (art. 37, comma 1); RILEVATO che il medesimo Codice demanda altresì al Garante il compito di individuare ulteriori trattamenti in aggiunta a quelli elencati nella predetta disposizione; VISTA la documentazione in atti; RILEVATO in sede di prima applicazione del Codice che taluni trattamenti sono effettuati con modalità che permettono, allo stato, di sottrarli all'obbligo di notificazione, ferma restando l'osservanza degli ulteriori principi ed obblighi previsti dal Codice in materia di protezione dei dati personali; VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE il Prof. Stefano Rodotà; DELIBERA A) di sottrarre all'obbligo di notificazione al Garante, tra i casi previsti dall'art. 37, comma 1, del d.lg. 30 giugno 2003, n. 196: 1) con riferimento ai casi di cui al comma 1, lett. a) di tale disposizione: a) i trattamenti non sistematici di dati genetici o biometrici effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica. Ciò limitatamente ai dati e alle operazioni, compresa la comunicazione, indispensabili per perseguire finalità di tutela della salute o dell'incolumità fisica dell'interessato o di un terzo; b) i trattamenti di dati genetici o biometrici effettuati nell'esercizio della professione di avvocato, in relazione alle operazioni e ai dati necessari per svolgere le investigazioni difensive di cui alla legge n. 397/2000, o comunque per far valere o

16 Notifica dei trattamenti difendere un diritto anche da parte di un terzo in sede giudiziaria. Ciò sempre che il diritto sia di rango almeno pari a quello dell'interessato e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) i trattamenti di dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre, effettuati esclusivamente a fini di sicurezza del trasporto; 2) con riferimento ai casi di cui al comma 1, lett. b) della medesima disposizione, i trattamenti di dati idonei a rivelare lo stato di salute e la vita sessuale effettuati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti: a) a fini di procreazione assistita, di trapianto di organi e tessuti, indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività. Ciò sempre che i trattamenti siano effettuati non sistematicamente, rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica e limitatamente ai dati e alle operazioni indispensabili per la tutela della salute o dell'incolumità fisica dell'interessato o di un terzo; b) ad esclusivi fini di monitoraggio della spesa sanitaria o di adempimento di obblighi normativi in materia di igiene e sicurezza del lavoro e della popolazione; 3) con riferimento ai casi di cui al comma 1, lett. c), i trattamenti di dati idonei a rivelare la sfera psichica di lavoratori: a) effettuati da associazioni, enti od organismi a carattere sindacale per adempiere esclusivamente a specifici obblighi o compiti previsti dalla normativa in materia di rapporto di lavoro o di previdenza, anche in tema di diritto al lavoro dei disabili; b) effettuati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico o religioso riguardo a dati di propri dipendenti o collaboratori, per adempiere esclusivamente a specifici obblighi previsti dalla normativa in materia di rapporto di lavoro o di previdenza; 4) con riferimento ai casi di cui al comma 1, lett. d), i trattamenti di dati personali: a) che non siano fondati unicamente su un trattamento automatizzato volto a definire profili professionali, effettuati per esclusive finalità di occupazione o di gestione del rapporto di lavoro, fuori dei casi di cui alla lettera e) del medesimo art. 37, comma 1; b) che non siano fondati unicamente su un trattamento automatizzato volto a definire il profilo di un investitore, effettuati esclusivamente per adempiere a specifici obblighi previsti dalla normativa in materia di intermediazione finanziaria; c) relativi all'utilizzo di marcatori elettronici o di dispositivi analoghi installati, oppure memorizzati temporaneamente, e non persistenti, presso l'apparecchiatura terminale di un utente, consistenti nella sola trasmissione di identificativi di sessione in conformità alla disciplina applicabile, all'esclusivo fine di agevolare l'accesso ai contenuti di un sito Internet; 5) con riferimento ai casi di cui al comma 1, lett. e), i trattamenti di dati sensibili effettuati: a) al solo fine di selezione di personale per conto esclusivamente di soggetti appartenenti al medesimo gruppo bancario o societario; b) da soggetti pubblici per adempiere esclusivamente a specifici obblighi o compiti

Notifica dei trattamenti 17 previsti dalla normativa in materia di occupazione e mercato del lavoro; c) da associazioni o organizzazioni di categoria al solo fine di svolgere ricerche campionarie relativamente a dati riguardanti l'adesione alla medesima associazione o organizzazione; 6) con riferimento ai casi di cui al comma 1, lett. f), i trattamenti di dati personali: a) effettuati da soggetti pubblici per la tenuta di pubblici registri o elenchi conoscibili da chiunque; b) registrati in banche di dati utilizzate in rapporti con l'interessato di fornitura di beni, prestazioni o servizi, o per adempimenti contabili o fiscali, anche in caso di inadempimenti contrattuali, azioni di recupero del credito e contenzioso con l'interessato; c) registrati in banche di dati utilizzate da soggetti pubblici o privati per adempiere esclusivamente ad obblighi normativi in materia di rapporto di lavoro, previdenza o assistenza; d) registrati in banche di dati utilizzate da soggetti pubblici al solo fine della tenuta ed esecuzione di atti, provvedimenti e documenti, in tema di riscossione di tributi, applicazione di sanzioni amministrative, o rilascio di licenze, concessioni o autorizzazioni; e) relativi a immagini o suoni conservati temporaneamente per esclusive finalità di sicurezza o di tutela delle persone o del patrimonio; f) trattati, in base alla legge, dai soggetti autorizzati in relazione alle operazioni e ai dati necessari all'esclusivo fine di prestare l'attività di garanzia collettiva dei fidi e i servizi a essa connessi o strumentali ("confidi"); B) di inviare copia della presente deliberazione all'ufficio pubblicazione leggi e decreti del Ministero della giustizia ai fini della sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana. Roma, 31 marzo 2004 IL PRESIDENTE Rodotà IL RELATORE Rodotà IL SEGRETARIO GENERALE Buttarelli 1.2.3 Come si notifica a) Nuova notificazione Dal 1 gennaio 2004 la notificazione va eseguita unicamente in via telematica, compilando i campi del modello disponibile sul sito Internet https://web.garanteprivacy.it/rgt/. Al momento non sono previste e ammesse altre modalità. A differenza della notificazione prevista dalla legge n. 675/1996, non è quindi possibile utilizzare modelli cartacei o dischetti, né per la compilazione, né per l'invio. b) Modifica della notificazione

18 Notifica dei trattamenti Per quanto riguarda la modifica della notificazione, l'attività del notificante è semplificata. Si può richiamare a video la notificazione già trasmessa, apportando le modifiche necessarie per i soli riquadri interessati. La notificazione, così modificata, è trasmessa osservando la procedura telematica prevista per la "nuova notificazione". 1.2.4 Modalità di compilazione della notificazione Nella compilazione della notificazione i campi contrassegnati con un asterisco sono obbligatori: la loro mancata compilazione impedisce il completamento della procedura di notificazione. Il notificante deve osservare le seguenti indicazioni: selezionare dal menù principale "COMPILAZIONE DELLA NOTIFICAZIONE"; selezionare la casella "NUOVA NOTIFICAZIONE"; barrare una delle tre opzioni indicate ("prima notificazione"; "modifica alla precedente notificazione"; "cessazione del trattamento"); compilare i campi di interesse, utilizzando anche i menù a tendina; al termine delle descritte operazioni, salvare il file mediante l'apposito tasto; versare i diritti di segreteria on line, oppure compilare l'apposito riquadro indicando gli estremi del pagamento avvenuto; sottoscrivere con firma digitale il file salvato; trasmettere al Garante per via telematica la notificazione così completata mediante l'apposito tasto. Il Garante invierà all'indirizzo di posta elettronica indicato dal notificante un messaggio di conferma del ricevimento della notificazione che attesta il buon esito della procedura. È possibile stampare copia della notificazione. La copia cartacea, comunque, non deve essere trasmessa al Garante. 1.2.5 Eventuale sospensione durante la notificazione La procedura di notificazione può essere eseguita in momenti diversi, anche da altra postazione (per esempio, la firma digitale potrebbe essere apposta in altra sede, presso gli organismi convenzionati), memorizzando comunque le informazioni già inserite. Affinché ciò sia possibile è necessario compilare almeno il riquadro relativo al titolare del trattamento; quindi, selezionare il tasto SOSPENDI. Comparirà a video un codice (ID temporaneo) che, contestualmente, verrà inviato dal Garante all'indirizzo di posta elettronica indicato dal notificante nella notificazione. Tale codice consentirà al notificante di riprendere, entro i 10 giorni successivi, la compilazione della notificazione. Il codice è utilizzabile soltanto una volta. In caso di ulteriori sospensioni verranno attribuiti tanti ID temporanei, utilizzabili secondo la procedura descritta, quante sono le sospensioni effettuate. 1.2.6 Ripresa della compilazione in seguito a sospensione selezionare "COMPILAZIONE DELLA NOTIFICAZIONE"; selezionare "NOTIFICAZIONE SOSPESA";

Notifica dei trattamenti 19 inserire, alla richiesta, l'id temporaneo comunicato dal Garante al momento della sospensione. 1.2.7 Diritti di segreteria Ogni notificazione inviata al Garante (prima notificazione, modifica o cessazione del trattamento) deve essere accompagnata dal pagamento dei diritti di segreteria, il cui importo è fissato in euro 150,00. Per indicare la modalità di pagamento prescelta va compilato l'apposito riquadro. Si suggerisce di privilegiare il pagamento on line mediante carta di credito su protocollo sicuro, pur essendo consentite altre modalità (bonifico bancario, conto corrente postale, banco posta); per questi casi occorre indicare gli estremi del pagamento nell'apposito riquadro. Le coordinate bancarie per effettuare il pagamento sono: c.c. 000000018373 intestato a "Garante per la protezione dei dati personali" - ABI 05164 - CAB 03202 - presso Banca Popolare di Lodi, ag. n. 2 di Roma, via Bevagna, 24, 00191 Roma. Il pagamento anche può essere effettuato sul c.c. postale n. 97204002 intestato a "Garante per la protezione dei dati personali", Piazza di Monte Citorio, 115/121, 00186, Roma, indicando come causale "diritti di segreteria per notificazione". 1.2.8 Firma digitale Per perfezionare la notificazione è necessario sottoscriverla con firma digitale (art. 10, comma 3, d.p.r. n. 445/2000). A tal fine, il titolare del trattamento deve utilizzare un dispositivo di firma digitale disponibile presso uno dei certificatori accreditati ai sensi dell'art. 2, comma 1, lett. c), d. lg. n. 10/2002. L'elenco dei certificatori è rinvenibile sul sito www.cnipa.gov.it/. La notificazione così sottoscritta va trasmessa per via telematica al Garante. 1.2.9 Firma digitale presso soggetti qualificati Il Garante stipulerà apposite convenzioni con soggetti qualificati (di seguito denominati "intermediari"). Ciò per permettere la sottoscrizione della notificazione con firma digitale laddove il notificante non fosse in possesso del dispositivo di firma digitale. In questo caso il notificante deve recarsi presso uno dei soggetti convenzionati munito del proprio ID temporaneo e di un documento di riconoscimento (ed eventualmente della ricevuta di versamento dei diritti di segreteria, ove non avesse già provveduto ad inserire gli estremi nell'apposito campo) e, avvalendosi della firma digitale dell'intermediario, trasmettere in via telematica la notificazione. L'intermediario potrà annotare nella notificazione, ove non già eseguito dal notificante, gli estremi della ricevuta del pagamento dei diritti di segreteria. L'elenco degli organismi convenzionati è visibile alla casella "convenzioni" del menù principale. 1.2.10 Completamento della notificazione e trasmissione al Garante ID permanente (Codice univoco del notificante-c.u.n.) Eseguite le operazioni (inserimento dei dati, pagamento dei diritti di segreteria, apposizione della firma digitale e trasmissione in via telematica) e trasmessa la notificazione in via telematica, verrà inviato dal Garante con l'indicazione di giorno, ora e minuto, un ID permanente (C.U.N.) da conservare a cura del notificante. Il C.U.N. verrà comunicato al solo notificante per posta elettronica.

20 Notifica dei trattamenti Solo con l'inserimento del C.U.N. il notificante potrà accedere, in tempi successivi, alla notificazione per modificarla o per provvedere alla notificazione della cessazione del trattamento; il C.U.N., inoltre, permette di "legare" le notificazioni effettuate nel tempo da uno stesso titolare. L'intermediario rilascia ricevuta, controfirmata anche dal notificante, di avvenuto invio della notificazione. Consegna altresì, a richiesta del notificante, una copia a stampa della notificazione. Concluse le operazioni, l'intermediario deve cancellare dal proprio sistema operativo il file contenente la notificazione inviata. 1.2.11 Modifiche della notificazione e cessazione del trattamento Per poter effettuare successive modifiche della notificazione oppure notificare la cessazione del trattamento è necessario indicare il C.U.N. attribuito in sede di "prima notificazione". Qualora si dovesse sospendere la notificazione, si dovrà usare, per il suo completamento, l'id temporaneo che di volta in volta verrà comunicato dal Garante (secondo la procedura sopra descritta). 1.2.12 Anomalie e regolarizzazioni Pervenuta la notificazione al Garante, viene effettuato un controllo sulla veridicità della firma digitale apposta e vengono segnalate al notificante eventuali anomalie; in tal caso il Garante invia un messaggio di richiesta di regolarizzazione/completamento assegnando un termine, decorso inutilmente il quale la notificazione viene eliminata dalla memoria del sistema informativo del Garante; di ciò è dato avviso al notificante. La sottoscrizione digitale che, verificata, non risulti conforme, invalida la notificazione. In caso di regolarizzazione, la data della notificazione è quella in cui la regolarizzazione stessa è memorizzata nel sistema informativo del Garante. 1.2.13 Assistenza nella compilazione Per ciascuna tabella, riquadro o campo da compilare, sono inseriti alcuni box contenenti spiegazioni per la compilazione (contrassegnati con il simbolo "?"), quale ausilio in caso di dubbi. Inoltre ci si può collegare al sito del Garante www.garanteprivacy.it/ per consultare la normativa di riferimento e le faq. Infine, per brevi spiegazioni, può essere contattato l'ufficio relazioni con il pubblico del Garante. 1.2.14 Quadro normativo di riferimento La disciplina in materia di notificazione del trattamento dei dati personali è contenuta negli artt. 37, 38, 154, comma 1, lett. l), 163, 168, 181, comma 1, lett. c), 16, 162, comma 1, del d.lg. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali). Il Codice in materia di protezione dei dati personali è entrato in vigore il 1 gennaio 2004 ed ha abrogato la precedente disciplina della notificazione contenuta nella legge n. 675/1996.

Notifica dei trattamenti 21 1.2.15 Tabelle della procedura di notificazione È possibile consultare le tabelle relative a categorie di dati, categorie di interessati, finalità, modalità, che dovranno essere compilate nella notificazione. Tabelle della procedura di notificazione

22 Notifica dei trattamenti 1.3 La notifica passo per passo La notificazione va eseguita unicamente in via telematica, compilando i campi del modello disponibile sul sito Internet https://web.garanteprivacy.it/rgt/. Per effettuare la compilazione della notificazione si deve cliccare sul pulsante "Compilazione della notificazione" come indicato dalla freccia: Successivamente quando compare la finestra a) cliccare sul pulsante "Nuova notificazione" per effettuare una nuova notificazione. b) cliccare sul pulsante "Notificazione sospesa" per riprendere una notificazione sospesa.

Notifica dei trattamenti 23 1.3.1 Introduzione Per compilare la notificazione è necessario collegarsi al sito del Garante della Privacy all'indirizzo Internet https://web.garanteprivacy.it/rgt/. Per utilizzare la procedura di compilazione della notifica è necessario disporre di un browser internet che supporti Javascript. Per facilitare il compito all'operatore è disponibile una serie di suggerimenti che possono essere attivati cliccando sull'icona ogni qualvolta compare durante le fasi di inserimento dei dati. Tutti i campi contrassegnati dall'asterisco * debbono essere inseriti obbligatoriamente. Durante la compilazione della notificazione l'operatore ha a disposizione una barra di comandi per effettuare le diverse operazioni possibili. I pulsanti che sono attivi durante la compilazione della notifica sono Indietro Avanti Cancella Sospendi Consente di ritornare alla scelta della pagina precedente. Consente di passare alla scelta della pagina successiva. Consente di annullare la compilazione della notificazione. Consente di sospendere la compilazione della notificazione. 1.3.2 Parte generale 1.3.2.1 Selezione del tipo di notificazione Selezionando una delle tre caselle sottoindicate, si accede ai menu per compilare per la prima volta la nuova notificazione telematica introdotta dal Codice (d. lg. n. 196/2003), oppure per modificare una precedente notificazione (già inviata secondo questa nuova disciplina), oppure per notificare la cessazione dell'intera attività di trattamento dei dati personali (anche in questo caso, quando è stata gia inviata una notificazione telematica in base al Codice). Prima notificazione

24 Notifica dei trattamenti Selezionare questa casella solo se il titolare del trattamento non ha mai effettuato una notificazione telematica secondo le nuove regole del Codice (d. lg. n. 196/2003). Si ricordi che la notificazione è presentata al Garante prima dell'inizio del trattamento ed una sola volta, a prescindere dal numero delle operazioni e della durata del trattamento da effettuare, e puo' anche riguardare uno o piùtrattamenti con finalità correlate (art. 38, comma 1, del Codice). Chi ha già effettuato prima del 1 gennaio 2004 una notificazione con il precedente modello ai sensi della legge n. 675/1996, e rientra nei pochi casi ora previsti, deve effettuare comunque tale nuova notificazione, esclusivamente con il presente modello e solo per via telematica, selezionando appunto la casella "prima notificazione" (art. 37 del Codice): se il trattamento è iniziato prima del 1 gennaio 2004, si ha tempo fino al 30 aprile 2004. Modifica precedente notificazione Selezionare questa casella solo se si deve notificare al Garante che muterà taluno degli elementi già indicati nella prima notificazione telematica, oppure già comunicati al Garante attraverso modifiche di tale prima notificazione. Ogni comunicazione di modifica, come la prima notificazione e la notificazione della cessazione del trattamento, deve intervenire prima dell'attività o evento dichiarato (art. 38, comma 4, del Codice). Cessazione trattamento Selezionare questa casella solo quando termina definitivamente l'intera attività di trattamento di dati personali, e prima della cessazione stessa (art. 38 del Codice). Non rientrano in questo caso le modifiche intervenute, dopo la prima notificazione telematica, relativamente ad una parte della propria attività (eliminazione di un archivio o banca dati, cessione parziale dei dati a terzi, modificazioni qualitative o quantitative dei dati trattati): in questi casi, puo' essere pero' necessario procedere ad una modifica della precedente notificazione. 1.3.2.2 Selezione del tipo di soggetto Selezionare una delle caselle indicate: 1.3.2.3 Selezione del soggetto Utilizzare una delle risposte proposte dall'applicazione.

Notifica dei trattamenti 25 E' possibile inserire del testo libero. Si esorta ad usare il campo altro nei casi assolutamente indispensabili. 1.3.2.4 Il titolare del trattamento Il titolare del trattamento non è la persona fisica legale rappresentante oppure delegata in materia dagli organi preposti o che comunque è legittimata a sottoscrivere la notificazione (organi di vertice, presidente, amministratore delegato, direttore generale, sindaco), nè un organo interno. Il titolare è infatti, nel suo complesso, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo al quale competono le decisioni in ordine alle finalità ed alle modalità del trattamento e agli strumenti utilizzati, anche per quanto riguarda il profilo della sicurezza dei dati: ministeri, università, regioni, altri enti locali, società, consorzi (Artt. 4, comma 1, lett. f) e articolo 28 del Codice).

26 Notifica dei trattamenti In casi del tutto particolari, la qualità di titolare del trattamento puo' essere riconosciuta anche ad unità od organismi periferici che, in conformità al proprio ordinamento di riferimento, dispongano del predetto potere decisionale in modo del tutto autonomo. Indicare quindi una persona fisica solo se il titolare del trattamento è, effettivamente, un individuo (es.: libero professionista che opera individualmente). Inserire dati esatti e completi riguardo alla denominazione o alla ragione sociale, indicando eventuali sigle solo se facenti parte della denominazione o ragione sociale. Nel caso di persona giuridica, pubblica amministrazione, ente, associazione od organismo, inserire i dati relativi al luogo dove ha sede, agli effetti legali, il titolare del trattamento. Se quest'ultimo è una persona fisica, inserire i dati relativi al luogo di residenza o al domicilio eletto presso il quale è possibile rintracciarla agevolmente ed effettivamente. Come gli altri dati forniti, il numero di telefono qui indicato è utilizzabile anche da terzi solo per le finalità di applicazione della disciplina sulla notificazione. Si ricordi però, che quanto qui indicato sarà visibile da chiunque acceda in consultazione alla notificazione tramite il registro dei trattamenti, il quale è pubblico.

Notifica dei trattamenti 27 1.3.2.5 Inserimento di eventuali contitolari Il contitolare è la persona fisica o giuridica distinta da quella del titolare cui competono gli stessi diritti/doveri del titolare ed unitamente al quale li esercita (art. 4, lett. f)). In caso di contitolarità, ciascun titolare effettua autonomamente la notificazione, ma indica nel presente modello il solo nominativo dei contitolari. 1.3.2.5.1 Contitolare Il contitolare è la persona fisica o giuridica distinta da quella del titolare cui competono gli stessi diritti/doveri del titolare ed unitamente al quale li esercita (art. 4, lett. f)). Una volta effettuata inserite le informazioni cliccare sul pulsante titolo. nella barra del

28 Notifica dei trattamenti 1.3.2.6 Designazione del responsabile e del rappresentante del titolare Il responsabile del trattamento è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo designato formalmente ad occuparsi di uno o piùprofili del trattamento, sulla base di una previa valutazione della sua esperienza, capacità e affidabilità (artt. 4, comma 1, lett. g) e articolo 29 del Codice). La designazione è facoltativa e compete esclusivamente al titolare del trattamento, tramite i competenti organi. Il responsabile non puo' a sua volta designarne altri, essendo questo un compito esclusivo del titolare. Se sono stati designati piùresponsabili del trattamento, sullo stesso aspetto o per aspetti diversi del trattamento, occorre indicarne nella notificazione uno soltanto: va osservata al riguardo la stessa soluzione prevista per l'informativa agli interessati, indicando in particolare, se è stato designato, il responsabile preposto ai rapporti con gli interessati in caso di esercizio dei relativi diritti (cfr. art. 13, comma 1, lett. f) del Codice). Il rappresentante del titolare deve essere designato obbligatoriamente in caso di trattamento effettuato da un titolare del trattamento stabilito nel territorio di un Paese non appartenente all'unione europea il quale impieghi, per lo stesso trattamento, strumenti situati nel territorio dello Stato italiano, anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'unione europea. Cio' ai fini dell'applicazione della disciplina italiana sul trattamento dei dati personali. (art. 5, comma 2, del Codice). Il rappresentante sottoscrive la notificazione in luogo del titolare. 1.3.2.6.1 Responsabile del trattamento Per responsabile si intende la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali (art. 4, c. 1 lett. g)). La designazione del responsabile è compito esclusivo del titolare (art. 4, c. lett. g)) ed è facoltativa (art. 29); in caso di designazione di più responsabili nella notificazione ne va indicato uno solo (vedi articolo 13 c. 1 lett. f)). Il responsabile non puo' a sua volta designarne altri essendo un compito esclusivo del titolare. Compilare il riquadro indicando preferibilmente il responsabile designato eventualmente per il riscontro agli interessati in caso di esercizio dei diritti previsti dall'art. 7 del Codice.

Notifica dei trattamenti 29 1.3.2.6.2 Rappresentante del titolare stabilito nel territorio di un Paese non appartenente all'ue Il titolare del trattamento deve designare un proprio rappresentante stabilito nel territorio dello Stato, ai fini dell'applicazione della disciplina sul trattamento dei dati personali (art. 5, c. 2), quando il titolare stesso è stabilito nel territorio di un Paese non appartenente all'unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato, anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'unione europea. Il rappresentante sottoscrive la notificazione in vece del titolare. L'interessato ha diritto di ottenere l'indicazione degli estremi identificativi del rappresentante (art. 7, c. 2, lett. d)). Se designato, indicare nome e cognome del rappresentante (se persona fisica), altrimenti denominazione o ragione sociale in caso di entità giuridica diversa da persona fisica. 1.3.2.7 Sito WEB e recapiti utili per gli interessati Il titolare del trattamento, specie se dispone di una struttura complessa, anche quando non abbia designato uno o responsabili del trattamento, puo' indicare facoltativamente una o piùstrutture, unità od organo interni - e i relativi recapiti - in modo da facilitare i rapporti con gli interessati. Non è

30 Notifica dei trattamenti necessario indicare anche le persone fisiche preposte a tali uffici. Il titolare del trattamento deve designare un proprio rappresentante stabilito nel territorio dello Stato, ai fini dell'applicazione della disciplina sul trattamento dei dati personali (art. 5, c. 2), quando il titolare stesso è stabilito nel territorio di un Paese non appartenente all'unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato, anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell'unione europea. Il rappresentante sottoscrive la notificazione in vece del titolare. L'interessato ha diritto di ottenere l'indicazione degli estremi identificativi del rappresentante (art. 7, c. 2, lett. d)). Se designato, indicare nome e cognome del rappresentante (se persona fisica), altrimenti denominazione o ragione sociale in caso di entità giuridica diversa da persona fisica. 1.3.3 Tipologia di trattamenti da notificare Barrare le caselle corrispondenti ai trattamenti da notificare. La selezione permette di visualizzare solo le maschere di inserimento relative a tali trattamenti. Si ricordi che i trattamenti soggetti ad obbligo di notificazione sono solo quelli elencati nella pagina "Istruzioni", accessibile dal menu principale del Registro dei trattamenti.

Notifica dei trattamenti 31 1.3.3.1 Tabella 1: Trattamento di dati genetici

32 Notifica dei trattamenti 1.3.3.1.1 Tabella 1: categoria di dati Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.1.2 Tabella 1: categoria di interessati Si intende per interessato, la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali (Art. 4, lett. i). Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

Notifica dei trattamenti 33 E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.1.3 Tabella 1: finalità del trattamento Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. Occorre specificare gli scopi che presiedono al trattamento dei dati tenendo presente che essi debbono essere per legge determinati ed espliciti e che, assieme alle modalità di trattamento debbono essere preventivamente resi noti agli interessati o a coloro presso cui si raccolgono i dati. (Articolo 11 e Articolo 13)

34 Notifica dei trattamenti E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.1.4 Tabella 1: modalità del trattamento Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. Elencare le specifiche modalità utilizzate per il il trattamento in questione, tenendo presente che tali modalità assieme agli scopi del trattamento debbono essere preventivamente resi noti agli interessati o a coloro presso cui si raccolgono i dati. (Articolo 11 e Articolo 13)

Notifica dei trattamenti 35 E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.2 Tabella 2: Trattamento di dati biometrici

Notifica dei trattamenti 39 E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.3 Tabella 3: Trattamento di dati che indicano la posizione geografica di...

Notifica dei trattamenti 43 E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.4 Tabella 4: Trattamento di dati idonei a rivelare lo stato di salute...

Notifica dei trattamenti 47 E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.5 Tabella 5: Trattamento di dati idonei a rivelare la vita sessuale...

48 Notifica dei trattamenti 1.3.3.5.1 Tabella 5: categoria di dati Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. 1.3.3.5.2 Tabella 5: categoria di interessati Si intende per interessato, la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali (Art. 4, lett. i). Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.5.3 Tabella 5: finalità del trattamento Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

Notifica dei trattamenti 49 Occorre specificare gli scopi che presiedono al trattamento dei dati tenendo presente che essi debbono essere per legge determinati ed espliciti e che, assieme alle modalità di trattamento debbono essere preventivamente resi noti agli interessati o a coloro presso cui si raccolgono i dati. (Articolo 11 e Articolo 13) E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.5.4 Tabella 5: modalità del trattamento Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. Elencare le specifiche modalità utilizzate per il il trattamento in questione, tenendo presente che tali modalità assieme agli scopi del trattamento debbono essere preventivamente resi noti agli interessati o a coloro presso cui si raccolgono i dati. (Articolo 11 e Articolo 13)

50 Notifica dei trattamenti E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.6 Tabella 6: Trattamento effettuato con l'ausilio di strumenti elettronici...

Notifica dei trattamenti 51 1.3.3.6.1 Tabella 6: categoria di dati Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.6.2 Tabella 6: categoria di interessati Si intende per interessato, la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali (Art. 4, lett. i). Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

52 Notifica dei trattamenti E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.6.3 Tabella 6: finalità del trattamento Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. Occorre specificare gli scopi che presiedono al trattamento dei dati tenendo presente che essi debbono essere per legge determinati ed espliciti e che, assieme alle modalità di trattamento debbono essere preventivamente resi noti agli interessati o a coloro presso cui si raccolgono i dati. (Articolo 11 e Articolo 13)

Notifica dei trattamenti 53 E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.6.4 Tabella 6: modalità del trattamento Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. Elencare le specifiche modalità utilizzate per il il trattamento in questione, tenendo presente che tali modalità assieme agli scopi del trattamento debbono essere preventivamente resi noti agli interessati o a coloro presso cui si raccolgono i dati. (Articolo 11 e Articolo 13)

54 Notifica dei trattamenti E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.7 Tabella 7: Trattamento di dati sensibili registrati in banche... 1.3.3.7.1 Tabella 7: categoria di dati Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

Notifica dei trattamenti 55 E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.7.2 Tabella 7: categoria di interessati Si intende per interessato,la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali (Art. 4, lett. i). Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

58 Notifica dei trattamenti 1.3.3.8 Tabella 8: Trattamento di dati registrati in apposite...

Notifica dei trattamenti 59 1.3.3.8.1 Tabella 8: categoria di dati Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie. E' possibile inserire del testo libero. Si esorta ad usare il campo Altro nei casi assolutamente indispensabili. 1.3.3.8.2 Tabella 8: categoria di interessati Si intende per interessato, la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali (Art. 4, lett. i). Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

62 Notifica dei trattamenti 1.3.4 Modalità generali del trattamento 1.3.4.1 Diffusione e Comunicazione dei dati Per "comunicazione" si intende il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Per "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; L'assenza di comunicazione e/o diffusione comporta che i dati possono circolare esclusivamente all'interno della struttura del titolare sempre rispettando le regole generali per il trattamento dei dati e le misure minime di sicurezza. Si tenga presente che i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, cosi' come l'ambito di diffusione dei dati medesimi debbono essere preventivamente resi noti agli interessati o a coloro presso cui si raccolgono i dati (artt.11 e 13). 1.3.4.1.1 Modalità di diffusione dei dati Per "diffusione" si intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazioni (art. 4, comma 1, lett. m)). Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

Notifica dei trattamenti 63 1.3.4.1.2 Modalità di comunicazione dei dati Per "comunicazione" si intende il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

64 Notifica dei trattamenti 1.3.4.2 Custodia dei dati Si considera luogo di custodia anche l'ubicazione fisica di un server su cui i dati siano registrati. Anche in questo caso occorre specificare se tale strumento si trova presso terzi, in ambito UE o extra UE. Si considera luogo di custodia anche l'ubicazione fisica di un server su cui i dati sono registrati. Per evitare che debbano essere menzionati nella notificazione tutti i luoghi di custodia dei dati, soggetti in molteplici casi a successive modifiche della notificazione, occorre menzionare un solo luogo di custodia dei dati (indicando via, città, cap) e tenere costantemente aggiornato e agevolmente reperibile l'elenco degli altri luoghi dove sono custoditi i dati relativi al trattamento notificato. Per ciascun trattamento che si notifica è richiesta la necessaria compilazione del riquadro sul luogo di custodia. Nel caso dovesse coincidere il luogo, per più trattamenti, occorre ugualmente compilare i

Notifica dei trattamenti 65 campi con le indicazioni richieste. Qualora il luogo di custodia menzionato precedentemente fosse presso terzi, indicare la ragione sociale/denominazione/cognome e nome 1.3.4.3 Trattamenti effettuati tramite sito WEB Nel caso il trattamento avvenga anche tramite uno o più siti web, barrare la casella. Si ricorda che per trattamento si intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (art. 4, c. 1, lett. a)). 1.3.4.3.1 Siti WEB Indicare il nome del dominio del sito Web. Es.: www.nomeditta.com Menzionare il Paese o i Paesi di ubicazione del/i server. Es.: Australia, Afghanistan... Compilare la parte sottostante nel solo caso che la registrazione delle informazioni relative all'utente, diversa dall'indirizzo IP, sia effettuata per finalità diverse da quelle strettamente indispensabili a

66 Notifica dei trattamenti livello tecnico. L'ultima parte sottostante dei dati da inserire riguarda la prova di avvenuta transazione commerciale tramite web.vedi art. 124. 1.3.4.4 Notifica di trasferimenti di dati all'estero Barrare la casella nel solo caso in cui si effettui un trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, se diretto verso un Paese non appartenente all'unione europea (art. 43). Costituisce trattamento in Italia anche la consultazione di dati personali detenuti su un server situato all'estero. Una volta barrata la casella, il programma presenterà automaticamente, più avanti, la maschera di inserimento dei dati relativi al trasferimento con la selezione dei Paesi e i casi in cui è lecito il trasferimento. 1.3.4.4.1 Trasferimento di dati all'estero Qualora il trattamento dei dati avvenisse in maniera diffusa oppure in aree geografiche definite, è possibile barrare le caselle pertinenti anzichè barrare le caselle relative ai singoli Paesi.

Notifica dei trattamenti 67 Barrare quindi le caselle relative ai singoli Paesi tra quelli previsti nell'apposita tabella proposta dalla procedura. E' possibile scegliere più paesi.

68 Notifica dei trattamenti 1.3.4.4.2 Principali presupposti del trasferimento all'estero utilizzati dai titolari Una volta scelto di notificare il trasferimento di dati all'estero, è obbligatorio selezionare una o più voce dell'elenco che contempla i casi di trasferimenti consentiti (articolo 43 e articolo 44). Indicare la specifica tipologia ricavandola dall'apposita tabella proposta dalla procedura. E' possibile scegliere più tipologie.

Notifica dei trattamenti 69 1.3.4.5 Adozione delle misure di sicurezza I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. (vedi artt. 31, 32, 33, 34, 35, 36). Il disciplinare tecnico - allegato B al codice - stabilisce le modalità tecniche delle misure minime da adottare a pena di irrogazione di sanzioni penali (art. 169). Barrare la casella nel caso in cui il trattamento avvenga in tutto o in parte con strumenti elettronici. Anche il trattamento senza l'ausilio di strumenti elettronici comporta l'adozione di misure di sicurezza (art. 35). Verificare, i termini per attuare le nuove misure minime di sicurezza di cui all'allegato B del Codice e, nel frattempo, per continuare ad osservare le misure minime già previste dal d.p.r. n. 318/1999 e per adottare cautele volte ad evitare un incremento dei rischi. Le misure minime di sicurezza di cui all'allegato B del Codice, obbligatoriamente anche sul piano della responsabilità penale (art.169 del Codice), non esauriscono gli obblighi del titolare del trattamento in materia di sicurezza. Per rendere comunque lecito il trattamento, anche ai fini della responsabilità civile, devono essere in ogni caso adottate le ulteriori misure indicate nell'articolo 31 del Codice.

70 Notifica dei trattamenti Una volta effettuate la scelte cliccare sul pulsante 1.3.4.6 Riepilogo della notificazione Al termine della compilazione della notifica compare il quadro riepilogatìvo dei dati così come sono stati inseriti. Una volta controllato iò quadro riepilogativo cliccare sul pulsante titolo. nella barra del 1.3.4.7 Conferma della notificazione Quando compare questa videata la fase di inserimento dati è completata.