Linee fondamentali del Codice Privacy
Linee fondamentali del
Codice Privacy
L’avvento della Società dell’Informazione ha indirizzato il legislatore verso la
ricerca di una maggiore tutela dell’individuo. Il concetto di privacy si è evoluto
nel tempo, assumendo un nuovo significato più vicino alle Nuove tecnologie
informatiche. Il titolare del trattamento dati è obbligato ad adattare la propria
struttura aziendale alle prescrizioni contenute nel Codice delle Privacy
I
l 1 gennaio 2004 è entrato in vigore il decreto legisla-
tivo 30 giugno 2003, n. 196, cosiddetto “Codice
Privacy” [1]. Si tratta di un testo normativo che sosti-
tuisce la Legge n. 675/96 [2]. Una fonte, quest’ultima,
alla quale va riconosciuto il grande merito di aver dif-
fuso la consapevolezza dell’esistenza di una sfera
intangibile degna di tutela per ciascun individuo. La suddetta
Legge ha, però, dimostrato una capacità applicativa assai scar-
sa. Fino al 31 dicembre 2003, la percentuale di soggetti che
potevano essere definiti “in regola” era davvero minima.
Con il “Codice Privacy” si è voluto interrompere l’atteggia-
mento inerte di tutti coloro che, con totale indifferenza, rifiu-
tavano consapevolmente l’adeguamento alla politica del
rispetto della riservatezza altrui.
Il legislatore si è posto l’obbiettivo di rompere col passato attra-
verso un intervento reticolare che avanza su diversi fronti.
Un primo passo è stato quello di pensare ad una razionaliz-
zazione e semplificazione della materia attraverso un
Testo Unico chiaro e semplice.
Allo stesso tempo, si è cercato di scongiurare il pericolo di
vivere la nuova disciplina in assenza di effettività. L’autorità
Garante, con apposito protocollo d’intesa, ha, infatti, deman-
dato la funzione di controllo alla Guardia di Finanza.
Le definizioni
Ai sensi dell’art. 5 del D.lgs.196/03, l’oggetto della tutela è il
trattamento dei dati. Ciò significa che l’attenzione del legisla-
tore è rivolta alle modalità di utilizzo dei dati da parte del tito-
lare. È doveroso, a questo punto, chiarire alcune espressioni
lessicali che, nel linguaggio comune, potrebbero essere inte-
se con una valenza diversa da quella utilizzata nel Codice
della Privacy. Il riferimento è all’articolo 4, appositamente
rubricato “definizioni”.
Il “trattamento” è “qualunque operazione o complesso di
operazioni, effettuati anche senza l’ausilio di strumenti elet-
tronici, concernenti la raccolta, la registrazione, l’organizza-
zione, la conservazione, la consultazione, l’elaborazione, la
modificazione, la selezione, l’estrazione, il raffronto, l’utiliz-
zo, l’interconnessione, il blocco, la comunicazione, la diffu-
sione, la cancellazione e la distruzione di dati, anche se non
registrati in una banca di dati”.
DEV > n. 131 luglio/agosto 2005
di Massimo Farina > mfarina@infomedia.it
Va sottolineato che per poter rientrare nel concetto di tratta-
mento è sufficiente il compimento di una sola operazione tra
quelle elencate. La definizione è talmente ampia da com-
prendere anche il trattamento senza ausilio di strumenti infor-
matici.
La genericità del concetto di dato ha spinto il legislatore verso
la specificazione dei singoli tipi rientranti nella categoria. La
previgente normativa contemplava i dati personali, i dati sen-
sibili ed i dati anonimi; il Codice della Privacy offre una tipo-
logia più ricca. Tra le novità compare la definizione di “dato
giudiziario”, ossia quelle informazioni in materia di casella-
rio giudiziale, di anagrafe delle sanzioni amministrative
dipendenti da reato e dei relativi carichi pendenti, o la quali-
tà di imputato o di indagato.
Colui che esegue il trattamento dei dati personali altrui è
denominato “titolare”. Il soggetto al quale si riferiscono le
informazioni è ,invece, l’”interessato”.
“La persona fisica, giuridica o l’ente, che decide sulla finalità,
la modalità del trattamento e sugli strumenti utilizzati per
esso” (cioè il titolare del trattamento), può nominare uno o
più soggetti “responsabili del trattamento dei dati” con
poteri determinati dallo stesso titolare attraverso l’atto di
nomina. Tutti coloro che effettivamente prenderanno cogni-
zione diretta dei dati (per esempio gli impiegati) sono deno-
minati “incaricati”. A questi ultimi dovranno essere imparti-
te precise istruzioni esecutive, da parte del titolare o del
responsabile, riguardanti le modalità di trattamento dei dati.
Questa, in maniera assai semplificata, è la suddivisone dei
compiti “privacy” all’interno della struttura aziendale. (Per
ragioni di semplicità espositiva non sono state considerate
ulteriori figure per le quali si rimanda alle definizioni riporta-
te nel Riquadro 1)
Gli adempimenti verso il “Garante
per la Protezione dei Dati Personali”
Una possibile classificazione sugli obblighi gravanti in capo al
titolare del trattamento potrebbe essere la seguente: adempi-
menti verso l’Autorità Garante, adempimenti verso gli interes-
sati, adempimenti interni (o organizzativi).
Il Codice delle Privacy prevede due tipi di adempimenti da
effettuarsi verso il Garante per la Protezione dei dati
19 <<
 Speciale
Privacy
RIQUADRO 1
Le principali definizioni del Codice Privacy
• TITOLARE: la persona fisica, la persona giuridica, la pub-
blica amministrazione e qualsiasi altro ente, associazio-
ne od organismo cui competono, anche unitamente ad
altro titolare, le decisioni in ordine alle finalità, alle
modalità del trattamento di dati personali e agli stru-
menti utilizzati, ivi compreso il profilo della sicurezza;
• INTERESSATO: la persona fisica, giuridica o l’ente cui si
riferiscono i dati personali;
• RESPONSABILE: la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente, asso-
ciazione od organismo preposti dal titolare al tratta-
mento di dati personali;
• NCARICATI: le persone fisiche autorizzate a compiere
operazioni di trattamento dal titolare o dal responsabile
• GARANTE: l'autorità di cui all'articolo 153, istituita dalla
legge 31 dicembre 1996, n. 675.
• TRATTAMENTO: qualunque operazione o complesso di
operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione, l'or-
ganizzazione, la conservazione, la consultazione, l'ela-
borazione, la modificazione, la selezione, l'estrazione, il
raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la
distruzione di dati, anche se non registrati in una banca
di dati;
• DATO PERSONALE: qualunque informazione relativa a
persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente,
mediante riferimento a qualsiasi altra informazione, ivi
compreso un numero di identificazione personale;
• DATI SENSIBILI: i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o
di altro genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere reli-
gioso, filosofico, politico o sindacale, nonchè i dati per-
sonali idonei a rivelare lo stato di salute e la vita ses-
suale;
• DATI GIUDIZIARI: i dati personali idonei a rivelare prov-
vedimenti di cui all'articolo 3, comma 1, lettere da a) a
o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in
materia di casellario giudiziale, di anagrafe delle sanzio-
ni amministrative dipendenti da reato e dei relativi cari-
chi pendenti, o la qualità di imputato o di indagato ai
sensi degli articoli 60 e 61 del codice di procedura
penale;
• MISURE MINIME: il complesso delle misure tecniche,
informatiche, organizzative, logistiche e procedurali di
sicurezza che configurano il livello minimo di protezione
richiesto in relazione ai rischi previsti nell'articolo 31;
• CREDENZIALI DI AUTENTICAZIONE: i dati ed i dispositivi,
in possesso di una persona, da questa conosciuti o ad
essa univocamente correlati, utilizzati per l'autenticazio-
ne informatica.
Personali: la “notificazione” e la richiesta di “autorizzazione”
per i trattamenti effettuati.
L’Autorità Garante è un’amministrazione pubblica indipen-
dente, istituita e disciplinata con una apposita legge, dotata di
un elevato grado di autonomia, nei propri giudizi e valuta-
zioni, rispetto al Governo. Il Garante per la protezione dei
>> 20
dati personali è stato istituito dalla legge 31 dicembre 1996 n.
675; è un organo collegiale costituito da quattro componenti
di nomina parlamentare: due eletti dalle Camera dei deputati
e due dal Senato della Repubblica.
La “notificazione” è una dichiarazione attraverso la quale il
Titolare comunica al Garante l’esistenza di un’attività di trat-
tamento di dati personali. Sotto la vigenza della Legge 675/96
si prevedeva un obbligo di notificazione quasi generalizzato;
nella gran parte dei casi i titolari dovevano comunicare l’atti-
vità di trattamento all’autorità Garante. Il codice Privacy ha
notevolmente ridimensionato l’obbligo di notificazione: essa
dovrà essere effettuata nei soli casi tassativamente previsti
all’articolo 37. A titolo d’esempio, tra esse, rientra il tratta-
mento di “dati genetici e dati biomedici” oppure il tratta-
mento di “dati che indicano la posizione geografica di perso-
ne od oggetti mediante una rete di comunicazione elettroni-
ca”. Al di fuori delle specifiche ipotesi elencate dall’art. 37 (si
veda Riquadro 2) non è necessaria la notificazione, ancorché
si tratti di dati sensibili. Resta fermo il potere del Garante di
individuare, con proprio provvedimento, alcuni trattamenti
esonerabili dall’obbligo di notificazione ovvero indicare quel-
li che, seppur non contenuti nell’articolo 37, dovranno essere
notificati.
La notificazione va fatta, una sola volta per tutti i trattamenti,
all’inizio dell’attività “a prescindere dal numero delle opera-
zioni e della durata del trattamento da effettuare”; una nuova
notificazione da parte dello stesso titolare è imposta qualora
cessi definitivamente l’attività di trattamento ovvero nell’ipo-
tesi di mutamento di taluno degli elementi da indicare nella
notificazione medesima. Per tutti coloro che già svolgevano
attività di trattamento, rientrante nelle ipotesi tassative dell’ar-
RIQUADRO 2
I trattamenti da notificare al Garante
a) dati genetici, biometrici o dati che indicano la posizione
geografica di persone od oggetti mediante una rete di
comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessua-
le, trattati a fini di procreazione assistita, prestazione di
servizi sanitari per via telematica relativi a banche di dati
o alla fornitura di beni, indagini epidemiologiche, rileva-
zione di malattie mentali, infettive e diffusive, sieroposi-
tività, trapianto di organi e tessuti e monitoraggio della
spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica
trattati da associazioni, enti od organismi senza scopo
di lucro, anche non riconosciuti, a carattere politico, filo-
sofico, religioso o sindacale;
d) dati trattati con l'ausilio di strumenti elettronici volti a
definire il profilo o la personalità dell'interessato, o ad
analizzare abitudini o scelte di consumo, ovvero a moni-
torare l'utilizzo di servizi di comunicazione elettronica
con esclusione dei trattamenti tecnicamente indispen-
sabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezio-
ne del personale per conto terzi, nonchè dati sensibili
utilizzati per sondaggi di opinione, ricerche di mercato e
altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con stru-
menti elettronici e relative al rischio sulla solvibilità eco-
nomica, alla situazione patrimoniale, al corretto adem-
pimento di obbligazioni, a comportamenti illeciti o frau-
dolenti.
DEV > n. 131 luglio/agosto 2005

ticolo 37, prima del gennaio 2004, il termine ultimo per adem-
piere all’obbligo di notificazione era stato fissato al 30 aprile
2004; per i trattamenti cominciati dopo tale data, resta fermo
l’obbligo di notificazione prima dell’inizio del trattamento
medesimo. Al secondo comma dell’articolo 38, del D.lgs.
196/03, è prevista la modalità di notificazione con sottoscri-
zione digitale ed esclusivamente per via telematica, attraverso
la compilazione del modello disponibile sul sito
https://web.garanteprivacy.it/rgt/; la procedura va ese-
guita anche in caso di già avvenuta notificazione secondo la
precedente Legge 675/96. Infine, gli articoli 163 e 168 con-
tengono le sanzioni per “omessa o incompleta notificazione”
e per “falsità nelle dichiarazioni e notificazioni”. Nella prima
ipotesi è prevista la sanzione pecuniaria amministrativa da
10.000 a 60.000 euro; il reato di falsità è punito con la reclu-
sione da 6 mesi a 3 anni.
Per quanto riguarda la “Richiesta di Autorizzazione al
Garante”, si tratta di un adempimento previsto per tutti i tito-
lari che trattano dati sensibili e giudiziari. Tenuto conto del-
l’altissimo numero di soggetti interessati, il legislatore ha pre-
visto le cosiddette Autorizzazioni Generali concesse a deter-
minate categorie di titolari o di trattamenti. Vi rientrano, tra gli
altri, i trattamenti svolti nell’ambito dei rapporti di lavoro,
quelli effettuati da parte di organismi di tipo associativo e
delle fondazioni o da liberi professionisti.
Ebbene, tutti i destinatari di autorizzazioni Generali, qualora
raccolgano dati sensibili o giudiziari, dovranno semplicemen-
te far riferimento alle Autorizzazioni Generali pronunciate per
il loro specifico settore di appartenenza. Al trattamento di dati
sensibili in assenza di autorizzazione, laddove necessaria,
consegue l’applicazione delle sanzioni previste all’articolo
167, punto 2, del Codice Privacy: reclusione da 1 a 3 anni se
dal fatto deriva nocumento. Anche in questo caso, tenuto
conto della particolare natura dei dati coinvolti, il legislatore
ha scelto di ricorrere ai rimedi tipici del diritto penale.
Gli adempimenti verso gli interessati
L’impianto normativo dettato in tema di Privacy è dedicato
alla tutela dei diritti e delle libertà fondamentali delle perso-
ne fisiche, giuridiche o degli enti cui si riferiscono i dati per-
sonali trattati. I principali destinatari della tutela sono,quindi,
gli interessati, verso i quali il legislatore ha stabilito dei preci-
si adempimenti che i titolari del trattamento devono rispetta-
re. Si tratta di due obblighi ben precisi: “fornire l’informa-
tiva” e “richiedere il consenso per il trattamento di dati”.
L’obbligo di informativa è previsto all’articolo 13 del D.lgs.
196/03. Si tratta di una comunicazione finalizzata ad informa-
re l’interessato sui soggetti che effettueranno il trattamento,
attraverso quali modalità e per quali finalità. La norma di rife-
rimento indica con estrema precisione gli elementi che devo-
no essere contenuti nella comunicazione: la finalità e modali-
tà del trattamento, la natura obbligatoria o facoltativa del con-
ferimento dei dati, le conseguenze di un eventuale rifiuto di
rispondere, i soggetti o le categorie di soggetti a cui possono
essere comunicati i dati o che possono venirne a conoscen-
za, gli estremi identificativi del titolare ed i diritti dell’interes-
sato.
Non esistono formulari preconfezionati, ciascun titolare ela-
bora l’informativa secondo le proprie esigenze e la propria
struttura organizzativa interna; l’unico punto fermo è costitui-
to dal rispetto delle indicazioni contenute nell’articolo 13 del
Codice Privacy.
Quanto ai diritti dell’interessato, previsti all’articolo 7 del
Codice Privacy, nell’informativa va puntualmente evidenziato
che l’interessato ha diritto ad essere informato su tutto ciò che
DEV > n. 131 luglio/agosto 2005
Linee fondamentali del Codice Privacy
FIGURA 1
Il sito dell’Autorità Garante per la Privacy
concerne il trattamento dei propri dati. Tali diritti vengono
esercitati con richiesta, rivolta anche senza formalità al titola-
re, alla quale è fornito idoneo riscontro senza ritardo.
La violazione dell’obbligo di informativa verso l’interessato,
denominata nel codice “omessa o inidonea informativa”, è
sanzionata in maniera differente a seconda del tipo di dati
trattati: per i dati comuni da 3.000 a 18.000 euro; per i dati
sensibili o giudiziari da 5.000 a 30.000 euro.
Altro adempimento, da espletare nei confronti dell’interessa-
to, è costituito dalla preventiva richiesta di autorizzazione al
trattamento dei dati: il cosiddetto “consenso”. L’articolo 23 del
Codice Privacy impone al titolare di richiedere il consenso
scritto nell’ipotesi di trattamento di dati sensibili e, si aggiun-
ga, anche giudiziari. Per la restante categoria di dati, quelli
definiti genericamente “comuni”, si richiede il consenso
espresso. Ciò significa che potrebbe essere fornito anche oral-
mente. Va rilevato, tal proposito, il disposto del comma 3 lad-
dove, “il consenso è validamente prestato solo se è […] docu-
mentato per iscritto”; è, perciò, preferibile, in ogni caso, un
consenso scritto.
Agli articoli 24 e 26 sono previste alcune deroghe all’obbligo
di consenso così come sopra illustrato. Tra le ipotesi escluse
è compreso: “il trattamento necessario per adempiere ad
obblighi normativi; il trattamento necessario per eseguire
obblighi derivanti da un contratto del quale è parte l’interes-
sato […] o per adempiere, prima della conclusione del con-
tratto, a specifiche richieste dell’interessato ed il trattamento
riguardante dati contenuti in pubblici registri, elenchi, atti o
documenti conoscibili da chiunque”. Più precisamente, l’arti-
colo 26 prevede alcune ipotesi di esclusione dal consenso nel
trattamento di dati sensibili, previa autorizzazione, anche
generale, del Garante. Si tratta, tra gli altri, del “trattamento
effettuato da associazioni, enti od organismi senza scopo di
lucro a carattere politico, filosofico, religioso o sindacale […];
del trattamento necessario per la salvaguardia della vita o del-
l’incolumità fisica di un terzo; del trattamento necessario per
le investigazioni difensive o per far valere in sede giudiziaria
un diritto” ed infine del “trattamento necessario per l’adem-
21 <<
 Speciale
Privacy
pimento di compiti od obblighi previsti dalla legge, da un
regolamento o da normativa comunitaria per la gestione del
rapporto di lavoro”.
Il titolare che procede al trattamento senza consenso per i dati
comuni è punito con la reclusione da 6 a 18 mesi ovvero, in
caso di comunicazione, da 6 a 24 mesi.
Per il trattamento illecito di dati sensibili in assenza di con-
senso, laddove richiesto, è prevista la reclusione da 1 a 3
anni, se dal fatto deriva nocumento.
Gli adempimenti interni (o organizzativi)
L’Allegato B al D.lgs. 196/03 è il “disciplinare tecnico in
materia di misure minime di sicurezza”. Si tratta di quel
complesso di misure tecniche, informatiche, organizzative,
logistiche e procedurali di sicurezza che configurano il livel-
lo minimo di protezione normativamente richiesto rispetto ai
rischi i rischi di distruzione o perdita dei dati, di accesso non
autorizzato o di trattamento non consentito o non conforme
alla finalità della raccolta (per alcuni aspetti tecnici, si veda
l’articolo di questo Speciale “Misure minime di sicurezza:
aspetti pratici”).
Nell’Allegato B è presente un elenco preciso delle misure da
adottare.
Il primo passo consiste nella predisposizione di un sistema
di autenticazione informatica. Ciò significa che il tratta-
mento dei dati personali deve essere consentito solo agli inca-
ricati muniti di “credenziali di autenticazione”. Queste ultime
sono costituite da un codice, per l’identificazione dell’incari-
cato, associato ad una parola chiave segreta e conosciuta
esclusivamente dall’incaricato stesso, obbligato ad adottare
tutte le cautele necessarie per assicurarne la segretezza; è,
altresì, tenuto a custodire i dispositivi in suo possesso ed
esclusivo uso. La password dev’essere composta da un mini-
mo di otto caratteri; qualora lo strumento elettronico non lo
consenta è necessario adottare una parola chiave composta
dal numero massimo di caratteri consentiti.
La parola chiave va, obbligatoriamente, modificata con caden-
za semestrale; nel caso di trattamento di dati sensibili o giu-
diziari la modifica ha una cadenza trimestrale. Le credenziali
di autenticazione non utilizzate da almeno sei mesi debbono
essere disattivate; fanno eccezione a tale regola le ipotesi di
utilizzo esclusivamente finalizzato alla gestione tecnica per le
quali non è prevista tale scadenza di modifica.
È prevista, inoltre, l’adozione di un sistema di autorizzazione,
qualora per gli incaricati siano individuati differenti profili di
accesso ai dati. In tal caso si rende necessario limitare l’ac-
cesso ai soli dati effettivamente necessari alla realizzazione
delle operazioni di trattamenti cui sono preposti gli incarica-
ti; tale obbiettivo può essere raggiunto con la configurazione,
anteriore all’inizio del trattamento, di profili di autorizzazione
per ciascun incaricato o per classi omogenee di incaricati.
Con cadenza annuale si dovrà verificare la sussistenza delle
condizioni per la conservazione dei profili di autorizzazione.
La misura di sicurezza più conosciuta dell’allegato b) è il
Documento Programmatico per la Sicurezza (cosiddetto
D.P.S.). La sua presenza, nel Codice della Privacy, è stata
accolta, dai più, come una novità; in realtà, l’obbligo di redi-
gere tale documento compariva già nel D.P.R. 318/99 [3],
seppur con prescrizioni parzialmente differenti. Entro il 31
marzo di ogni anno, il titolare del trattamento di dati sensibi-
li o giudiziari, effettuato con strumenti elettronici, deve redi-
gere tale documento. Le informazioni essenziali che devono
comparire nel D.P.S. riguardano: l’elenco dei trattamenti; i
compiti e le responsabilità dei soggetti incaricati al trattamen-
to; l’analisi dei rischi con l’indicazione delle misure che sono
>> 22
adottate al fine di garantire l’integrità e la disponibilità dei
dati, nonché la protezione delle aree e dei locali in relazione
alla loro custodia ed accessibilità; l’individuazione delle
modalità che possono essere poste a favore del ripristino
della disponibilità dei dati qualora si verifichino episodi di
distruzione o danneggiamento; gli interventi formativi in tema
di analisi dei rischi che incombono sui dati; i criteri per l’a-
dozione delle misure minime di sicurezza in caso di tratta-
menti di dati personali affidati all’esterno della struttura (out-
sourcing) ed, infine, i criteri adottati per la separazione dei
dati sensibili da quelli comuni.
Gli obblighi sono molto più semplici nel caso di trattamen-
to dati senza l’ausilio di strumenti elettronici. In tale caso
le misure minime di sicurezza consistono in: aggiornamento
periodico (con cadenza almeno annuale) dell’ambito consen-
tito all’incaricato per il trattamento; controllo e custodia di atti
e documenti contenenti i dati personali fino al termine del
trattamento e conseguente restituzione; accesso controllato
agli archivi per i dati sensibili o giudiziari; individuazione e
registrazione delle persone ammesse negli archivi, nel caso di
accessi fuori dall’orario di lavoro ovvero, in caso di mancan-
za di vigilanza agli archivi, preventiva autorizzazione all’ac-
cesso.
Il mancato rispetto di quanto previsto dal disciplinare tecnico
in materia di misure minime di sicurezza comporta l’applica-
zione delle seguenti sanzioni: arresto sino a 2 anni o ammen-
da da 10.000 a 50.000 euro.
Da non confondere con le misure minime di sicurezza sono
le cosiddette misure idonee, le quali possono essere definite,
in generale, come adozione di tutti gli accorgimenti necessa-
ri e tecnicamente attuali per ridurre al minimo il rischio di
distruzione, perdita, accesso non autorizzato o trattamento
illecito dei dati personali. In questo caso, la previsione è di
contenuto più generale di quanto illustrato per le misure
minime di sicurezza. Può certamente affermarsi che condurre
una analisi dettagliata dei rischi e dei relativi provvedimenti
comprende quanto previsto per la redazione del Documento
Programmatico per la Sicurezza.. È consigliabile, pertanto,
redigere tale documento anche se non si trattano dati sensi-
bili con strumenti informatici.
L’inosservanza dell’obbligo di adozione delle misure idonee è
fonte di responsabilità civile.
Bibliografia
[1] Decreto legislativo 30 giugno 2003, n. 196, Codice in
materia di protezione dei dati personali, in G.U. n. 174
del 29 luglio 2003, Supplemento Ordinario n. 123;
[2] Legge 31 dicembre 1996, n. 675, Tutela delle persone e di
altri soggetti rispetto al trattamento dei dati personali, in
G.U. n. 5 dell’8 gennaio 1997, Supplemento Ordinario n. 3
[3] Decreto del Presidente della Repubblica 28 luglio 1999, n.
318, Regolamento recante norme per l’individuazione
delle misure di sicurezza minime per il trattamento dei
dati personali a norma dell’articolo 15, comma 2, della
legge 31 dicembre 1996, n. 675, in G. U. 14 settembre
1999, serie generale, n. 216.
Massimo Farina
È Patrocinatore Legale del Foro di Cagliari. É specializzato in
Informatica Giuridica e lavora come consulente freelance
nell’ambito della formazione e dei servizi alle Pubbliche
Amministrazioni ed alle imprese.
DEV > n. 131 luglio/agosto 2005