Codice deontologico trattamenti per scopi statistici - Anti-Phishing Italia: Il portale contro le truffe on-line

Home | News | Newsletter | Comitato Scientifico

Allarme phishing

Aggiornamenti

	Aspetti legali
Newsletter del Garante
Sentenze
Normativa
Contributi legali

	Archivio
Che cos'è il Phishing
Casi Italiani
Casi Internazionali
Come difendersi
False Società

	Tecniche
Phishing
Spamming
Spyware

	Approfondimenti
Phishing
Spamming
Posta certificata
Dialer
Cybersquatting
Spyware
Cookies
Spoofing
Pharming

	Partner

Normativa - Anti-Phishing Italia

Stampa

DECRETO LEGISLATIVO 30 giugno 2003, n.196 (in Suppl. ordinario n. 123 alla Gazz. Uff., 29 luglio, n. 174). - Codice in materia di protezione dei dati personali.

Preambolo

A.3 CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI A SCOPI STATISTICI E DI RICERCA SCIENTIFICA EFFETTUATI NELL'AMBITO DEL SISTEMA STATISTICO NAZIONALE.
(Provvedimento del Garante n. 13 del 31 luglio 2002, in G.U. 16 agosto 1999, n. 191)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella seduta odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti, e del dott. Giovanni Buttarelli, segretario generale;
Visto l'art. 27 della direttiva n. 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, secondo cui gli Stati membri e la Commissione incoraggiano l'elaborazione di codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della direttiva adottate dagli Stati membri;
Visto l'art. 31, comma 1, lettera h) della legge 31 dicembre 1996, n. 675, il quale attribuisce al Garante il compito di promuovere nell'ambito delle categorie interessate, nell'osservanza del principio di rappresentatività, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto;
Visto il decreto legislativo 30 luglio 1999, n. 281, in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica, e in particolare il relativo art. 6, comma 1, il quale demanda al Garante il compito di promuovere la sottoscrizione di uno o più codici di deontologia e di buona condotta per i soggetti pubblici e privati, ivi comprese le società scientifiche e le associazioni professionali, interessati al trattamento dei dati per scopi di statistica e di ricerca scientifica;
Visto l'articolo 10, comma 6, del medesimo decreto legislativo n. 281/1999, relativo ad alcuni profili che devono essere individuati dal codice per i trattamenti di dati per scopi statistici e di ricerca scientifica;
Visto altresì l'articolo 12, comma 2, del decreto legislativo 6 settembre 1989, n. 322, come modificato dall'articolo 12, comma 6, del decreto legislativo n. 281/1999, nel quale si prevede che la Commissione per la garanzia dell'informazione statistica debba essere sentita ai fini della sottoscrizione dei codici di deontologia e di buona condotta relativi al trattamento dei dati personali nell'ambito del Sistema statistico nazionale;
Visto il provvedimento 10 febbraio 2000 del Garante per la protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale n. 46 del 25 febbraio 2000, con il quale il Garante ha promosso la sottoscrizione di uno o più codici di deontologia e di buona condotta relativi del trattamento di dati personali per scopi statistici e di ricerca scientifica ed ha invitato tutti i soggetti aventi titolo a partecipare all'adozione dei medesimi codici in base al principio di rappresentatività a darne comunicazione al Garante entro il 31 marzo 2000;
Viste le comunicazioni pervenute al Garante in risposta al provvedimento del 10 febbraio 2000 , con le quali diversi soggetti pubblici e privati, società scientifiche ed associazioni professionali hanno manifestato la volontà di partecipare alla redazione dei codici e fra i quali è stato conseguentemente costituito un apposito gruppo di lavoro, composto, fra gli altri, da rappresentanti dei seguenti soggetti pubblici: Istituto nazionale di statistica - ISTAT, Istituto di studi e analisi economica - ISAE, Istituto per lo sviluppo della formazione professionale dei lavoratori - ISFOL, Presidenza del Consiglio dei Ministri - Dipartimento della funzione pubblica; Considerato che il testo del codice è stato oggetto di ampia consultazione nell'ambito dei soggetti interessati, che hanno avuto modo di far pervenire osservazioni e proposte;
Visto il decreto del Presidente del Consiglio dei ministri 9 marzo 2000, n. 152 contenente le norme per la definizione dei criteri e delle procedure per l'individuazione dei soggetti privati partecipanti al Sistema statistico nazionale (SISTAN) ai sensi dell'articolo 2, comma 1, della legge 28 aprile 1998, n. 125;
Visto il decreto del Presidente del Consiglio dei ministri 9 maggio 2001 in materia di circolazione dei dati all'interno del Sistema statistico nazionale;
Visto il decreto del Presidente del Consiglio dei Ministri 28 maggio 2002 sull'inserimento di altri uffici di statistica nell'ambito del Sistan;
Vista la nota del 2 aprile 2001 con cui il Presidente dell'ISTAT, su mandato del Comitato di indirizzo e coordinamento dell'informazione statistica, ha trasmesso il testo del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale, sottoscritto dallo stesso a nome dei soggetti interessati;
Vista la deliberazione di questa Autorità n. 23 del 4 luglio 2001 sull'esame preliminare del codice;
Ritenuto opportuno procedere all'esame definitivo del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici effettuati nell'ambito del SISTAN, anche separatamente rispetto al codice che, a norma degli articoli art. 6, comma 1, e 10, comma 6 , del d.lg. n. 281/1999, deve disciplinare l'utilizzo dei dati personali a fini statistici al di fuori del SISTAN;
Sentita la Commissione per la garanzia nell'informazione statistica ai sensi dell'articolo 12, comma 2, del decreto legislativo 6 settembre 1989, n. 322 e sulla base degli approfondimenti curati d'intesa con l'Istat;
Rilevato che il rispetto delle disposizioni contenute nel codice costituisce condizione essenziale per la liceità del trattamento dei dati personali;
Constatata la conformità del codice alle leggi e ai regolamenti in materia di protezione delle persone rispetto al trattamento dei dati personali, ed in particolare all' art. 31, comma 1, lettera h) della legge n. 675/1996, nonché agli artt. 6 e 10, 11 e 12 del decreto legislativo n. 281/1999;
Considerato che, ai sensi dell'art. 6, comma 1, del decreto legislativo n. 281/1999 , il codice deve essere pubblicato nella Gazzetta Ufficiale della Repubblica Italiana a cura del Garante; Vista la documentazione in atti;
Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 , adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato nella Gazzetta Ufficiale della Repubblica Italiana n. 162 del 13 luglio 2000;
Dispone:
la trasmissione del codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale, che figura in allegato, all'Ufficio pubblicazione leggi e decreti del Ministero della giustizia per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica Italiana.
IL PRESIDENTE
IL RELATORE IL SEGRETARIO GENERALE
CODICE DI DEONTOLOGIA E DI BUONA CONDOTTA PER I TRATTAMENTI DI DATI PERSONALI A SCOPI STATISTICI E DI RICERCA SCIENTIFICA EFFETTUATI NELL'AMBITO DEL SISTEMA STATISTICO NAZIONALE (*).
(*) In conformità all'articolo 184, comma 2, i riferimenti a disposizioni della legge n. 675/1996 o ad altre disposizioni abrogate devono intendersi riferiti alle corrispondenti nuove disposizioni in vigore, secondo la tavola di corrispondenza.
Preambolo
Il presente codice è volto a garantire che l'utilizzazione di dati di carattere personale per scopi di statistica, considerati dalla legge di rilevante interesse pubblico e fonte dell'informazione statistica ufficiale intesa quale patrimonio della collettività, si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone interessate, in particolare del diritto alla riservatezza e del diritto all'identità personale.
Il codice è sottoscritto in attuazione degli articoli 6 e 10, comma 6, del decreto legislativo 30 luglio 1999, n. 281 e si applica ai trattamenti per scopi statistici effettuati nell'ambito del sistema statistico nazionale, per il perseguimento delle finalità di cui al decreto legislativo 6 settembre 1989, n. 322.
La sua sottoscrizione è effettuata ispirandosi alle pertinenti fonti e documenti internazionali in materia di attività statistica e, in particolare:
a) alla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali del 4 novembre 1950, ratificata dall'Italia con legge 4 agosto 1955, n. 848;
b) alla Carta dei diritti fondamentali dell'Unione Europea del 18 dicembre 2000, con specifico riferimento agli artt. 7 e 8;
c) alla Convenzione n. 108 adottata a Strasburgo il 28 gennaio 1981, ratificata in Italia con legge 21 febbraio 1989, n. 98;
d) alla direttiva n. 95/46/CE del Parlamento europeo e del Consiglio dell'Unione Europea del 24 ottobre 1995;
e) alla Raccomandazione del Consiglio d'Europa n. R(97)18, adottata il 30 settembre 1997; f) all'articolo 10 del Regolamento (CE) n. 322/97 del Consiglio dell'Unione Europea del 17 febbraio 1997.
Gli enti, gli uffici e i soggetti che applicano il seguente codice sono chiamati ad osservare anche il principio di imparzialità e di non discriminazione nei confronti di altri utilizzatori, in particolare, nell'ambito della comunicazione per scopi statistici di dati depositati in archivi pubblici e trattati da enti pubblici o sulla base di finanziamenti pubblici.

Articolo 1

(Ambito di applicazione)

Art. 1
1. Il codice si applica ai trattamenti di dati personali per scopi statistici effettuati da:
a) enti ed uffici di statistica che fanno parte o partecipano al sistema statistico nazionale, per l'attuazione del programma statistico nazionale o per la produzione di informazione statistica, in conformità ai rispettivi ambiti istituzionali;
b) strutture diverse dagli uffici di cui alla lettera a), ma appartenenti alla medesima amministrazione o ente, qualora i relativi trattamenti siano previsti dal programma statistico nazionale e gli uffici di statistica attestino le metodologie adottate, osservando le disposizioni contenute nei decreti legislativi 6 settembre 1989, n. 322 e 30 luglio 1999, n. 281, e loro successive modificazioni e integrazioni, nonché nel presente codice.

Articolo 2

(Definizioni)

Art. 2
1. Ai fini del presente codice si applicano le definizioni elencate nell'art. 1 della legge 31 dicembre 1996, n. 675 (di seguito denominata "Legge"), nel decreto legislativo 30 luglio 1999, n. 281, e loro successive modificazioni e integrazioni. Ai fini medesimi, si intende inoltre per:
a) "trattamento per scopi statistici", qualsiasi trattamento effettuato per finalità di indagine statistica o di produzione, conservazione e diffusione di risultati statistici in attuazione del programma statistico nazionale o per effettuare informazione statistica in conformità agli ambiti istituzionali dei soggetti di cui all'articolo 1;
b) "risultato statistico", l'informazione ottenuta con il trattamento di dati personali per quantificare aspetti di un fenomeno collettivo;
c) "variabile pubblica", il carattere o la combinazione di caratteri, di tipo qualitativo o quantitativo, oggetto di una rilevazione statistica che faccia riferimento ad informazioni presenti in pubblici registri, elenchi, atti, documenti o fonti conoscibili da chiunque;
d) "unità statistica", l'entità alla quale sono riferiti o riferibili i dati trattati.

Articolo 3

(Identificabilità dell'interessato)

Art. 3
1. Agli effetti dell'applicazione del presente codice:
a) un interessato si ritiene identificabile quando, con l'impiego di mezzi ragionevoli, è possibile stabilire un'associazione significativamente probabile tra la combinazione delle modalità delle variabili relative ad una unità statistica e i dati identificativi della medesima;
b) i mezzi ragionevolmente utilizzabili per identificare un interessato afferiscono, in particolare, alle seguenti categorie:
risorse economiche;
risorse di tempo;
archivi nominativi o altre fonti di informazione contenenti dati identificativi congiuntamente ad un sottoinsieme delle variabili oggetto di comunicazione o diffusione;
archivi, anche non nominativi, che forniscano ulteriori informazioni oltre a quelle oggetto di comunicazione o diffusione;
risorse hardware e software per effettuare le elaborazioni necessarie per collegare informazioni non nominative ad un soggetto identificato, tenendo anche conto delle effettive possibilità di pervenire in modo illecito alla sua identificazione in rapporto ai sistemi di sicurezza ed al software di controllo adottati;
conoscenza delle procedure di estrazione campionaria, imputazione, correzione e protezione statistica adottate per la produzione dei dati;
c) in caso di comunicazione e di diffusione, l'interessato può ritenersi non identificabile se il rischio di identificazione, in termini di probabilità di identificare l'interessato stesso tenendo conto dei dati comunicati o diffusi, è tale da far ritenere sproporzionati i mezzi eventualmente necessari per procedere all'identificazione rispetto alla lesione o al pericolo di lesione dei diritti degli interessati che può derivarne, avuto altresì riguardo al vantaggio che se ne può trarre.

Articolo 4

(Criteri per la valutazione del rischio di identificazione)

Art. 4
1. Ai fini della comunicazione e diffusione di risultati statistici, la valutazione del rischio di identificazione tiene conto dei seguenti criteri:
a) si considerano dati aggregati le combinazioni di modalità alle quali è associata una frequenza non inferiore a una soglia prestabilita, ovvero un'intensità data dalla sintesi dei valori assunti da un numero di unità statistiche pari alla suddetta soglia. Il valore minimo attribuibile alla soglia è pari a tre;
b) nel valutare il valore della soglia si deve tenere conto del livello di riservatezza delle informazioni;
c) i risultati statistici relativi a sole variabili pubbliche non sono soggetti alla regola della soglia;
d) la regola della soglia può non essere osservata qualora il risultato statistico non consenta ragionevolmente l'identificazione di unità statistiche, avuto riguardo al tipo di rilevazione e alla natura delle variabili associate;
e) i risultati statistici relativi a una stessa popolazione possono essere diffusi in modo che non siano possibili collegamenti tra loro o con altre fonti note di informazione, che rendano possibili eventuali identificazioni;
f) si presume che sia adeguatamente tutelata la riservatezza nel caso in cui tutte le unità statistiche di una popolazione presentino la medesima modalità di una variabile.
2. Nel programma statistico nazionale sono individuate le variabili che possono essere diffuse in forma disaggregata, ove ciò risulti necessario per soddisfare particolari esigenze conoscitive anche di carattere internazionale o comunitario.
3. Nella comunicazione di collezioni campionarie di dati, il rischio di identificazione deve essere per quanto possibile contenuto. Tale limite e la metodologia per la stima del rischio di identificazione sono individuati dall'Istat che, attenendosi ai criteri di cui all'art. 3, comma 1, lett. d), definisce anche le modalità di rilascio dei dati dandone comunicazione alla Commissione per la garanzia dell'informazione statistica.

Articolo 5

(Trattamento di dati sensibili da parte di soggetti privati)

Art. 5
1. I soggetti privati che partecipano al sistema statistico nazionale ai sensi della legge 28 aprile 1998, n. 125, raccolgono o trattano ulteriormente dati sensibili per scopi statistici di regola in forma anonima, fermo restando quanto previsto dall'art. 6-bis, comma 1, del decreto legislativo 6 settembre 1989, n. 322, come introdotto dal decreto legislativo 30 luglio 1999, n. 281, e successive modificazioni e integrazioni.
2. In casi particolari in cui scopi statistici, legittimi e specifici, del trattamento di dati sensibili non possono essere raggiunti senza l'identificazione anche temporanea degli interessati, per garantire la legittimità del trattamento medesimo è necessario che concorrano i seguenti presupposti:
a) l'interessato abbia espresso liberamente il proprio consenso sulla base degli elementi previsti per l'informativa;
b) il titolare adotti specifiche misure per mantenere separati i dati identificativi già al momento della raccolta, salvo che ciò risulti irragionevole o richieda uno sforzo manifestamente sproporzionato;
c) il trattamento risulti preventivamente autorizzato dal Garante, anche sulla base di un'autorizzazione relativa a categorie di dati o tipologie di trattamenti, o sia compreso nel programma statistico nazionale.
3. Il consenso è manifestato per iscritto. Qualora la raccolta dei dati sensibili sia effettuata con particolari modalità quali interviste telefoniche o assistite da elaboratore che rendano particolarmente gravoso per l'indagine acquisirlo per iscritto, il consenso, purché espresso, può essere documentato per iscritto. In tal caso, la documentazione dell'informativa resa all'interessato e dell'acquisizione del relativo consenso è conservata dal titolare del trattamento per tre anni.

Articolo 6

(Informativa)

Art. 6
1. Oltre alle informazioni di cui all'art. 10 della Legge, all'interessato o alle persone presso le quali i dati personali dell'interessato sono raccolti per uno scopo statistico è rappresentata l'eventualità che essi possono essere trattati per altri scopi statistici, in conformità a quanto previsto dai decreti legislativi 6 settembre 1989, n. 322 e 30 luglio 1999, n. 281, e loro successive modificazioni e integrazioni.
2. Quando il trattamento riguarda dati personali non raccolti presso l'interessato e il conferimento dell'informativa a quest'ultimo richieda uno sforzo sproporzionato rispetto al diritto tutelato, in base a quanto previsto dall'art. 10, comma 4 della Legge, l'informativa stessa si considera resa se il trattamento è incluso nel programma statistico nazionale o è oggetto di pubblicità con idonee modalità da comunicare preventivamente al Garante il quale può prescrivere eventuali misure ed accorgimenti.
3. Nella raccolta di dati per uno scopo statistico, l'informativa alla persona presso la quale i dati sono raccolti può essere differita per la parte riguardante le specifiche finalità, le modalità del trattamento cui sono destinati i dati, qualora ciò risulti necessario per il raggiungimento dell'obiettivo dell'indagine -in relazione all'argomento o alla natura della stessa- e purché il trattamento non riguardi dati sensibili. In tali casi, il completamento dell'informativa deve essere fornito all'interessato non appena vengano a cessare i motivi che ne avevano ritardato la comunicazione, a meno che ciò comporti un impiego di mezzi palesemente sproporzionato. Il soggetto responsabile della ricerca deve redigere un documento -successivamente conservato per almeno due anni dalla conclusione della ricerca e reso disponibile a tutti i soggetti che esercitano i diritti di cui all'art. 13 della Legge- in cui siano indicate le specifiche motivazioni per le quali si è ritenuto di differire l'informativa, la parte di informativa differita, nonché le modalità seguite per informare gli interessati quando sono venute meno le ragioni che avevano giustificato il differimento.
4. Quando le circostanze della raccolta e gli obiettivi dell'indagine sono tali da consentire ad un soggetto di rispondere in nome e per conto di un altro, in quanto familiare o convivente, l'informativa all'interessato può essere data anche per il tramite del soggetto rispondente.

Articolo 7

(Comunicazione a soggetti non facenti parte del sistema statistico nazionale)

Art. 7
1. Ai soggetti che non fanno parte del sistema statistico nazionale possono essere comunicati, sotto forma di collezioni campionarie, dati individuali privi di ogni riferimento che ne permetta il collegamento con gli interessati e comunque secondo modalità che rendano questi ultimi non identificabili.
2. La comunicazione di dati personali a ricercatori di università o ad istituti o enti di ricerca o a soci di società scientifiche a cui si applica il codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e di ricerca scientifica effettuati fuori dal sistema statistico nazionale, di cui all'articolo 10, comma 6, del decreto legislativo 30 luglio 1999, n. 281 e successive modificazioni e integrazioni, è consentita nell'ambito di specifici laboratori costituiti da soggetti del sistema statistico nazionale, a condizione che:
a) i dati siano il risultato di trattamenti di cui i medesimi soggetti del sistema statistico nazionale siano titolari;
b) i dati comunicati siano privi di dati identificativi;
c) le norme in materia di segreto statistico e di protezione dei dati personali, contenute anche nel presente codice, siano rispettate dai ricercatori che accedono al laboratorio anche sulla base di una preventiva dichiarazione di impegno;
d) l'accesso al laboratorio sia controllato e vigilato;
e) non sia consentito l'accesso ad archivi di dati diversi da quello oggetto della comunicazione;
f) siano adottate misure idonee affinché le operazioni di immissione e prelievo di dati siano inibite ai ricercatori che utilizzano il laboratorio;
g) il rilascio dei risultati delle elaborazioni effettuate dai ricercatori che utilizzano il laboratorio sia autorizzato solo dopo una preventiva verifica, da parte degli addetti al laboratorio stesso, del rispetto delle norme di cui alla lettera c).
3. Nell'ambito di progetti congiunti, finalizzati anche al perseguimento di compiti istituzionali del titolare del trattamento che ha originato i dati, i soggetti del sistema statistico nazionale possono comunicare dati personali a ricercatori operanti per conto di università, altre istituzioni pubbliche e organismi aventi finalità di ricerca, purché sia garantito il rispetto delle condizioni seguenti:
a) i dati siano il risultato di trattamenti di cui i medesimi soggetti del sistema statistico nazionale sono titolari;
b) i dati comunicati siano privi di dati identificativi;
c) la comunicazione avvenga sulla base di appositi protocolli di ricerca sottoscritti da tutti i ricercatori che partecipano al progetto;
d) nei medesimi protocolli siano esplicitamente previste, come vincolanti per tutti i ricercatori che partecipano al progetto, le norme in materia di segreto statistico e di protezione dei dati personali contenute anche nel presente codice.
4. È vietato ai ricercatori ammessi alla comunicazione dei dati di effettuare trattamenti per fini diversi da quelli esplicitamente previsti dal protocollo di ricerca, di conservare i dati comunicati oltre i termini di durata del progetto, di comunicare ulteriormente i dati a terzi.

Articolo 8

(Comunicazione dei dati tra soggetti del Sistema statistico nazionale)

Art. 8
1. La comunicazione di dati personali, privi di dati identificativi, tra i soggetti del sistema statistico nazionale è consentita per i trattamenti statistici, strumentali al perseguimento delle finalità istituzionali del soggetto richiedente, espressamente determinati all'atto della richiesta, fermo restando il rispetto dei principi di pertinenza e di non eccedenza.
2. La comunicazione anche dei dati identificativi di unità statistiche tra i soggetti del sistema statistico nazionale è consentita, previa motivata richiesta in cui siano esplicitate le finalità perseguite ai sensi del decreto legislativo 6 settembre 1989, n. 322, ivi comprese le finalità di ricerca scientifica per gli enti di cui all'art. 2 del decreto legislativo medesimo, qualora il richiedente dichiari che non sia possibile conseguire altrimenti il medesimo risultato statistico e, comunque, nel rispetto dei principi di pertinenza e di stretta necessità.
3. I dati comunicati ai sensi dei commi 1 e 2 possono essere trattati dal soggetto richiedente, anche successivamente, per le sole finalità perseguite ai sensi del decreto legislativo 6 settembre 1989, n. 322, ivi comprese le finalità di ricerca scientifica per gli enti di cui all'art. 2 del decreto legislativo medesimo, nei limiti previsti dal decreto legislativo 30 luglio 1999, n. 281, e nel rispetto delle misure di sicurezza previste dall'art. 15 della Legge e successive modificazioni e integrazioni.

Articolo 9

(Autorità di controllo)

Art. 9
1. La Commissione per la garanzia dell'informazione statistica di cui all'articolo 12 del decreto legislativo 6 settembre 1989, n. 322 contribuisce alla corretta applicazione delle disposizioni del presente codice e, in particolare, di quanto previsto al precedente art. 8, segnalando al Garante i casi di inosservanza.

Articolo 10

(Raccolta dei dati)

Art. 10
1. I soggetti di cui all'art. 1 pongono specifica attenzione nella selezione del personale incaricato della raccolta dei dati e nella definizione dell'organizzazione e delle modalità di rilevazione, in modo da garantire il rispetto del presente codice e la tutela dei diritti degli interessati, procedendo altresì alla designazione degli incaricati del trattamento, secondo le modalità di legge.
2. In ogni caso, il personale incaricato della raccolta si attiene alle disposizioni contenute nel presente codice e alle istruzioni ricevute. In particolare:
a) rende nota la propria identità, la propria funzione e le finalità della raccolta, anche attraverso adeguata documentazione;
b) fornisce le informazioni di cui all'art. 10 della Legge e di cui all'art. 6 del presente codice, nonché ogni altro chiarimento che consenta all'interessato di rispondere in modo adeguato e consapevole, evitando comportamenti che possano configurarsi come artifici o indebite pressioni;
c) non svolge contestualmente presso gli stessi interessati attività di rilevazione di dati per conto di più titolari, salvo espressa autorizzazione;
d) provvede tempestivamente alla correzione degli errori e delle inesattezze delle informazioni acquisite nel corso della raccolta;

e) assicura una particolare diligenza nella raccolta di dati personali di cui agli articoli 22, 24 e 24 bis della legge.

Articolo 11

(Conservazione dei dati)

Art. 11
1. I dati personali possono essere conservati anche oltre il periodo necessario per il raggiungimento degli scopi per i quali sono stati raccolti o successivamente trattati, in conformità all'art. 9 della Legge e all'art. 6-bis del decreto legislativo 6 settembre 1989, n. 322 e successive modificazioni e integrazioni. In tali casi, i dati identificativi possono essere conservati fino a quando risultino necessari per: indagini continue e longitudinali;
indagini di controllo, di qualità e di copertura;
definizione di disegni campionari e selezione di unità di rilevazione;
costituzione di archivi delle unità statistiche e di sistemi informativi;
altri casi in cui ciò risulti essenziale e adeguatamente documentato per le finalità perseguite.
2. Nei casi di cui al comma 1, i dati identificativi sono conservati separatamente da ogni altro dato, in modo da consentirne differenti livelli di accesso, salvo che ciò risulti impossibile in ragione delle particolari caratteristiche del trattamento o comporti un impiego di mezzi manifestamente sproporzionati rispetto al diritto tutelato.

Articolo 12

(Misure di sicurezza)

Art. 12.
1. Nell'adottare le misure di sicurezza di cui all'art. 15, comma 1, della Legge e di cui al regolamento previsto dal comma 2 del medesimo articolo, il titolare del trattamento determina anche i differenti livelli di accesso ai dati personali con riferimento alla natura dei dati stessi e alle funzioni dei soggetti coinvolti nei trattamenti.
2. I soggetti di cui all'art. 1 adottano le cautele previste dagli articoli 3 e 4 del decreto legislativo 11 maggio 1999, n. 135 in riferimento ai dati di cui agli articoli 22 e 24 della Legge.

Articolo 13

(Esercizio dei diritti dell'interessato)

Art. 13
1. In caso di esercizio dei diritti di cui all'art.13 della Legge, l'interessato può accedere agli archivi statistici contenenti i dati che lo riguardano per chiederne l'aggiornamento, la rettifica o l'integrazione, sempre che tale operazione non risulti impossibile per la natura o lo stato del trattamento, o comporti un impiego di mezzi manifestamente sproporzionati.
2. In attuazione dell'art. 6-bis, comma 8, del decreto legislativo 6 settembre 1989, n. 322, il responsabile del trattamento annota in appositi spazi o registri le modifiche richieste dall'interessato, senza variare i dati originariamente immessi nell'archivio, qualora tali operazioni non producano effetti significativi sull'analisi statistica o sui risultati statistici connessi al trattamento. In particolare, non si procede alla variazione se le modifiche richieste contrastano con le classificazioni e con le metodologie statistiche adottate in conformità alle norme internazionali comunitarie e nazionali.

Articolo 14

( Regole di condotta)

Art. 14
1. I responsabili e gli incaricati del trattamento che, anche per motivi di lavoro, studio e ricerca abbiano legittimo accesso ai dati personali trattati per scopi statistici, conformano il proprio comportamento anche alle seguenti disposizioni:
a) i dati personali possono essere utilizzati soltanto per gli scopi definiti all'atto della progettazione del trattamento;
b) i dati personali devono essere conservati in modo da evitarne la dispersione, la sottrazione e ogni altro uso non conforme alla legge e alle istruzioni ricevute;
c) i dati personali e le notizie non disponibili al pubblico di cui si venga a conoscenza in occasione dello svolgimento dell'attività statistica o di attività ad essa strumentali non possono essere diffusi, né altrimenti utilizzati per interessi privati, propri o altrui;
d) il lavoro svolto deve essere oggetto di adeguata documentazione;
e) le conoscenze professionali in materia di protezione dei dati personali devono essere adeguate costantemente all'evoluzione delle metodologie e delle tecniche;
f) la comunicazione e la diffusione dei risultati statistici devono essere favorite, in relazione alle esigenze conoscitive degli utenti, purché nel rispetto delle norme sulla protezione dei dati personali.
2. I responsabili e gli incaricati del trattamento di cui al comma 1 sono tenuti a conformarsi alle disposizioni del presente codice, anche quando non siano vincolati al rispetto del segreto d'ufficio o del segreto professionale. I titolari del trattamento adottano le misure opportune per garantire la conoscenza di tali disposizioni da parte dei responsabili e degli incaricati medesimi.
3. I comportamenti non conformi alle regole di condotta dettate dal presente codice devono essere immediatamente segnalati al responsabile o al titolare del trattamento.

News

Il Garante: gli spammer ora rischiano risarcimenti

SMS e numeri 899: ecco i principali messaggi truffa in circolazione

Phishing contro poste Italiane: prime pene fino a sei anni

Phishing, quanto frutta la frode? Negli USA 3,2 miliardi di dollari

eBay Italia: maxi ondata di tentativi di phishing. Tutte le e-mail utilizzate

Truffati dal phishing? Ecco come chiedere i rimborsi, ma attenti ai furbi

	Natale: brutte sorprese sotto l'albero…il decalogo di Anti-Phishing Italia			Phishing: Banca di Cividale

Anti-Phishing Italia TV beta

Gli argomenti trattati:

RAS Bank nuovamente vittima del phishing
Dopo alcuni mesi di tranquillità una nuova ondata di e-mail truffa si sta abbattendo dalla giornata di ieri 7 agosto sui clienti dell’istituto di credito del gruppo RAS. Leggi la notizia >>

I truffatori avvertono: "Attenzione al phishing contro Banca di Roma"
Problemi tecnici, conti sospesi, regali e premi in denaro e perché no anche un avviso generale per informare del rischio phishing. Leggi la notizia >>

Inviava porno spam tramite reti wi-fi non protette. Condannato
Circolando tranquillamente in macchina con un portale posto sul sedile del passeggero inviava migliaia di messaggi reclamizzanti Leggi la notizia >>

Inserisci Anti-Phishing Italia TV nel tuo sito web:

Approfondimenti

Rapporto trimestrale sul fenomeno del phishing in Italia – 2° trimestre 2007 (periodo 01/04/2007 – 30/06/2007)

Il phishing italiano continua ad aumentare. 2115 casi unici in tre mesi, con una media di 23,24 e-mail al giorno, quasi una l’ora ai danni di 16 obiettivi italiani e dei propri clienti. Sono questi gli inquietanti numeri che il phishing nazionale ha collezionato nel periodo 01/04/2007-30/06/2007, segnando un aumentato rispetto al 1°trimestre dello stesso anno del 940%. Download >>

Rapporto trimestrale su fenomeno del phishing in Italia - 1° trimestre 2007
225 tentativi di phishing unico con una media di 2 casi al giorno ed un aumento del 1.175% rispetto all’anno 2006. Sono questi i dati del phishing nazionale rilevati dal portale Anti-Phishing Italia nel 1° trimestre 2007. Un pericolo quello del phishing in costante crescita, con Poste Italiane unico ed incontrastato obiettivo, in grado di occupare da solo l’87% dei tentativi di e-mail truffa circolati nel nostro Paese in appena tre mesi Download rapporto

Phishing: chi mi ridarà i miei soldi ???
Nessuno. Almeno per ora, sino a quando non si riuscirà a dimostrare la responsabilità delle banche. E’ questo lo scontato quadro che esce da un interessante servizio di "Repubblica TV" andato in onda nella giornata di ieri, che vedeva come partecipanti esponenti dl sistema bancario, responsabili della Polizia Postale e legali. Il servizio partendo da un caso reale di truffa mette in luce lo "scarica barili" fatto dalle banche, trincerate dietro vecchi sistemi di sicurezza basati su password numeriche, nei confronti dei truffati colpevoli di troppa ingenuità o come nel caso mostrato, dell’ignara vittima che senza aver fatto nulla si ritrova il proprio conto alleggerito di 4mila euro. Che con un altissima probabilità non rivedrà mai più. Continua >>

Attenti all’Ufficio Reclutamento R.C.M.: è solo l’ennesima truffa
Circola in Rete da alcuni giorni una nuova offerta di lavoro, apparentemente collegata al fenomeno delle false società utilizzate per il riciclaggio di denaro, di cui Anti-Phishing Italia si è occupata più volte, ma che in realtà nasconde qualcosa di più.L’e-mail infatti si colloca nella categoria delle comunicazioni "spara dialer" ultimo caso quello del decreto ingiuntivo inviato Avv. Cons. Dpe Giordano Lanza: Cliccando sul link proposto l’utente viene trasportato in un apposito sito maligno all’interno del quale crederà di fornire i propri dati per candidarsi all’allettante posto di lavoro, ma in realtà sarà costretto a scaricare l’ennesimo malware. I dati inserirti nei moduli non vengono inviati al truffatore, l’intero sito serve esclusivamente per il download del file Continua >>

Caso Citibank: quando una vera e-mail si trasforma in phishing
La vostra banca non vi invierà mai e-mail per chiedervi di aggiornare il vostro username, password o numero di carta di credito. E’ questo il primo consiglio inneggiato da tutti colori i quali, noi compresi, hanno cercato di informare i navigatori della Rete sul pericolo phishing.Ma se questa volta quell’e-mail fosse vera ? E se la mia banca mi stesse realmente richiedendo di aggiornare i miei dati? chi ci crederebbe ? Sicuramente NESSUNO, soprattutto se la politica di sicurezza dell’istituto di credito sino al giorno prima professava il contrario.E’ questo, in sintesi, questo quello che è accaduto alla sede Australiana di Citibank, che nell’ottobre scorso, ha recapitato a tutti i suoi clienti Continua >>

Anche i dialers sono denunciabili on line. L’intervista di MDC al dott. Masciopinto
Dal 15 febbraio, giorno di inizio attività del Commissariato di Ps on line, ad oggi i cittadini hanno sporto oltre 2500denunce, effettuato oltre 2800 segnalazioni ed inviato più di 5500 richieste di informazioni.Il sito ha registrato oltre 300.000 visite. Queste le lusinghiere cifre snocciolate dal dirigente II° Div. Servizio di Polizia Postale e delle Comunicazioni Polizia di Stato (Roma), dott. Maurizio Masciopinto nel corso di un’intervista rilasciata per il sito dell’associazione di consumatori MDC.La possibilità di effettuare le denunce alla polizia direttamente tramite internet, senza recarsi fisicamente in caserma, sta prendendo sempre più dimestichezza fra gli italiani. Continua >>

Un 2007 all’insegno delle minacce informatiche: parola di McAfee
Se state preparando la lista delle cose da fare per il 2007 non dimenticare di aggiungere "maggiore sicurezza informatica" perché se solo la metà delle previsioni fatte dalla McAfee si dovessero avverare (e temo che lo faranno) ci aspetta un 2007 da"paura".McAfee, Inc. (NYSE: MFE) ha reso note le sue previsioni su quali saranno le 10 principali minacce di sicurezza nel 2007 stilate da McAfee Avert Labs. Secondo in dati di McAfee Avert Labs, con oltre 217.000 diverse tipologie di minacce note e altre non ancora identificate, è chiaro che il malware viene rilasciato sempre più da criminali professionisti e organizzati. Continua >>

In evidenza

Operazione "Truffa truffa ambiguita'": 3 arresti e 700 truffati
Gli uomini del GAT - Nucleo Speciale Frodi Telematiche della Guardia di Finanza nel corso dell’operazione, tutt’ora in corso, denominata "Truffa truffa ambiguità" hanno stroncato l’attività criminale di tre truffatori italiani specializzati nei raggiri telematici.Lo scenario delle truffe era eBay ma anche appositi siti realizzati esclusivamente per allettare le potenziali vittime, che attratte dai prezzi scontatissimi non esitavano a pagare anticipatamente senza però ricevere nulla o quasi.Andando di fatto ad ingrossare il giro d’affari dei truffatori capaci anche di guadagnare in pochi mesi ben 150mila euro.Tutti i dettagli dell’operazione in questo articolo di Alessia Marani pubblicato su il Giornle.it: Continua >>

Phishing: nuova tecnica e nuovi pericoli per gli utenti italiani
Dimenticate il phishing che avete conosciuto sino ad oggi, niente più e-mail che cercano di rassomigliare a vere comunicazioni, niente più siti clone, nessuna vulnerabilità da sfruttare, nessun filtro o software in grado di rilevare la truffa.Avrete così l’ultimo tentativo attualmente in circolazione. Ancora una volta contro eBay. Ancora una volta per colpire i risparmi dei navigatori della Rete italiani. Ma questa volta con una tecnica nuova ed altamente pericolosa. L’e-mail,nonostante l’italiano tradotto, si presenta alla potenziale vittima come un normale messaggio privato inviato da un certo A. Mario, il cui indirizzo e-mail è già noto alla comunità di eBay sempre per attività illegali Continua >>

hishing: all’asta domini clone pronti per la truffa. Anche quelli di banche italiane
Si tratta di un vero e proprio mercato parallelo, quello segnalato dalla F-Secure società finlandese operante nel settore della sicurezza informatica, che dopo una serie di controlli nei registri di due siti specializzati nella rivendita di nomi a dominio ha scoperto oltre 30 false versione di importanti siti web appartenenti ad istituti di credito, società finanziarie e non, disponibili al migliore offerente. Citi-bank.com, www-e-bay.de, americanexpresscredicard.com, mastercarding.com, e visacardcredit.com sono solo alcuni dei falsi siti web che cercano di rassomigliare agli originali, trovati negli archivi di Sedo.com e Moniker.com, che con lo stesso principio di eBay Continua >>


		Skimming (strisciata) Definizione La parola Skimming deriva dal verbo inglese to skim, che significa sfiorare, strisciare. Da questa parola deriva a sua volta la parola skimmer che è il dispositivo utilizzato per memorizzare i contenuti delle bande magnetiche delle carte di pagamento. Negli sportelli automatici ATM (Automated Teller Machine), per leggere le relative carte elettroniche di pagamento ed in particolare per leggere il contenuto delle bande magneti Continua >>

Ultima segnalazione

	Gli ultimi casi di phishing internazionale segnalati da
	Servizio momentaneamente sospeso

Ritorna il phishing via fax per eBay
Ancora phishing. Ancora per eBay, ma questa volta con il ritorno di una particolare variante sino ad oggi rilevata solo in Italia: quella del phishing via fax.I più attenti la riconosceranno subito, infatti oltre ad essere già stata utilizzata in passato sempre contro eBay, questa tecnica ha colpito particolarmente Poste Italiane ed i suoi clienti. Tuttavia questa volta a differenza delle passata versioni il phisher richiede una serie dettagliata di dati personali.Infatti oltre al solito username e password, e-mail e punteggio Continua >>


		Banca di Roma: nuovo caso di phishing dal sapore antico Una nuova e-mail circola in queste ore con il tentativo di far cadere in trappola i clienti di Banca di Roma, si tratta del secondo caso di phishing in poco meno di una settimana ai danni dell’istituto di credito romano.A differenza del suo predecessore caratterizzato da un testo credibile ed un italiano perfetto, quello odierno utilizza un e-mail sgrammaticata e poco credibile che i più avranno sicuramente riconosciuto visto che questa finta comunicazione inviata da Banca di Roma ai suoi clienti aveva già fatto la sua comparsa nel mondo del phishing nostrano lo scorso 7 agosto 2005 in un tentativo contro gli utenti di Poste Italiane. Continua >>


	Phishing ai danni dell' AIL - Associazione Italiana contro le Leucemie-linfomi e mielosa Anti-Phishing Italia ha appena rilevato (ore 13.34) la circolazione di un nuovo pericolosissimo tentativo di phishing che questa volta cerca di colpire l’AIL - Associazione Italiana contro le Leucemie-linfomi e mielosa. L’e-mail utilizza un messaggio pubblicato dal Prof. Franco Mandelli presidente dell’AIL, attraverso il quale si invita a destinare la somma riservata per i regali di natale per contribuire a rendere leucemie, linfomi e mieloma mali sempre più curabili. Tuttavia il titolo utilizzato per tale invito "Avviso a tutte le aziende! Vi abbiamo scritto la lettera di Natale" è stato un richiamo irresistibile per il phisher. Continua >>

Anti-Phishing Italia - Il portale contro le truffe on-line

Collabora | Privacy | Pubblicità | Contattaci |

Anti-Phishing Italia è realizzato dalla Z.S.

Tutti i contenuti di Anti-Phishing Italia sono pubblicati secondo la seguente Licenza Creative Commons, salvo diverse indicazioni.