1. Che cosa si intende per "trattamento di dati personali"?

Per trattamento di dati si intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. E' sufficiente anche una sola delle operazioni elencate per ritenere in corso un trattamento di dati personale.

2. Che cosa si intende per "dato personale"?

Per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; si considera tale il dato oggettivo, ma anche il dato valutativo.

3. Che cosa si intende per "dati identificativi"?

Per dati identificativi si intendono i dati personali che permettono l'identificazione diretta dell'interessato.

4. Che cosa si intende per "dato sensibile"?

Sono "dati sensibili" i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; il Garante ammonisce a non allargare in maniera esasperata la nozione. Ad esempio l'abstract numerico relativo alle spese mediche sostenute non è un dato sensibile.

5. Che cosa si intende per "dati giudiziari"?

Sono dati giudiziari i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

6. Chi è il titolare del trattamento?

Il "titolare" è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. 

7. Chi è il responsabile del trattamento?

Il "responsabile" è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; in sostanza è un soggetto cui sono affidate le incombenze di privacy (curare le informative, l'adeguamento alle misure di sicurezza, fornire direttive agli incaricati del trattamento, ecc.). 

8. Il responsabile del trattamento può nominare altri responsabili del trattamento?

No, solo il titolare può nominare i responsabili del trattamento. Naturalmente il responsabile del trattamento può avvalersi di collaboratori per lo svolgimento dei propri compiti. 

9. Il responsabile del trattamento deve essere solo una persona fisica?

No , il responsabile del trattamento può essere un ente collettivo.  .  

10. La nomina del responsabile è obbligatoria?

No, la nomina del responsabile è facoltativa, ma l'opportunità di nominare uno o più responsabili del trattamento cresce con l'aumento della articolazione organizzativa della propria struttura.

11. Il responsabile del trattamento è una figura unica?

No, si possono nominare più responsabili del trattamento, anche esterni al proprio ente, se ciò è reso necessario dall'esigenza della divisione dei compiti.

12. Chi sono gli incaricati?

Sono "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. In una impresa sono incaricati del trattamento pressoché tutti i dipendenti della stessa.

13. Gli incaricati vanno nominati?

Si. L'articolo 30 prevede un doppio binario per la designazione degli incaricati. La designazione può essere effettuata individuando puntualmente l'ambito del trattamento consentito. Si considera, però valida la designazione di incaricato mediante la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti all'unità medesima.

14. Chi è l'interessato?

È "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; il soggetto interessato gode dei diritti previsti dall'articolo 7 del codice della privacy. 

15. Che cosa è una banca dati?

È "banca di dati" qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

16. Che cosa si intende per misure di sicurezza?

Sono misure di sicurezza tutte le prescrizioni idonee a evitare il danno di accessi abusivi o di perdite accidentali dei dati personali. Si distinguono le misure minime di sicurezza e le misure ulteriori di sicurezza: l'osservanza delle prime esclude responsabilità penali; l'osservanza delle seconde elimina responsabilità per risarcimento del danno 

17. Quali sono gli adempimenti principali per una azienda?

I principali adempimenti sono: informativa agli interessati (dipendenti, clienti, fornitori, ecc.); acquisizione del consenso degli interessati (se no ricorre una causa di esonero prevista dall'articolo 24 del codice peri dati diversi da quelli sensibili e dall'articolo 26 del codice per i dati sensibili); rispetto della autorizzazione generale del garante per il trattamento dei dati sensibili; applicazione delle misure di sicurezza; designazione di responsabili e incaricati del trattamento; organizzare la propria struttura per agevolare l'esercizio dei diritti dell'interessato; effettuare la notificazione al garante nei casi in cui questa sia prescritta dall'articolo 37 del codice.

18. Quali sono i diritti degli interessati?

Gli interessati hanno il diritto di ricevere l'informativa, di prestare il consenso preventivo informativo, se non ricorre una causa di esonero. Gli interessati, inoltre, hanno i diritti di cui all'articolo 7 del codice della privacy: accesso ai dati personali, rettificazione dati inesatti, aggiornamento dati vecchi, integrazione dati incompleti, opposizione al trattamento, blocco e cancellazione dei dati trattati in maniera illegittima. Per esercitare i propri diritti l'interessato può ricorrere al Garante o al giudice ordinario.

19. Tutti i soggetti che trattano dati personali sono tenuti ad elaborare il documento programmatico per la sicurezza (DPS)?

In base al D.Lgs. n. 196/2003, la redazione del DPS è obbligatoria per il titolare di un trattamento di dati sensibili o giudiziari effettuato con strumenti elettronici. La categoria dei dati giudiziari è intesa in senso lato, e comprende anche altri dati personali, riferiti ad esempio a provvedimenti giudiziari non definitivi o alla semplice qualità di imputato o indagato.

20. Quale differenza c'è fra il "titolare" del trattamento dei dati ed il "responsabile" del trattamento stesso?

Il Codice per la privacy individua il "titolare" del trattamento nella persona fisica o giuridica alla quale competono, anche insieme ad altro titolare, le decisioni in ordine alle finalità del trattamento, alle modalità ed all'adozione delle misure di sicurezza. Il titolare può designare un "responsabile" preposto al trattamento dei dati.

21. L'Informativa all'interessato deve sempre essere resa per scritto?

Le informazioni all'interessato presso il quale sono raccolti i dati possono essere date per scritto od oralmente, la forma scritta è richiesta se il trattamento riguarda dati sensibili, nel qual caso deve anche essere citata la disposizione che ne impone il trattamento. 

28. Tutti i titolari di un trattamento debbono predisporre il documento programmatico per la sicurezza?

No, l'obbligo rientra fra le misure di sicurezza ed interessa coloro che trattano dati sensibili.  .