Brocardi.it - L'avvocato in un click! CHI SIAMO   CONSULENZA LEGALE

Articolo 2 ter Codice della privacy

(D.lgs. 30 giugno 2003, n. 196)

[Aggiornato al 01/05/2024]

Base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri

Dispositivo dell'art. 2 ter Codice della privacy

1. La base giuridica prevista dall'articolo 6, paragrafo 3, lettera b), del regolamento è costituita esclusivamente da una norma di legge o di regolamento o da atti amministrativi generali(1).

1-bis. Il trattamento dei dati personali da parte di un'amministrazione pubblica di cui all'articolo 1, comma 2, del decreto legislativo 30 marzo 2001, n. 165, ivi comprese le Autorità indipendenti e le amministrazioni inserite nell'elenco di cui all'articolo 1, comma 3, della legge 31 dicembre 2009, n. 196, nonché da parte di una società a controllo pubblico statale di cui all'articolo 16 del decreto legislativo 19 agosto 2016, n. 175, con esclusione per le società pubbliche dei trattamenti correlati ad attività svolte in regime di libero mercato, è sempre consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti. La finalità del trattamento, se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento, è indicata dall'amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all'identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano(2).

2. La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all'articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all'articolo 10 del Regolamento, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1 o se necessaria ai sensi del comma 1-bis(2). [In mancanza di tale norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati.](3)

3. La diffusione e la comunicazione di dati personali, trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste ai sensi del comma 1 o se necessarie ai sensi del comma 1-bis. In tale ultimo caso, ne viene data notizia al Garante almeno dieci giorni prima dell'inizio della comunicazione o diffusione(4).

4. Si intende per:

  1. a) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2 quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;
  2. b) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Note

(1) Il D.L. 8 ottobre 2021, n. 139, convertito con modificazioni dalla L. 3 dicembre 2021, n. 205, ha disposto (con l'art. 9, comma 5) che "Gli articoli 2-ter, comma 1, 2-sexies, comma 1, e 58, commi 1 e 2, del codice di cui al decreto legislativo n. 196 del 2003 [...], come modificati dal presente articolo, si applicano anche ai casi in cui disposizioni di legge già in vigore stabiliscono che i tipi di dati che possono essere trattati, le operazioni eseguibili, il motivo di interesse pubblico rilevante, la finalità del trattamento nonché le misure appropriate e specifiche per tutelare i diritti fondamentali dell'interessato e i suoi interessi sono previsti da uno o più regolamenti".
(2) Tale comma è stato introdotto dall'art. 9, comma 1, lettera a), del D.L. 8 ottobre 2021, n. 139.
(3) Tale periodo è stato soppresso dall'art. 9, comma 1, lettera a), del D.L. 8 ottobre 2021, n. 139.
(4) Tale comma è stato modificato dall'art. 9, comma 1, lettera a), del D.L. 8 ottobre 2021, n. 139.

Notizie giuridiche correlate all'articolo

Tesi di laurea correlate all'articolo

Hai un dubbio o un problema su questo argomento?

Scrivi alla nostra redazione giuridica

e ricevi la tua risposta entro 5 giorni a soli 29,90 €

Nel caso si necessiti di allegare documentazione o altro materiale informativo relativo al quesito posto, basterà seguire le indicazioni che verranno fornite via email una volta effettuato il pagamento.

SEI UN AVVOCATO?
AFFIDA A NOI LE TUE RICERCHE!

Sei un professionista e necessiti di una ricerca giuridica su questo articolo? Un cliente ti ha chiesto un parere su questo argomento o devi redigere un atto riguardante la materia?
Inviaci la tua richiesta e ottieni in tempi brevissimi quanto ti serve per lo svolgimento della tua attività professionale!

Consulenze legali
relative all'articolo 2 ter Codice della privacy

Seguono tutti i quesiti posti dagli utenti del sito che hanno ricevuto una risposta da parte della redazione giuridica di Brocardi.it usufruendo del servizio di consulenza legale. Si precisa che l'elenco non è completo, poiché non risultano pubblicati i pareri legali resi a tutti quei clienti che, per varie ragioni, hanno espressamente richiesto la riservatezza.

PATRIZIA A. chiede
giovedì 14/05/2020 - Lombardia
“Buongiorno, sono presidente di una associazione di promozione sociale di Bergamo.
Volevo chiedere se sono autorizzata a disattivare gli account di posta elettronica di due persone che si sono licenziate e non collaborano dunque più con noi.
Premesso che ho provveduto a disattivarli, ora le stesse minacciano di ricorrere ai legali in quanto all'interno delle loro mail vi erano dati sensibili loro e dunque andavano avvisate prima di questo blocco.
Domanda nr. 1: loro si sono licenziate: sono obbligata ad avvisare della disattivazione dell'account posta dell'associazione?
Domanda nr. 2: è mio diritto disattivare tali account proprio perchè contengono sicuramente dati sensibili dei miei associati?
Premetto che, purtroppo, non è mai stata fatta firmare alcuna procedura sull'utilizzo corretto dei sistemi informativi.

Consulenza legale i 19/05/2020
Con riferimento al quesito oggetto del presente parere il datore di lavoro non solo può, ma ha lo specifico dovere di chiudere l'indirizzo di posta elettronica del dipendente dimissionario o licenziato e di cancellarne i contenuti.

In tal senso si è pronunciato anche il Garante della privacy che, con il provvedimento n. 216 del 4 dicembre 2019, ha dichiarato illecito il trattamento di una società che mantiene attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro.
Infatti, secondo l’Autorità lo scambio di corrispondenza elettronica (estranea o meno all’attività lavorativa) su un account di tipo individualizzato con soggetti interni o esterni alla compagine aziendale configura un’operazione che consente di conoscere alcune informazioni personali relative all’interessato, anche relativamente ai dati c.d. esterni delle comunicazioni (data, ora, oggetto, nominativi di mittenti e destinatari).
Pertanto, il datore di lavoro, in conformità ai principi in materia di protezione dei dati personali, dopo la cessazione del rapporto di lavoro deve rimuovere gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili (in un tempo ragionevole commisurato ai tempi tecnici di predisposizione delle misure), previa disattivazione degli stessi e con contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento, provvedendo altresì ad adottare misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione.
Tali misure organizzative consentono di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

Per quanto riguarda l’ulteriore avviso che dovrebbe essere inviato a tutti gli interlocutori interessati riguardo al fatto che la suddetta mail non esisterà più e che si potrà fare riferimento a un nuovo indirizzo e-mail, sembrerebbe rispondere più all'esigenza dell’impresa di continuità nella gestione della propria attività, piuttosto che all’interesse del lavoratore di essere informato della cancellazione di dati sensibili.
Non sembra pertanto che i dipendenti in questione possano vantare un diritto in tal senso.

Si consiglia, tuttavia, per il futuro, di stilare un protocollo dell’associazione circa l’utilizzo corretto dei sistemi informativi nel quale inserire anche le procedure da seguire per quanto riguarda la posta elettronica del dipendente dimissionario o licenziato, secondo le direttive del Garante della privacy.