Art. 1 (Diritto alla protezione
dei dati personali)
1. Chiunque ha diritto alla
protezione dei dati personali che lo riguardano.
Art. 2 (Finalità)
1. Il presente testo unico, di
seguito denominato “codice”, garantisce che il trattamento dei dati
personali si svolga nel rispetto dei diritti e delle libertà fondamentali,
nonché della dignità dell’interessato, con particolare riferimento alla
riservatezza, all'identità personale e al diritto alla protezione dei dati
personali.
2. Il trattamento dei dati
personali è disciplinato assicurando un elevato livello di tutela dei
diritti e delle libertà di cui al comma 1 nel rispetto dei principi di
semplificazione, armonizzazione ed efficacia delle modalità previste per il
loro esercizio da parte degli interessati, nonché per l’adempimento degli
obblighi da parte dei titolari del trattamento.
Art. 3 (Principio di necessità
nel trattamento dei dati)
1. I sistemi informativi e i
programmi informatici sono configurati riducendo al minimo l’utilizzazione
di dati personali e di dati identificativi, in modo da escluderne il
trattamento quando le finalità perseguite nei singoli casi possono essere
realizzate mediante, rispettivamente, dati anonimi od opportune modalità
che permettano di identificare l’interessato solo in caso di necessità.
Art. 4 (Definizioni)
1. Ai fini del presente codice si
intende per:
a) "trattamento",
qualunque operazione o complesso di operazioni, effettuati anche senza
l'ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione,
la cancellazione e la distruzione di dati, anche se non registrati in una
banca di dati;
b) "dato personale",
qualunque informazione relativa a persona fisica, persona giuridica, ente od
associazione, identificati o identificabili, anche indirettamente, mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale;
c) "dati
identificativi", i dati personali che permettono l’identificazione
diretta dell’interessato;
d) “dati sensibili”, i dati
personali idonei a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione
a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a rivelare
lo stato di salute e la vita sessuale;
e) “dati giudiziari”, i dati
personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1,
lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in
materia di casellario giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la qualità di
imputato o di indagato ai sensi degli articoli 60 e 61 del codice di
procedura penale;
f) "titolare", la
persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine alle finalità, alle
modalità del trattamento di dati personali e agli strumenti utilizzati, ivi
compreso il profilo della sicurezza;
g) "responsabile", la
persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al
trattamento di dati personali;
h) “incaricati”, le persone
fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal
responsabile;
i) "interessato", la
persona fisica, la persona giuridica, l'ente o l'associazione cui si
riferiscono i dati personali;
l) "comunicazione", il
dare conoscenza dei dati personali a uno o più soggetti determinati diversi
dall'interessato, dal rappresentante del titolare nel territorio dello
Stato, dal responsabile e dagli incaricati, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione;
m) "diffusione", il
dare conoscenza dei dati personali a soggetti indeterminati, in qualunque
forma, anche mediante la loro messa a disposizione o consultazione;
n) "dato anonimo", il
dato che in origine, o a seguito di trattamento, non può essere associato
ad un interessato identificato o identificabile;
o) "blocco", la
conservazione di dati personali con sospensione temporanea di ogni altra
operazione del trattamento;
p) “banca di dati”, qualsiasi
complesso organizzato di dati personali, ripartito in una o più unità
dislocate in uno o più siti;
q) "Garante",
l'autorità di cui all’articolo 153, istituita dalla legge 31 dicembre
1996, n. 675.
2. Ai fini del presente codice si
intende, inoltre, per:
a) “comunicazione elettronica”,
ogni informazione scambiata o trasmessa tra un numero finito di soggetti
tramite un servizio di comunicazione elettronica accessibile al pubblico.
Sono escluse le informazioni trasmesse al pubblico tramite una rete di
comunicazione elettronica, come parte di un servizio di radiodiffusione,
salvo che le stesse informazioni siano collegate ad un abbonato o utente
ricevente, identificato o identificabile;
b) “chiamata”, la connessione
istituita da un servizio telefonico accessibile al pubblico, che consente la
comunicazione bidirezionale in tempo reale;
c) “reti di comunicazione
elettronica”, i sistemi di trasmissione, le apparecchiature di
commutazione o di instradamento e altre risorse che consentono di
trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o
con altri mezzi elettromagnetici,
incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione
di circuito e a commutazione di pacchetto, compresa Internet, le reti
utilizzate per la diffusione circolare dei programmi sonori e televisivi, i
sistemi per il trasporto della corrente elettrica, nella misura in cui sono
utilizzati per trasmettere i segnali, le reti televisive via cavo,
indipendentemente dal tipo di informazione trasportato;
d) “rete pubblica di
comunicazioni”, una rete di comunicazioni elettroniche utilizzata
interamente o prevalentemente per fornire servizi di comunicazione
elettronica accessibili al pubblico;
e) “servizio di comunicazione
elettronica”, i servizi consistenti esclusivamente o prevalentemente nella
trasmissione di segnali su reti di comunicazioni elettroniche, compresi i
servizi di telecomunicazioni e i servizi di trasmissione nelle reti
utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti
dall’articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento
europeo e del Consiglio, del 7 marzo 2002;
f) “abbonato”, qualunque
persona fisica, persona giuridica, ente o associazione parte di un contratto
con un fornitore di servizi di comunicazione elettronica accessibili al
pubblico per la fornitura di tali servizi, o comunque destinatario di tali
servizi tramite schede prepagate;
g) “utente”, qualsiasi
persona fisica che utilizza un servizio di comunicazione elettronica
accessibile al pubblico, per motivi privati o commerciali, senza esservi
necessariamente abbonata;
h) “dati relativi al traffico”,
qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una
comunicazione su una rete di comunicazione elettronica o della relativa
fatturazione;
i) “dati relativi all’ubicazione”,
ogni dato trattato in una rete di comunicazione elettronica che indica la
posizione geografica dell’apparecchiatura terminale dell’utente di un
servizio di comunicazione elettronica accessibile al pubblico;
l) “servizio a valore aggiunto”,
il servizio che richiede il trattamento dei dati relativi al traffico o dei
dati relativi all’ubicazione diversi dai dati relativi al traffico, oltre
a quanto è necessario per la trasmissione di una comunicazione o della
relativa fatturazione;
m) “posta elettronica”,
messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una
rete pubblica di comunicazione, che possono essere
archiviati in rete o nell’apparecchiatura
terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si
intende, altresì, per:
a) “misure minime”, il
complesso delle misure tecniche, informatiche, organizzative, logistiche e
procedurali di sicurezza che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti nell’articolo 31;
b) “strumenti elettronici”,
gli elaboratori, i programmi per elaboratori e qualunque dispositivo
elettronico o comunque automatizzato con cui si effettua il trattamento;
c) “autenticazione informatica”,
l’insieme degli strumenti elettronici e delle procedure per la verifica
anche indiretta dell’identità;
d) “credenziali di
autenticazione”, i dati ed i dispositivi, in possesso di una persona, da
questa conosciuti o ad essa univocamente correlati, utilizzati per l’
autenticazione informatica;
e) “parola chiave”,
componente di una credenziale di autenticazione associata ad una persona ed
a questa nota, costituita da una sequenza di caratteri o altri dati in forma
elettronica;
f) “profilo di autorizzazione”,
l’insieme delle informazioni, univocamente associate ad una persona, che
consente di individuare a quali dati essa può accedere, nonché i
trattamenti ad essa consentiti;
g) “sistema di autorizzazione”,
l’insieme degli strumenti e delle procedure che abilitano l’accesso ai
dati e alle modalità di trattamento degli stessi, in funzione del profilo
di autorizzazione del richiedente.
4. Ai fini del presente codice si
intende per:
a) "scopi storici", le
finalità di studio, indagine, ricerca e documentazione di figure, fatti e
circostanze del passato;
b) "scopi statistici",
le finalità di indagine statistica o di produzione di risultati statistici,
anche a mezzo di sistemi informativi statistici;
c) "scopi scientifici",
le finalità di studio e di indagine sistematica finalizzata allo sviluppo
delle conoscenze scientifiche in uno specifico settore.
Art. 5 (Oggetto ed ambito di
applicazione)
1. Il presente codice disciplina
il trattamento di dati personali, anche detenuti all’estero, effettuato da
chiunque è stabilito nel territorio dello Stato o in un luogo comunque
soggetto alla sovranità dello Stato.
2. Il presente codice si applica
anche al trattamento di dati personali effettuato da chiunque è stabilito
nel territorio di un Paese non appartenente all’Unione europea e impiega,
per il trattamento, strumenti situati nel territorio dello Stato anche
diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini
di transito nel territorio dell’Unione europea. In caso di applicazione
del presente codice, il titolare del trattamento designa un proprio
rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione
della disciplina sul trattamento dei dati personali.
3. Il trattamento di dati
personali effettuato da persone fisiche per fini esclusivamente personali è
soggetto all'applicazione del presente codice solo se i dati sono destinati
ad una comunicazione sistematica o alla diffusione. Si applicano in ogni
caso le disposizioni in tema di responsabilità e di sicurezza dei dati di
cui agli articoli 15 e 31.
Art. 6 (Disciplina del
trattamento)
1. Le disposizioni contenute
nella presente Parte si applicano a tutti i trattamenti di dati, salvo
quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni
integrative o modificative della Parte II.
