I principi generali del trattamento dei dati personali PDF
Document Details
Uploaded by Deleted User
Tags
Summary
This document provides an overview of the general principles of data processing. It covers topics such as the accountability principle, the lawfulness of data processing, and the treatment of data in the public domain. The document is part of a larger course or study.
Full Transcript
Corso Diritto delle tecnologie cloud Docenti Proff. Salvatore Sica - Giorgio Giannone Codiglione Argomento I principi generali del tra9amento dei da; personali I principi generali del trattamento dei dati personali 1 di...
Corso Diritto delle tecnologie cloud Docenti Proff. Salvatore Sica - Giorgio Giannone Codiglione Argomento I principi generali del tra9amento dei da; personali I principi generali del trattamento dei dati personali 1 di 34 Secondo i principi generali del GDPR (art. 5), i da; personali devono essere: a) tra9a; in modo lecito, corre9o e trasparente; b) raccol; per finalità determinate, esplicite e legiGme e tra9a; in maniera compa;bile con queste ul;me; c) adegua; ed esaG; d) conserva; in modo tale da rendere iden;ficabile l’interessato solo per il lasso di tempo necessario ai fini del perseguimento delle finalità, ecce9o nelle ipotesi di conservazione per interesse pubblico, scien;fico, storico o sta;s;co; e) tra9a; in maniera sicura. I principi generali del trattamento dei dati personali 2 di 34 La c.d. Accountability (Responsabilizzazione) del 3tolare o del responsabile del tra6amento Il titolare del trattamento è chiamato a dare prova in ogni momento dell’adempimento di tali obblighi, in virtù del principio di responsabilizzazione o accountability. La responsabilizzazione richiede l’adozione attiva di misure da parte dei titolari del trattamento dei dati per la promozione e la salvaguardia della protezione dei dati nel corso delle loro attività di trattamento. Esempi di tali nuove misure sono: 1) L’obbligo di tenuta del registro dei trattamenti (+ 250 dipendenti, trattamenti rischiosi per i diritti e la libertà dell’interessato, non occasionale e avente come oggetto particolari tipologie di dati); 2) Obbligo di designazione del Responsabile della protezione dei dati personali (v. infra). I titolari del trattamento sono responsabili per e devono essere in grado di provare in ogni momento l’osservanza dei principi in materia di protezione dei dati alle persone interessate, al pubblico in generale e alle autorità di controllo. Il GDPR stabilisce inoltre nuovi obblighi in termini di responsabilizzazione che richiedono altresì l’adozione di nuove significative misure di carattere tecnico e organizzativo per dimostrare il rispetto del GDPR. I principi generali del trattamento dei dati personali 3 di 34 Il principio del tra2amento lecito Nella normativa in materia di protezione dei dati nell’ambito dell’UE e del CoE, il principio del trattamento lecito è il primo principio a essere nominato; esso è espresso in modo pressoché identico nell’articolo 5 della Convenzione n. 108 del CoE e nell’articolo 5 del GDPR. Non esiste una definizione precisa di cosa si intenda per trattamento lecito e, per determinarlo, occorre fare riferimento alle ingerenze ammissibili ai sensi dell’articolo 8, paragrafo2 della CEDU, per come interpretate nella giurisprudenza della Corte EDU, e alle condizioni per le limitazioni legittime ai sensi dell’articolo 52 della Carta dei diritti fondamentali dell’UE. In base all’articolo 52, paragrafo 1, il trattamento dei dati personali è ammissibile solo se: è previsto dalla legge rispetta il contenuto essenziale del diritto alla protezione dei dati è necessario, nel rispetto del principio di proporzionalità risponde effettivamente a finalità di interesse generale riconosciute dall’Unione o all’esigenza di proteggere i diritti e le libertà altrui. I principi generali del trattamento dei dati personali 4 di 34 I motivi di liceità del trattamento possono derivare, oltre che: a1) dall’integrità e validità del consenso prestato dall’interessato, anche da altri fattori, quali: a2) l’esecuzione di un contratto in cui una delle parti coincide con l’interessato; a3) l’adempimento di un obbligo legale da parte del titolare o il perseguimento di un legittimo interesse del titolare o di un terzo, a patto che esso non prevalga sulle prerogative dell’interessato; a4) l’esecuzione di un compito di interesse pubblico o, ancora, la salvaguardia degli interessi vitali dell’interessato o dei consociati. I principi generali del trattamento dei dati personali 5 di 34 Il tra'amento dei da. personali in ambito pubblico I principi generali del trattamento dei dati personali 6 di 34 Ai sensi dell’art. 6, par. 1, lett. c) GDPR, il trattamento dei dati è lecito ove necessario per adempiere un obbligo legale o eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. Considerando n. 45: È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del trattamento è soggetto o necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri sia basato sul diritto dell'Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e corretto. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri debba essere una pubblica autorità o altra persona fisica o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanità pubblica e la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un'associazione professionale. I principi generali del trattamento dei dati personali 7 di 34 Ai sensi dell’art. 6, par. 3 GDPR la base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell'Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento. Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX.Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è proporzionato all'obiettivo legittimo perseguito. I principi generali del trattamento dei dati personali 8 di 34 Art. 2-ter d. lgs. 196/2003 (c.d. Codice privacy) (Base giuridica per il tra6amento di da3 personali effe6uato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri) 1. La base giuridica prevista dall'arNcolo 6, paragrafo 3, leOera b), del regolamento è cosNtuita esclusivamente da una norma di legge o, nei casi previs3 dalla legge, di regolamento. 2. La comunicazione fra Ntolari che effeOuano traOamenN di daN personali, diversi da quelli ricompresi nelle par3colari categorie di cui all'ar3colo 9 del Regolamento e di quelli rela3vi a condanne penali e rea3 di cui all'ar3colo 10 del Regolamento, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1. In mancanza di tale norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compi3 di interesse pubblico e lo svolgimento di funzioni is3tuzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla rela3va comunicazione al Garante, senza che lo stesso abbia ado6ato una diversa determinazione delle misure da ado6arsi a garanzia degli interessa3. I principi generali del trattamento dei dati personali 9 di 34 3. La diffusione e la comunicazione di daN personali, traOaN per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggeU che intendono tra6arli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1. a) "comunicazione", il dare conoscenza dei daN personali a uno o più soggeS determina3 diversi dall'interessato, dal rappresentante del Ntolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'arNcolo 2- quaterdecies, al traOamento dei daN personali soOo l'autorità direOa del Ntolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione; b) "diffusione", il dare conoscenza dei daN personali a soggeU indetermina3, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. N.B.: la comunicazione di daN sulla salute, biometrici e geneNci è vietata (art. 2-sep,es, comma 8, del Codice) I principi generali del trattamento dei dati personali 10 di 34 Ar>colo 9 TraAamento di categorie par>colari di da> personali 1. È vietato traNare daO personali che rivelino l'origine razziale o etnica, le opinioni poliOche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché traNare daO geneOci, daO biometrici intesi a idenOficare in modo univoco una persona fisica, daO relaOvi alla salute o alla vita sessuale o all'orientamento sessuale della persona. (…) Art. 2-sexies Codice privacy (TraAamento di categorie par>colari di da> personali necessario per mo>vi di interesse pubblico rilevante) 1. I traNamenO delle categorie parOcolari di daO personali di cui all'arOcolo 9, paragrafo 1, del Regolamento, necessari per mo>vi di interesse pubblico rilevante ai sensi del paragrafo 2, leNera g), del medesimo arOcolo, sono ammessi qualora siano previs> dal diriAo dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o, nei casi previs> dalla legge, di regolamento che specifichino i >pi di da> che possono essere traAa>, le operazioni eseguibili e il mo>vo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diriN fondamentali e gli interessi dell'interessato. I principi generali del trattamento dei dati personali 11 di 34 (…) si considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie: a) accesso a documenti amministrativi e accesso civico; b) tenuta atti e registri dello stato civile, anagrafi, liste elettorali, rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalità; c) registri pubblici relativi a beni immobili o mobili; d) anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli; e) cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato; f) elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, documentazione attività istituzionali di organi pubblici, (redazione di verbali e resoconti assemblee rappresentative, commissioni e altri organi collegiali o assembleari); g) esercizio del mandato degli organi rappresentativi (sospensione, scioglimento, accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche); h) funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo, accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all'espletamento di un mandato elettivo; i) attività dei soggetti pubblici dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale; l) attività di controllo e ispettive; I principi generali del trattamento dei dati personali 12 di 34 (…) m) concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni; n) conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di associazioni, fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilità e di professionalità per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonchè rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patronati e premi di rappresentanza, adesione a comitati d'onore e ammissione a cerimonie ed incontri istituzionali; o) rapporti tra i soggetti pubblici e gli enti del terzo settore; p) obiezione di coscienza; q) attività sanzionatorie e di tutela in sede amministrativa o giudiziaria; r) rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose; s) attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci; t) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, i trapianti d'organo e di tessuti e trasfusioni di sangue umano; u) servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica; v) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, instaurazione, gestione, pianificazione e controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale; z) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria; I principi generali del trattamento dei dati personali 13 di 34 (…) aa) tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diriV dei disabili; bb) istruzione e formazione in ambito scolasOco, professionale, superiore o universitario; cc) traNamenO effeNuaO a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenO la conservazione, l'ordinamento e la comunicazione dei documenO detenuO negli archivi di Stato negli archivi storici degli enO pubblici, o in archivi privaO dichiaraO di interesse storico parOcolarmente importante, per fini di ricerca scienOfica, nonché per fini staOsOci da parte di soggeV che fanno parte del sistema staOsOco nazionale (Sistan); dd) instaurazione, gesOone ed esOnzione, di rapporO di lavoro di qualunque Opo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunità nell'ambito dei rapporO di lavoro, adempimento degli obblighi retribuOvi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilità civile, disciplinare e contabile, aVvita' ispeVva. N.B.: il Codice recepisce le indicazioni del GDPR introducendo disposizioni specifiche per i da> gene>ci, biometrici e rela>vi alla salute (art. 2-sep&es); da> giudiziari (art. 2-oc&es). I principi generali del trattamento dei dati personali 14 di 34 Il consenso al tra2amento dei da; personali Ai sensi dell’art. 7 del GDPR, il Otolare del traNamento deve essere in grado di dimostrare che l'interessato ha prestato il proprio consenso al traAamento dei da> personali. Nel caso di dichiarazione scriNa, il consenso deve essere disOnto chiaramente dalle eventuali altre dichiarazioni rese dall’interessato, in forma comprensibile e facilmente accessibile, con un linguaggio semplice e chiaro. L'interessato può revocare il proprio consenso in qualsiasi momento. Un’importante novità normaOva è poi prevista dall’art. 8: nel caso di offerta direAa ai minori di servizi on line (ad es. social network), il traNamento di daO personali del minore è lecito soltanto se il minore ha compiuto 16 anni (il GDPR autorizza gli StaO membri a stabilire per legge un'età ancora inferiore, sino a un limite di 13 anni). In caso di minore di sedici anni, il traNamento è comunque lecito se il consenso è prestato o autorizzato dal >tolare della responsabilità genitoriale. Sulla falsariga dell’esperienza statunitense del Children Online Privacy Protec5on Act entrato in vigore nel 2000, l’art. 8, par. 2 del GDPR obbliga i Otolari/gestori di siO e piaNaforme on line accessibili ai minori a predisporre sistemi di verifica della genuinità del consenso o dell’autorizzazione del genitore “in considerazione delle tecnologie disponibili”, ad esempio basaO sull’idenOficazione dei traV somaOci associata alla leNura dei documenO rilasciaO dagli enO governaOvi (Carta d'idenOtà eleNronica). I principi generali del trattamento dei dati personali 15 di 34 Considerando n. 43: è opportuno che il consenso non cosNtuisca un valido fondamento giuridico per il traOamento dei daN personali in un caso specifico, qualora esista un evidente squilibrio tra l'interessato e il Ntolare del traOamento, specie quando il Ntolare del traOamento è un'autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato prestato liberamente in tuOe le circostanze di tale situazione specifica. Si presume che il consenso non sia stato liberamente prestato se non è possibile prestare un consenso separato a dis3n3 tra6amen3 di da3 personali, nonostante sia appropriato nel singolo caso, o se l'esecuzione di un contra6o, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione. I principi generali del trattamento dei dati personali 16 di 34 Il principio di tra2amento corre2o e trasparente dei da; personali TraAamento correAo significa trasparenza del traNamento e ragioni legiVme per la raccolta e l’uOlizzo dei daO, specialmente in rapporto alle persone interessate. Questo significa che non ci devono essere conseguenze negaOve ingiusOficate per gli individui coinvolO. I Otolari del traNamento dei daO devono informare le persone interessate prima di traNare i loro daO, quantomeno con riferimento alla finalità del traNamento e all’idenOtà e all’indirizzo del Otolare del traNamento. A meno che ciò non sia specificatamente autorizzato dalla legge, il traNamento dei daO non può essere coperto da segreto. Nel sistema europeo, la persona interessata ha il diriNo di accedere ai propri daO ogni qualvolta siano elaboraO. Il principio di trasparenza disciplina, in parOcolare, il rapporto tra il Otolare del traNamento dei daO e la persona interessata. Le aVvità di traNamento devono essere spiegate alle persone interessate in una maniera facilmente accessibile che assicuri la piena comprensione di cosa accadrà ai loro daO. Clicca qui per maggiori deNagli. I principi generali del trattamento dei dati personali 17 di 34 Nel caso K.H. et al. c. Slovacchia, i ricorrenti erano otto donne di origine etnica Rom che erano state curate in due ospedali in Slovacchia durante la gravidanza e il parto. Successivamente, nessuna di loro era stata in grado di concepire altri figli nonostante i ripetuti tentativi. I tribunali nazionali avevano ordinato agli ospedali di permettere alle ricorrenti e ai loro avvocati di consultare e trascrivere manualmente estratti della documentazione medica ma avevano rigettato la loro richiesta di fotocopiare i documenti apparentemente per prevenirne l’abuso. I principi generali del trattamento dei dati personali 18 di 34 Gli obblighi positivi in capo allo Stato ai sensi dell’articolo 8 della CEDU includevano necessariamente l’obbligo di mettere a disposizione delle persone interessate copie delle loro cartelle. Spettava allo Stato determinare le modalità per copiare i dossier contenenti i dati personali, o, ove appropriato, dimostrare l’esistenza di ragioni convincenti per rifiutarsi di fare ciò. I tribunali nazionali giustificavano il divieto di fotocopiare la documentazione medica sulla base dell’esigenza di salvaguardare le informazioni rilevanti da possibili abusi. Tuttavia, la Corte EDU non era persuasa di come le ricorrenti, alle quali era stato in ogni caso garantito pieno accesso alle proprie cartelle cliniche, avrebbero potuto abusare delle informazioni che le riguardavano. Lo Stato non era riuscito a dimostrare l’esistenza di motivazioni sufficientemente convincenti per negare alle ricorrenti l’accesso effettivo alle informazioni concernenti il loro stato di salute. La Corte EDU riscontrava una violazione dell’articolo 8. I principi generali del trattamento dei dati personali 19 di 34 Nel GDPR, i principi di correBezza e trasparenza del tra9amento (art. 5 GDPR) trovano compiuta espressione nel rapporto sussistente tra l’eventuale consenso dell’interessato (o altra causa di liceità del tra9amento) e l’obbligo d’informazione posto in capo al ;tolare. L’art. 12 del GDPR obbliga il ;tolare ad ado9are misure appropriate al fine di fornire all'interessato tuBe le informazioni relaDve al traBamento. Le informa;ve devono essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, per iscri9o o con mezzi ele9ronici. I successivi ar9. 13 e 14 del GDPR introducono dei requisi; obbligatori delle informa;ve nei casi in cui i da; personali vengano raccol; o meno presso l'interessato. I principi generali del trattamento dei dati personali 20 di 34 L'interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l'interessato o, se i dati sono ottenuti da altra fonte, entro un termine ragionevole, in funzione delle circostanze del caso. Se i dati personali possono essere legittimamente comunicati a un altro destinatario, l'interessato dovrebbe esserne informato nel momento in cui il destinatario riceve la prima comunicazione dei dati personali. Il titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, dovrebbe fornire all'interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità diversa e altre informazioni necessarie. I principi generali del trattamento dei dati personali 21 di 34 Qualora non sia possibile comunicare all'interessato l'origine dei da; personali, perché sono state u;lizzate varie fon;, dovrebbe essere fornita un'informazione di cara9ere generale. Per contro, non è necessario imporre l'obbligo di fornire l'informazione se l'interessato dispone già dell'informazione, se la registrazione o la comunicazione dei da; personali sono previste per legge o se informare l'interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato. Quest'ul;ma eventualità potrebbe verificarsi, ad esempio, nei tra9amen; esegui; a fini di archiviazione nel pubblico interesse, di ricerca scien;fica o storica o a fini sta;s;ci. In tali casi si può tener conto del numero di interessa;, dell'an;chità dei da; e di eventuali garanzie adeguate in essere. I principi generali del trattamento dei dati personali 22 di 34 Articolo 12 - Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato 1. Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato. 2. Il titolare del trattamento agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all'articolo 11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell'interessato al fine di esercitare i suoi diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l'interessato. 3. Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell'interessato. 4. Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale. I principi generali del trattamento dei dati personali 23 di 34 5. Le informazioni fornite ai sensi degli ar3coli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli ar3coli da 15 a 22 e dell'ar3colo 34 sono gratuite. Se le richieste dell'interessato sono manifestamente infondate o eccessive, in par3colare per il loro cara@ere ripe33vo, il 3tolare del tra@amento può: a) addebitare un contributo spese ragionevole tenendo conto dei cos3 amministra3vi sostenu3 per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta; oppure b) rifiutare di soddisfare la richiesta. Incombe al 3tolare del tra@amento l'onere di dimostrare il cara@ere manifestamente infondato o eccessivo della richiesta. 6. Fa@o salvo l'ar3colo 11, qualora il 3tolare del tra@amento nutra ragionevoli dubbi circa l'iden3tà della persona fisica che presenta la richiesta di cui agli ar3coli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare l'iden3tà dell'interessato. 7. Le informazioni da fornire agli interessa3 a norma degli ar3coli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del tra@amento previsto. Se presentate ele@ronicamente, le icone sono leggibili da disposi3vo automa3co. 8. Alla Commissione è conferito il potere di ado@are aQ delega3 conformemente all'ar3colo 92 al fine di stabilire le informazioni da presentare so@o forma di icona e le procedure per fornire icone standardizzate. I principi generali del trattamento dei dati personali 24 di 34 Ar3colo 13 - Informazioni da fornire qualora i da3 personali siano raccol3 presso l'interessato 1. In caso di raccolta presso l'interessato di daN che lo riguardano, il Ntolare del traOamento fornisce all'interessato, nel momento in cui i daN personali sono oOenuN, le seguenN informazioni: a) l'idenNtà e i daN di contaOo del Ntolare del traOamento e, ove applicabile, del suo rappresentante; b) i daN di contaOo del responsabile della protezione dei daN, ove applicabile; c) le finalità del traOamento cui sono desNnaN i daN personali nonché la base giuridica del traOamento; d) qualora il traOamento si basi sull'arNcolo 6, paragrafo 1, leOera f), i legiSmi interessi perseguiN dal Ntolare del traOamento o da terzi; e) gli eventuali desNnatari o le eventuali categorie di desNnatari dei daN personali; f) ove applicabile, l'intenzione del Ntolare del traOamento di trasferire daN personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenN di cui all'arNcolo 46 o 47, o all'arNcolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per oOenere una copia di tali daN o il luogo dove sono staN resi disponibili. I principi generali del trattamento dei dati personali 25 di 34 2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un'autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. 3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2. 4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni. I principi generali del trattamento dei dati personali 26 di 34 Ar3colo 14 Informazioni da fornire qualora i da3 personali non siano sta3 o6enu3 presso l'interessato 1. Qualora i daN non siano staN oOenuN presso l'interessato, il Ntolare del traOamento fornisce all'interessato le seguenN informazioni: a) l'idenNtà e i daN di contaOo del Ntolare del traOamento e, ove applicabile, del suo rappresentante; b) i daN di contaOo del responsabile della protezione dei daN, ove applicabile; c) le finalità del traOamento cui sono desNnaN i daN personali nonché la base giuridica del traOamento; d) le categorie di daN personali in quesNone; e) gli eventuali desNnatari o le eventuali categorie di desNnatari dei daN personali; f) ove applicabile, l'intenzione del Ntolare del traOamento di trasferire daN personali a un desNnatario in un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenN di cui all'arNcolo 46 o 47, o all'arNcolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per oOenere una copia di tali daN o il luogo dove sono staN resi disponibili. I principi generali del trattamento dei dati personali 27 di 34 2. Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all'interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell'interessato: a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; c) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; d) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca; e) il diritto di proporre reclamo a un'autorità di controllo; f) la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico; g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. I principi generali del trattamento dei dati personali 28 di 34 3. Il Utolare del traVamento fornisce le informazioni di cui ai paragrafi 1 e 2: a) entro un termine ragionevole dall'oVenimento dei daU personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i daU personali sono traVaU; b) nel caso in cui i daU personali siano desUnaU alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato; oppure c) nel caso sia prevista la comunicazione ad altro desUnatario, non oltre la prima comunicazione dei daU personali. 4. Qualora il Utolare del traVamento intenda traVare ulteriormente i daU personali per una finalità diversa da quella per cui essi sono staU oVenuU, prima di tale ulteriore traVamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni informazione perUnente di cui al paragrafo 2. 5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui: a) l'interessato dispone già delle informazioni; b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in parUcolare per il traVamento a fini di archiviazione nel pubblico interesse, di ricerca scienUfica o storica o a fini staUsUci, faVe salve le condizioni e le garanzie di cui all'arUcolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente arUcolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale traVamento. In tali casi, il Utolare del traVamento adoVa misure appropriate per tutelare i diriY, le libertà e i legiYmi interessi dell'interessato, anche rendendo pubbliche le informazioni; c) l'oVenimento o la comunicazione sono espressamente previsU dal diriVo dell'Unione o dello Stato membro cui è soggeVo il Utolare del traVamento e che prevede misure appropriate per tutelare gli interessi legiYmi dell'interessato; oppure d) qualora i daU personali debbano rimanere riservaU conformemente a un obbligo di segreto professionale disciplinato dal diriVo dell'Unione o degli StaU membri, compreso un obbligo di segretezza previsto per legge. I principi generali del trattamento dei dati personali 29 di 34 Informa;va e Informazioni: Codice privacy vs. GDPR Dall’assolvimento di un mero obbligo burocraDco (l’informa;va) all’a9uazione di un costante obbligo di informazione in tu9e le fasi dello svolgimento del tra9amento dei da; personali (le informa;ve); IntuiDvità ed intellegibilità (ad es. icone standardizzate ex art. 12, par. 7); Gratuità delle aGvità di informazione (art. 12, par. 5) ecce9o nei casi di richieste eccessive, ripe;;ve o infondate da parte dell’interessato; Art. 12 (aGvità come procedimento) – ar9. 13 e 14 (aG di informazione) I principi generali del trattamento dei dati personali 30 di 34 Il principio di limitazione delle finalità La finalità del trattamento dei dati deve essere chiaramente definita prima che il trattamento abbia inizio. In base al diritto dell’Unione europea, la finalità del trattamento deve essere definita espressamente; la normativa CoE rimette la disciplina di tale aspetto al diritto interno. Il trattamento per finalità indefinite non rispetta la normativa in materia di protezione dei dati. L’utilizzo ulteriore dei dati per un’altra finalità richiede una base giuridica supplementare se la nuova finalità del trattamento è incompatibile con quella originaria. Il trasferimento di dati a terzi è una finalità nuova che richiede una base giuridica supplementare. Questo principio indica che la legittimità del trattamento dei dati personali dipende dalla finalità del trattamento (“limitazione della finalità”). Il titolare del trattamento dei dati deve precisare la finalità del trattamento dei dati personali (ad esempio, attraverso una comunicazione). È illegale trattare dati personali per finalità illimitate e indefinite. Il trattamento secondario di dati personali deve avere la sua specifica base giuridica e non può fondarsi sul fatto che i dati erano stati inizialmente acquisiti o trattati per un’altra finalità legittima. Il trattamento ulteriore di dati per un interesse pubblico o per finalità storiche, statistiche o scientifiche è ammesso purché gli Stati membri prevedano garanzie appropriate. I principi generali del trattamento dei dati personali 31 di 34 Il principio di minimizzazione ed esattezza dei dati I principi relaOvi ai daO (“minimizzazione dei daO”, esaNezza e limitazione della conservazione) devono essere rispeNaO dal Otolare del traNamento in tuNe le aVvità di traNamento. Il principio della limitazione della conservazione richiede la cancellazione dei daO non appena quesO non siano più necessari per il conseguimento delle finalità per le quali sono staO raccolO. Deroghe al principio della limitazione della conservazione possono essere stabilite per legge e richiedono speciali garanzie per la protezione delle persone interessate. In ossequio al principio di minimizzazione, possono essere traNaO solo i daO adeguaO, perOnenO e limitaO a quanto necessario rispeNo alle finalità per le quali sono traNaO e/o ulteriormente elaboraO. Le categorie di daO scelO per il traNamento devono essere necessarie al fine di conseguire la finalità generale dichiarata delle aVvità di traNamento. Quanto alla durata del traNamento e alla relaOva conservazione dei daO da parte del Otolare (principi di adeguatezza e limitazione del traNamento), il GDPR specifica come tali processi debbano essere limita> al tempo necessario per il perseguimento delle finalità del traAamento. È possibile fissare un termine per la definiOva eliminazione delle informazioni o, ancora, ai fini dell’espletamento di una verifica periodica e di un’eventuale reVfica. I principi generali del trattamento dei dati personali 32 di 34 Il principio di integrità e sicurezza I da; personali devono essere tra9a; in modo da garan;re un’adeguata sicurezza dei da; personali, compresa la protezione da: tra9amen; non autorizza; o illeci; perdita accidentale distruzione danno mediante misure tecniche e organizza;ve adeguate. I principi generali del trattamento dei dati personali 33 di 34 Liceità, corre6ezza, trasparenza: obbligo di svolgere un traOamento dei daN personali lecito, correOo e trasparente nei confronN dell’interessato; Minimizzazione: i daN personali devono essere adeguaN, perNnenN e limitaN a quanto necessario rispeOo alle finalità per le quali sono traOaN; Limitazione delle finalità: i daN personali devono essere raccolN per finalità limitate, esplicite e legiSme e traOaN in modo compaNbile con tali finalità; Esa6ezza: i daN personali devono essere esaS e, se necessario, aggiornaN; se inesaS rispeOo le finalità devono essere modificaN, reSficaN e/o cancellaN tempesNvamente con tuOe le misure idonee; Integrità e riservatezza: i daN vanno traOaN in maniera tale da garanNre un’adeguata sicurezza compresa la protezione, mediante misure tecniche e organizzaNve adeguaN, al fin di non configurare traOamenN illecite e non autorizzaN e non causarne la perdita, la distruzione o danni accidentali; Limitazione della conservazione: i daN personali vanno conservaN in una forma che consenta l’idenNficazione degli interessaN per un arco di tempo non superiore al perseguimento delle finalità per le quali sono traOaN. I principi generali del trattamento dei dati personali 34 di 34