Decreto legislativo 30 giugno 2003, n. 196
Titolo I - Principi generali
Art. 1. Diritto alla protezione dei dati personali
1. Chiunque ha diritto alla protezione dei dati personali che
lo riguardano.
Art. 2. Finalità 1. Il presente testo unico, di
seguito denominato "codice", garantisce che il trattamento dei
dati personali si svolga nel rispetto dei diritti e delle
libertà fondamentali, nonché della dignità dell'interessato,
con particolare riferimento alla riservatezza, all'identità
personale e al diritto alla protezione dei dati personali.
2. Il trattamento dei dati personali è disciplinato
assicurando un elevato livello di tutela dei diritti e delle
libertà di cui al comma 1 nel rispetto dei principi di
semplificazione, armonizzazione ed efficacia delle modalità
previste per il loro esercizio da parte degli interessati,
nonché per l'adempimento degli obblighi da parte dei titolari
del trattamento.
Art. 3. Principio di necessità nel trattamento dei dati
1. I sistemi informativi e i programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati
personali e di dati identificativi, in modo da escluderne il
trattamento quando le finalità perseguite nei singoli casi
possono essere realizzate mediante, rispettivamente, dati
anonimi od opportune modalità che permettano di identificare
l'interessato solo in caso di necessità.
Art. 4. Definizioni 1. Ai fini del presente
codice si intende per:
a) "trattamento", qualunque operazione o complesso di
operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a
persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
c) "dati identificativi", i dati personali che permettono
l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche,
l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico
o sindacale, nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare
provvedimenti di cui all'articolo 3, comma 1, lettere da
a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313,
in materia di casellario giudiziale, di anagrafe delle
sanzioni amministrative dipendenti da reato e dei relativi
carichi pendenti, o la qualità di imputato o di indagato
ai sensi degli articoli 60 e 61 del codice di procedura
penale; f)
"titolare", la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine
alle finalità, alle modalità del trattamento di dati
personali e agli strumenti utilizzati, ivi compreso il
profilo della sicurezza; g)
"responsabile", la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al
trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile;
i) "interessato", la persona fisica, la persona giuridica,
l'ente o l'associazione cui si riferiscono i dati
personali; l)
"comunicazione", il dare conoscenza dei dati personali a
uno o più soggetti determinati diversi dall'interessato,
dal rappresentante del titolare nel territorio dello
Stato, dal responsabile e dagli incaricati, in qualunque
forma, anche mediante la loro messa a disposizione o
consultazione;
m) "diffusione", il dare conoscenza dei dati personali a
soggetti indeterminati, in qualunque forma, anche mediante
la loro messa a disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito di
trattamento, non può essere associato ad un interessato
identificato o identificabile;
o) "blocco", la conservazione di dati personali con
sospensione temporanea di ogni altra operazione del
trattamento;
p) "banca di dati", qualsiasi complesso organizzato di
dati personali, ripartito in una o più unità dislocate in
uno o più siti;
q) "Garante", l'autorità di cui all'articolo 153,
istituita dalla legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) "comunicazione elettronica", ogni informazione
scambiata o trasmessa tra un numero finito di soggetti
tramite un servizio di comunicazione elettronica
accessibile al pubblico. Sono escluse le informazioni
trasmesse al pubblico tramite una rete di comunicazione
elettronica, come parte di un servizio di radiodiffusione,
salvo che le stesse informazioni siano collegate ad un
abbonato o utente ricevente, identificato o
identificabile;
b) "chiamata", la connessione istituita da un servizio
telefonico accessibile al pubblico, che consente la
comunicazione bidirezionale in tempo reale;
c) "reti di comunicazione elettronica", i sistemi di
trasmissione, le apparecchiature di commutazione o di
instradamento e altre risorse che consentono di
trasmettere segnali via cavo, via radio, a mezzo di fibre
ottiche o con altri mezzi elettromagnetici, incluse le
reti satellitari, le reti terrestri mobili e fisse a
commutazione di circuito e a commutazione di pacchetto,
compresa Internet, le reti utilizzate per la diffusione
circolare dei programmi sonori e televisivi, i sistemi per
il trasporto della corrente elettrica, nella misura in cui
sono utilizzati per trasmettere i segnali, le reti
televisive via cavo, indipendentemente dal tipo di
informazione trasportato;
d) "rete pubblica di comunicazioni", una rete di
comunicazioni elettroniche utilizzata interamente o
prevalentemente per fornire servizi di comunicazione
elettronica accessibili al pubblico;
e) "servizio di comunicazione elettronica", i servizi
consistenti esclusivamente o prevalentemente nella
trasmissione di segnali su reti di comunicazioni
elettroniche, compresi i servizi di telecomunicazioni e i
servizi di trasmissione nelle reti utilizzate per la
diffusione circolare radiotelevisiva, nei limiti previsti
dall'articolo 2, lettera c), della direttiva 2002/21/CE
del Parlamento europeo e del Consiglio, del 7marzo 2002;
f) "abbonato", qualunque persona fisica, persona
giuridica, ente o associazione parte di un contratto con
un fornitore di servizi di comunicazione elettronica
accessibili al pubblico per la fornitura di tali servizi,
o comunque destinatario di tali servizi tramite schede
prepagate;
g) "utente", qualsiasi persona fisica che utilizza un
servizio di comunicazione elettronica accessibile al
pubblico, per motivi privati o commerciali, senza esservi
necessariamente abbonata;
h) "dati relativi al traffico", qualsiasi dato sottoposto
a trattamento ai fini della trasmissione di una
comunicazione su una rete di comunicazione elettronica o
della relativa fatturazione;
i) "dati relativi all'ubicazione", ogni dato trattato in
una rete di comunicazione elettronica che indica la
posizione geografica dell'apparecchiatura terminale
dell'utente di un servizio di comunicazione elettronica
accessibile al pubblico;
l) "servizio a valore aggiunto", il servizio che richiede
il trattamento dei dati relativi al traffico o dei dati
relativi all'ubicazione diversi dai dati relativi al
traffico, oltre a quanto è necessario per la trasmissione
di una comunicazione o della relativa fatturazione;
m) "posta elettronica", messaggi contenenti testi, voci,
suoni o immagini trasmessi attraverso una rete pubblica di
comunicazione, che possono essere archiviati in rete o
nell'apparecchiatura terminale ricevente, fino a che il
ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:
a) "misure minime", il complesso delle misure tecniche,
informatiche, organizzative, logistiche e procedurali di
sicurezza che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti nell'articolo
31;
b) "strumenti elettronici", gli elaboratori, i programmi
per elaboratori e qualunque dispositivo elettronico o
comunque automatizzato con cui si effettua il trattamento;
c) "autenticazione informatica", l'insieme degli strumenti
elettronici e delle procedure per la verifica anche
indiretta dell'identità;
d) "credenziali di autenticazione", i dati ed i
dispositivi, in possesso di una persona, da questa
conosciuti o ad essa univocamente correlati, utilizzati
per l'autenticazione informatica;
e) "parola chiave", componente di una credenziale di
autenticazione associata ad una persona ed a questa nota,
costituita da una sequenza di caratteri o altri dati in
forma elettronica;
f) "profilo di autorizzazione", l'insieme delle
informazioni, univocamente associate ad una persona, che
consente di individuare a quali dati essa può accedere,
nonché i trattamenti ad essa consentiti;
g) "sistema di autorizzazione", l'insieme degli strumenti
e delle procedure che abilitano l'accesso ai dati e alle
modalità di trattamento degli stessi, in funzione del
profilo di autorizzazione del richiedente.
4. Ai fini del presente codice si intende per:
a) "scopi storici", le finalità di studio, indagine,
ricerca e documentazione di figure, fatti e circostanze
del passato;
b) "scopi statistici", le finalità di indagine statistica
o di produzione di risultati statistici, anche a mezzo di
sistemi informativi statistici;
c) "scopi scientifici", le finalità di studio e di
indagine sistematica finalizzata allo sviluppo delle
conoscenze scientifiche in uno specifico settore.
Art. 5. Oggetto ed ambito di applicazione 1. Il
presente codice disciplina il trattamento di dati personali,
anche detenuti all'estero, effettuato da chiunque è stabilito
nel territorio dello Stato o in un luogo comunque soggetto
alla sovranità dello Stato.
2. Il presente codice si applica anche al trattamento di dati
personali effettuato da chiunque è stabilito nel territorio di
un Paese non appartenente all'Unione europea e impiega, per il
trattamento, strumenti situati nel territorio dello Stato
anche diversi da quelli elettronici, salvo che essi siano
utilizzati solo ai fini di transito nel territorio dell'Unione
europea. In caso di applicazione del presente codice, il
titolare del trattamento designa un proprio rappresentante
stabilito nel territorio dello Stato ai fini dell'applicazione
della disciplina sul trattamento dei dati personali.
3. Il trattamento di dati personali effettuato da persone
fisiche per fini esclusivamente personali è soggetto
all'applicazione del presente codice solo se i dati sono
destinati ad una comunicazione sistematica o alla diffusione.
Si applicano in ogni caso le disposizioni in tema di
responsabilità e di sicurezza dei dati di cui agli articoli 15
e 31.
Art. 6. Disciplina del trattamento 1. Le
disposizioni contenute nella presente Parte si applicano a
tutti i trattamenti di dati, salvo quanto previsto, in
relazione ad alcuni trattamenti, dalle disposizioni
integrative o modificative della Parte II. |