SOMMARIO:.1. I principi generali del trattamento sicuro dei dati personali; 2. Il dato personale; 3 L’organigramma aziendale e le figure imposte dal Codice; 4. I diritti dell’interessato; 5. Trattamento, Informativa e Consenso; 6. Misure Minime di Sicurezza
1 Premessa
La normativa italiana in materia di trattamento dei dati personali attualmente vigente è contenuta nel Codice in materia di protezione dei dati personali (Decreto Legislativo nr.196 del 2003). Il citato Codice contiene tutta una serie di principi generali e definisce tutti gli adempimenti e le regole da osservare nel trattamento dei dati nei più vari settori.
La sicurezza dei dati personali non deve essere considerata come una serie di balzelli burocratici cui dover adempiere acriticamente. Quello che il Codice, in realtà, impone è un adattamento delle attività professionali ed aziendali (private e pubbliche) alle nuove esigenze provenienti dalla moderna vita di relazione. La società dell’informazione è costituita, infatti, da una fitta rete di rapporti e relazioni interpersonali, reali e virtuali, in cui l’elemento primario è l’informazione.
Alla luce della pacifica considerazione che le innovazioni tecnologiche hanno prodotto contemporaneamente risultati positivi di estremo rilievo ed, inevitabilmente, la nascita di nuove ed insidiose fonti di pericolo, meritano estrema tutela, a causa della loro rilevanza, le informazioni personali.
E’ per questo motivo che il Codice in materia di protezione dei dati personali impone di adottare una serie di misure tecniche, informatiche, organizzative, logistiche e procedurali, tendenti a realizzare un livello di sicurezza proporzionato ai rischi previsti per il tipo di attività esercitata.
Sono obbligati al rispetto delle suddette regole, quindi, tutti coloro che trattano dati personali (a titolo meramente esemplificativo): aziende private, liberi professionisti, istituti scolastici, pubbliche amministrazioni, enti territoriali.
2. Il dato personale
Per dato personale, ai sensi del D.Lgs. 196/2003, si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili anche indirettamente mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale.
Più in particolare, sono dati personali tutti quei dati identificativi, che permettono l’identificazione diretta di un soggetto differenziandolo da altri ovvero specificandone aspetti particolari ed unici in rapporto ad un determinato contesto di riferimento (ad es.: liste di dipendenti di una determinata azienda, i soggetti autorizzati all’accesso ad una biblioteca, etc).
A questo proposito, il Codice specifica la categoria del dato anonimo, vale a dire quel dato che in origine o a seguito di trattamento non può essere associato ad un interessato identificato o identificabile; è da specificare, però, che un’informazione originariamente non associabile ad un soggetto può divenire dato personale allorché, attraverso una successiva operazione di collegamento ad informazioni di diversa natura, risulti comunque idonea a rendere identificabile l’interessato.
Spesso si ritiene erroneamente che il D.Lgs. 196/2003 non si applichi ad alcuni tipi di dati (ad es. l’indirizzo e il numero di telefono) che compaiono su elenchi pubblici, consentendone così la libera utilizzazione. In realtà i dati tratti da “fonti pubbliche” (ad es.: le liste degli aventi diritto al voto, gli elenchi dei telefoni fissi, così pure gli elenchi degli iscritti ad albi e collegi professionali e alcuni registri delle Camere di Commercio) sono pur sempre dati personali e possono essere trattati senza il preventivo consenso dell’interessato ma comunque previo rilascio di un’idonea informativa sull’uso che ne verrà fatto.
Per dato giudiziario si intende quel particolare dato personale idoneo a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
Rientrano, quindi, in questo ambito i dati personali idonei a rivelare provvedimenti relativi a condanne penali, condanne a sanzioni amministrative, l’esistenza di “carichi pendenti”, la qualità di imputato o indagato per un reato.
Per dato sensibile si intendono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Tali dati, pertanto, attengono alla sfera più intima di un soggetto rilevando aspetti non solo materiali, ma inerenti la personalità.
Sono da annoverare tra i dati sensibili, ad esempio, le informazioni contenute in una cartella clinica o in un certificato medico, ma anche alcune voci della dichiarazione dei redditi e della busta paga (spese mediche, trattenute sindacali o permessi per ore di assemblea sindacale, contributi ad organismi religiosi, assegni di mantenimento per il coniuge separato, pignoramenti in atto).
Sulla base della lettura integrata dei vari articoli del Codice e delle varie pronunce e chiarificazioni proposte dal Garante, sono da includere nel novero dei dati sensibili anche: i dati genetici; i dati biometrici; i dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; i dati volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica; i dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi; dati sensibili utilizzati per sondaggi di opinione, e/o ricerche di mercato; i dati relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
3. I principi generali del trattamento sicuro dei dati personali.
Il Codice per la protezione dei dati personali dispone che il trattamento degli stessi venga effettuato nel rispetto dei seguenti principi:
– liceità e correttezza: la liceità del trattamento deriva dal rispetto delle disposizioni contenute nel D.Lgs. 196/2003, degli allegati e delle norme tecniche che sono state emanate. Inoltre, condizione essenziale per un corretto trattamento dei dati personali è il rispetto delle norme aziendali di sicurezza appositamente emesse e di norme comportamentali generali quali la buona condotta, la buona fede nonché degli obblighi di diligenza ed attenzione nelle operazioni di trattamento; rientra nel principio di correttezza anche la regola che prescrive di utilizzare i dati personali solo ed esclusivamente nei trattamenti per i quali si è ricevuto il consenso – quando richiesto – dell’interessato;
– pertinenza e non eccedenza dei dati rispetto alle finalità: i dati richiesti o raccolti ai fini del trattamento devono essere pertinenti e non eccedenti rispetto alle finalità per le quali vengono concessi; a tale proposito, i dati devono essere raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni di trattamento solo quando queste ultime siano compatibili con tali scopi;
– esattezza, completezza ed aggiornamento dei dati: l’incaricato, nelle operazioni di trattamento, deve assicurare l’esattezza e la completezza dei dati e curarne, quando necessario, l’aggiornamento;
– stretta necessità: i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Infine, i dati devono essere:
– conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti o successivamente trattati; superato tale termine, bisogna provvedere alla cancellazione del dato, ovvero alla sua trasformazione in forma anonima;
– custoditi, controllati e trattati, anche in relazione alle conoscenze acquisite, al progresso tecnico, alla natura dei dati ed alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di alterazione, distruzione e perdita, anche accidentale, di accesso non autorizzato e di trattamento non consentito.
I dati personali trattati in violazione di questi principi di carattere generale, come della disciplina specifica dettata dal Codice, non possono essere utilizzati.
4 L’organigramma aziendale e le figure imposte dal Codice.
Il Decreto Legislativo 196/2003 prevede la presenza di figure e ruoli specifici nell’ambito del trattamento dei dati personali.
La prima figura su cui soffermarsi è il titolare del trattamento che viene identificato con la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Titolare può essere, quindi, la persona giuridica nel suo insieme (nel caso in cui le decisioni competano ad organi collegiali: ad es., il consiglio di amministrazione) ovvero un soggetto determinato (ad es., l’amministratore unico, il rappresentante legale, etc). Con questa figura si è cercato di identificare con certezza la persona – fisica o giuridica –titolare del trattamento dei dati, vale a dire colui che esercita un potere decisionale del tutto autonomo sulle finalità, sulle modalità del trattamento, ivi compreso il profilo della sicurezza, e sulle linee strategiche ed organizzative aziendali.
Fondamentale compito del Titolare è la nomina del o dei Responsabili del trattamento dei dati, l’adempimento non esonera, comunque, il Titolare da responsabilità: egli continuerà a risponde sia delle scelte effettuate (culpa in eligendo) sia del controllo sull’operato (culpa in vigilando) di tutti i soggetti coinvolti nel trattamento.
Il Titolare, inoltre, individua le società o i soggetti esterni autorizzati ad accedere ai dati personali conservati e provvede contestualmente alla nomina dei Responsabili esterni di trattamento. A tale proposito, il Titolare è comunque tenuto ad accertarsi, prima della nomina, che i terzi a cui abbia ceduto, in tutto o in parte, l’attività di elaborazione dati rispettino, nelle operazioni di trattamento, il D.Lgs. 196/2003.
La seconda figura su cui concentrare l’attenzione è quella del responsabile del trattamento dei dati personali. Si tratta, in sostanza, del soggetto – persona fisica o giuridica – cui il Titolare può delegare il coordinamento delle politiche di sicurezza aziendali e le decisioni riguardanti la gestione dei trattamenti dei dati personali. Per questo motivo, deve trattarsi di soggetti individuati tra quelli che, per esperienza, capacità, affidabilità nonché competenze tecniche, forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di dati personali. Quando nominato, il Responsabile non è un mero esecutore del Titolare; deve bensì avere autonomia gestionale, collaborare con il Titolare nel definire le scelte strategiche, avere poteri e mezzi sufficienti per imporne l’adempimento all’interno dell’azienda.
Compiti specifici del Responsabile sono la nomina degli Incaricati di trattamento e delle eventuali figure tecniche (custode delle password, incaricati delle copie di back-up, della conservazione della copia delle credenziali, amministratori di sistema) e la relativa autorizzazione all’acceso ed all’intervento sui dati contenuti in predeterminate banche dati.
La terza figura dell’organigramma previsto dal Codice è quella dell’incaricato del trattamento dei dati personali, ossia della persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. Si tratta, dunque, di tutti i soggetti legittimati a compiere operazioni di trattamento dei dati. La designazione deve avvenire per iscritto e deve specificare le attività consentite all’incaricato, il quale deve attenersi alle disposizioni organizzative ed operative decise dal Titolare e/o dal Responsabile.
Agli incaricati possono essere assegnati compiti quali l’inserimento, la modifica, la stampa e la cancellazione di dati.
Lo schema fin qui delineato propone una ripartizione delle responsabilità che dipende dalla funzione e dal ruolo svolto da ogni soggetto coinvolto nel trattamento di dati personali. In particolare, le responsabilità sono graduate in relazione all’autonomia decisionale di ciascuno ed ai compiti che gli sono propri.
Pertanto, è chiaro che il Titolare e/o Responsabile risponderanno delle decisioni adottate al fine di tutelare i dati personali (ad esempio, per l’adozione strutturale di misure di sicurezza all’interno dell’azienda, per l’effettuazione della notifica del trattamento al Garante, etc.). L’incaricato risponderà, invece, esclusivamente per l’esercizio e nei limiti delle mansioni assegnate, eseguite nel rispetto di fondamentali criteri di diligenza e prudenza. E’ però necessario specificare che l’attenzione che l’Incaricato pone nelle operazioni di trattamento deve essere adeguata al livello di sensibilità, criticità ed importanza dei dati stessi.
Come evidenziato nella figura, oltre ai soggetti espressamente previsti dalla normativa, il Titolare del trattamento può individuare altre figure necessarie ai fini del corretto trattamento dei dati e della loro sicurezza quali:
a) l’amministratore di sistema che si occupa di gestire tutte le esigenze informatiche legate al trattamento dei dati con strumenti elettronici. Alcuni esempi sono l’installazione di programmi antivirus e l’utilizzo di software che limitano i rischi di intrusioni informatiche nei PC utilizzati per il trattamento dei dati;
b) il custode delle copie delle credenziali che provvede a conservare in luogo sicuro, senza divulgarle, tutte le parole chiave o qualsiasi altra credenziale di autenticazione ai sistemi informatici fornita ad ogni incaricato al trattamento;
c) l’incaricato delle copie di sicurezza delle banche dati che ha il compito di adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione dei dati e provvedere al back-up periodico degli stessi con copie di sicurezza, secondo i criteri stabiliti dal Titolare e/o dal Responsabile.
A capo di questi soggetti può essere nominato dal Titolare uno specifico Responsabile della sicurezza che stabilisca le corrette policy e procedure di gestione cui essi devono attenersi; queste funzioni possono, invero, essere svolte direttamente dal Titolare o dal Responsabile di trattamento, nel caso in cui posseggano adeguate competenze tecniche.
Altre figure fondamentali previste dal Codice, ma esterne all’organizzazione aziendale sono:
– l’interessato ossia la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali. L’interessato, ad esempio, è il soggetto che fornisce i propri dati ad una pubblica amministrazione o ad un’azienda per ottenere un determinato bene o servizio;
– il Garante per la protezione dei dati personali[1].
5. I diritti dell’interessato.
Ogni soggetto “interessato” dispone, durante tutto il periodo del trattamento, di un diritto di controllo sui dati che lo riguardano.
In particolare il D.Lgs. 196/2003 conferisce agli interessati l’esercizio di specifici diritti.
L’interessato può ottenere dal Titolare:
la conferma dell’esistenza o meno di dati personali che lo riguardano e la loro comunicazione in forma intelligibile (diritto di accesso).
L’interessato può chiedere di conoscere:
l’origine dei dati;
le finalità e modalità del trattamento;
la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
l’indicazione degli estremi identificativi del titolare, dei responsabili nominati e dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza.
L’interessato ha, inoltre, diritto di ottenere:
l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
l’attestazione che le operazioni precedentemente citate sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi.
L’interessato ha, infine, diritto di opporsi in tutto o in parte:
al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta, qualora vi siano motivi legittimi che lo giustifichino;
al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
Il Codice offre la possibilità al soggetto di conoscere, controllare e cancellare il flusso delle informazioni che lo riguardano attraverso il riconoscimento del diritto d’accesso e la possibilità di richiedere al titolare correzioni, rettifiche ed eventualmente l’eliminazione di dati non corrispondenti alla realtà.
Naturalmente il titolare del trattamento è soggetto al relativo dovere di consentire l’esercizio di tali diritti. Se poi l’interessato non vede soddisfatte le proprie richieste, la tutela dell’effettività delle situazioni giuridiche può spostarsi in sede giurisdizionale od amministrativa.
6. Trattamento, Informativa e Consenso.
In questa prospettiva in cui lo stesso svolgersi fisiologico dell’attività lavorativa presuppone il reperimento e l’archiviazione di dati personali, le aziende e i professionisti non possono ritenersi esonerati da una generale osservanza delle norme relative alla custodia ed al controllo dettate in materia di protezione dei dati personali.
Il rapporto con i dati personali, a causa del loro intrinseco valore, deve essere scandito anche nell’esercizio professionale dagli obblighi e dall’osservanza delle procedure imposte dalla normativa di riferimento.
In primo luogo, bisogna fornire al cliente le informazioni necessarie a giustificare la richiesta di determinati dati, quali ad esempio:
le finalità e le modalità di trattamento;
la natura obbligatoria o facoltativa del conferimento dei dati;
le conseguenze di un eventuale rifiuto di rispondere;
i soggetti o le categorie di soggetti che potranno venire a conoscenza dei dati comunicati;
il diritto dell’interessato di accedere ai propri dati, di aggiornarli o cancellarli.
L’informativa diviene, così, un momento fondamentale del rapporto di fiducia che si instaura tra azienda e i clienti e la successiva fase della raccolta dei dati forniti può ben essere intesa come il momento iniziale di quello che viene definito dallo stesso Codice con l’espressione: “trattamento di dati personali”.
Per quanto riguarda, invece, il consenso dell’interessato al trattamento dei propri dati il discorso è, in parte, diverso e necessita di un approfondimento, caso per caso, alla luce delle eccezioni contenute nel Codice ed alla natura sensibile o non degli stessi dati.
Il secondo punto da osservare è di natura organizzativa e si riferisce all’individuazione, nell’ambito della struttura aziendale o professionale, del titolare, dei responsabili e dei soggetti incaricati del trattamento dei dati personali.
La corretta individuazione preventiva di queste figure è un elemento essenziale per osservare correttamente i vari adempimenti e le procedure imposte dalla disciplina in questione. Si pensi, ad esempio, alla necessità di individuare le modalità organizzative idonee a soddisfare, in tempi brevi, le richieste provenienti dagli interessati di conoscere i dati personali archiviati ed eventualmente di modificarli o di cancellarli; oppure si pensi agli adempimenti in merito alla custodia degli archivi e del trattamento dei dati in esso contenuti da parte dei collaboratori.
7. Misure Minime di Sicurezza.
A quanto superficialmente già considerato si deve aggiungere, in vista della capillare informatizzazione dell’attività aziendale e del crescente bisogno di connessioni telematiche, l’adozione, necessaria e non più procrastinabile, di misure di sicurezza atte a tutelare i dati personali trattati e custoditi negli archivi informatici (si ricorda, comunque, che anche la raccolta cartacea, ad esempio in fascicoli, dei dati dell’assistito deve essere considerata un trattamento).
I dati personali devono essere difesi principalmente da tutte quelle vulnerabilità (non solo di natura tecnica ed informatica) che indeboliscono il sistema rendendolo potenzialmente soggetto ad attacchi e danneggiamenti.
Alla sicurezza dei dati e dei sistemi, il Codice dedica ampio spazio ed una dettagliata normativa completata dall’allegato B (“Disciplinare tecnico in materia di misure minime di sicurezza”).
Per quanto riguarda queste misure, la disciplina è suddivisa in base al fatto che il trattamento venga effettuato con strumenti elettronici oppure senza l’ausilio degli stessi.
Nella prima ipotesi è prevista l’adozione di un sistema di autenticazione informatica che consenta solo agli incaricati di poter procedere al trattamento dei dati custoditi nel sistema informatico, creando eventualmente diversi profili di autorizzazione per i casi in cui l’incaricato sia autorizzato a svolgere solo determinate operazioni. In considerazione delle normali vulnerabilità presenti nei sistemi informatici, sono previsti degli obblighi relativi all’adozione di misure minime di sicurezza attraverso l’utilizzo di strumenti (software, hardware) e procedure tese:
1)ad impedire l’accesso al sistema da parte di soggetti non autorizzati;
2) ad impedire che i software dannosi (virus, worm, trojan horse…) possano danneggiare i dati custoditi nel sistema;
3) ad eliminare le vulnerabilità che periodicamente vengono rilevate nel software (sistema operativo ed applicativi) utilizzato;
4) a compiere il backup dei dati (ossia la creazione di una copia di sicurezza).
Agli accorgimenti di natura tecnica si deve aggiungere anche la redazione, entro il 31 marzo di ogni anno, di un documento programmatico sulla sicurezza contenente idonee informazioni riguardo alla fenomenologia dei dati trattati, all’organizzazione e alle misure tecniche e procedurali adottate per garantirne la tutela. Inoltre, anche per quanto riguarda le modalità tecniche da adottare in caso di trattamento con strumenti diversi da quelli elettronici, si devono impartite delle istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
Bisogna ricordare, infine, che ulteriori misure sono dettate in caso di trattamento di dati sensibili e giudiziari.
A conclusione di questa trattazione, necessariamente lacunosa, si può affermare che la sicurezza dei dati personali non può essere ridotta solo ed esclusivamente ad un fatto tecnico ma deve essere intesa in senso più ampio come il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali, tendenti a realizzare un livello di sicurezza proporzionato ai rischi previsti per l’attività che in concreto viene svolta.
8. La formazione: un ineliminabile presupposto della sicurezza.
Il punto 19.6 del Disciplinare Tecnico, allegato B al Codice della Privacy, dispone “…la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali“.
La sicurezza dei dati personali non è esclusivamente affidata alle misure si sicurezza logiche (antivirus, password…) o fisiche (lucchetti, sistemi di videosorveglianza…) ma anche e principalmente all’attenzione dell’operatore che quotidianamente si trova a gestirli e “trattarli”.
E’ inutile, infatti, dotare l’azienda o l’ente dei più sofisticati sistemi di protezione se non si forma il personale sui pericoli e sulle responsabilità, civili e penali, derivanti da una cattiva custodia dei dati o da un loro illecito trattamento.
Per questo motivo il programma di formazione deve essere costantemente aggiornato alla luce delle più rilevanti novità normative, delle decisioni della giurisprudenza e dei provvedimenti del Garante per la protezione dei dati personali.
La conoscenza dei pericoli e delle norme del Codice della Privacy diviene così il necessario presupposto per la sicurezza dei dati personali.
NOTE BIBLIOGRAFICHE
* Il presente articolo è estrapolato da un contributo più ampio: STILO LEO, Il diritto all’autodeterminazione informativa: genesi storica di un diritto fondamentale “dell’homo tecnologicus”, in Diritto della Gestione Digitale delle Informazioni (suppl. della Rivista Giuridica “Il Nuovo Diritto” n. 7-8, 2002), pag.19, ISSN 0029-6368
[1] L’ufficio del Garante per la protezione dei dati personali è un organo collegiale costituito da quattro membri. Esso opera in piena autonomia e con indipendenza di giudizio e valutazione. Il Garante può essere qualificato quale Autorità Amministrativa Indipendente dal Governo e da altre Amministrazioni pubbliche, in ragione del fatto che la sua attività si esplica non solo nei confronti di privati ma anche nei confronti delle stesse amministrazioni pubbliche. Rientrano tra i compiti del Garante: §Rilasciare le autorizzazioni generali per il trattamento dei dati personali; § Esaminare i reclami, le segnalazioni ed i ricorsi ricevuti dai soggetti interessati;§ Vietare il trattamento non corretto o illecito dei dati; § Disporre ispezioni nei luoghi dove avviene il trattamento dei dati.