Data Protection Systems in the European Union: The Italian Experience

de Azevedo Cunha, Mario Viola

doi:10.1007/978-94-007-6085-1_5

Mario Viola de Azevedo Cunha⁴

Part of the book series: Law, Governance and Technology Series ((LGTS,volume 9))

1073 Accesses

Abstract

The objective of this chapter is to analyse the Italian data protection system in order to allow a comparative exercise with the experience of the other two selected EU Member States (France and UK), with an eye towards possible improvements of the EU Data Protection Framework. Firstly, five main aspects will be analysed, namely the role of the data protection authority, the concept of personal data, data subjects’ rights, the processing of sensitive data and the processing by the case-studies (banking, credit information suppliers and insurance industries). Then it will concentrate on codes of conduct and on necessity and data minimisation principles

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution

eBook: USD 16.99; Price excludes VAT (USA)

Softcover Book: USD 109.99; Price excludes VAT (USA)

Hardcover Book: USD 109.99; Price excludes VAT (USA)

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Notes

1.
DONEDA, Danilo. Um código para a proteção de dados na Itália. Revista Trimestral de Direito Civil, Rio de Janeiro, v. 16, out/dez. 2003. P. 121.
2.
Ibid. P. 123.
3.
Ibid. P. 124.
4.
Ibid. P. 127.
5.
See Garante per la protezione dei dati personali. Resolution n 9 of the Italian Data Protection Authority on balancing of interests: data collection by CRAs without consent (Adopted on 16 November 2004), where it expressly recognises that anonymous data that are processed for statistical purposes fall outside the scope of application of the Data Protection Code. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1671380. Accessed 27 January 2010.
6.
Doneda, Danilo. Ob. cit. P. 131.
7.
Ibid. P. 131.
8.
Article 158(1) and (3) of the Italian Data Protection Code. Official translation available at http://www.garanteprivacy.it/garante/document?ID=311066. Accessed 10 November 2010.
9.
Garante per la protezione dei dati personali. Relazione 2004—L’attuazione del Codice nel quadro della Costituzione per l’Europa. http://www.garanteprivacy.it/garante/document?ID=1093820. Accessed 15 December 2010. P. 61. “Nella nozione di dato personale rientra ‘ogni informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale’ (art. 4, comma 1, lett. b), del Codice). Il Garante ha pertanto accolto un ricorso (Provv. 23 luglio 2004) avente ad oggetto l’accesso ai dati relativi alle registrazioni telefoniche degli ordini di negoziazione effettuati dal ricorrente, secondo le disposizioni di cui al regolamento Consob n. 11522/1998. Anche in tali fattispecie viene infatti effettuato un trattamento di dati personali (qui la voce del cliente) e sono pertanto proponibili le istanze ex art. 7 del Codice.”
10.
See article 2(a) of Directive 95/46/EC.
11.
BIANCA, Cesare Massimo; BUSNELLI, Francesco Donato. Op. cit. P. 25. “Nonostante l’art. 2, comma 1 del Codice non specifichi pi\( \mbox{\`{u}} \) espressamente, come invece faceva l’art. 1, comma 1 della l. n . 675 del 1996, che la tutela dei dati personale \( \hbox{\`{e}} \) prevista anche a favore delle persone giuridiche, dal tenore complessivo del Codice emerge chiaramente che alche questi vedono protetti i propri dati personali: già la definizione del dato personale (art. 4, comma 1, lett. b) del Codice) e quella dell’interessato (art. 4, comma 1, lett. i) del Codice) prevedono espressamente persone giuridiche, enti e associazioni come soggetti destinatari della protezione delle informazioni che li riguardano.”
12.
See Article 2(a) of Directive 95/46/EC.
13.
BIANCA, Cesare Massimo; BUSNELLI, Francesco Donato. Op. cit. P. 52. “Cio trova peraltro conferma nell’assoluta mancanza di ogni ulteriore determinazione in ordine alla personalità del dato nella formula utilizzata dal legislatore, la quale richiede soltanto che l’informazione sia riferibile, direttamente, ad um soggetto determinato o determinabile. In quest’ottica sembra si debba considerare superata una lettura dell’analoga disposizione della direttiva comunitaria n. 95/46/CE (art. 2, a), la quale nell’indicazione che il riferimento del dato al soggetto può avvenire anche attraverso <<elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale>>, vedeva nei primi informazioni strettamente legale alla persona fisica, mentre in quelle relativi all’identità economica, culturale e sociale notizie relative ad interessi meno legali alla persona fisica e come tali suscettibili di essere valutati anche in chiave transpersonale: per quanto tale chiavi di lettura avesse l’apprezzabile intento di fondare l’estensione della tutela anche in favore delle persone giuridiche, le quali avrebbero interessi omologhi a quelli delle persone fisiche relativamente alle informazioni della seconda categoria, essa non appare condivisibile né sul piano comunitario, né su quello del diritto interno.”
14.
See Article 2(a) of Directive 95/46/EC.
15.
Article 9(3) of the Italian Personal Data Protection Code.
16.
Tribunale di Roma, Sent. 2/6/00, http://www.ictlex.net/?p=784. Accessed 1 August 2011.
17.
Cesare Massimo Bianca and Francesco Donato Busnelli, Op. cit.: 54.
18.
The Italian Code of Conduct and Professional Practice applying to processing of personal data for statistical and scientific purposes lists in its article 4(1) some means that can be considered as reasonable for identifying a data subject. www.garanteprivacy.it/garante/doc.jsp?ID=1115480. Accessed 23 December 2010.
19.
Directive 95/46/EC.
20.
Integration means to add information to clarify the interpretation of data included in a specific database.
21.
“(…) il blocco del trattamento deriva l’obbligo, per il titolare, di sospendere ogni altra operazione di trattamento diversa dalla mera conservazione delle informazione già raccolte e, in particolare, di astenersi dal diffondere ulteriormente i dati, anche in modo indiretto; pertanto, ad esempio, ove il blocco sia stato adottato asseguto dell’avvenuta divulgazione di alcune informazione a mezzo di un articolo giornalistico, l’obbligo di astensione dall’ulteriore diffusione dei dati può anche comportare il divieto, per il quotidiano e la società editrice, di pubblicare il testo del provvedimento cautelare adottato del Garante (Gar. 16.2.2000, Boll. N. 11/12, p. 21—Mass. 87).” Acciai, Riccardo. Il codice della privacy—Annotato con la giurisprudenza e le decisione del Garante. Maggioli: 2007. P. 55.
22.
“L’art. 7, 2º comma, del Codice fornisce un elenco dettagliato delle informazione che l’interessato ha diritto di ottenere con riguardo al trattamento in corso. Alcune di questi informazione erano già presente nella formulazione del <<vecchio>> art. 13 della legge nº 675/1996: ad esempio, le finalità e le modalità del trattamento, la logica applicata al trattamento medesimo, gli estremi identificativi del titolare e del responsabile. Altre informazione, invece, sono di nuovo come: l’origine dei dati personali e l’indicazione—anche per categoria—dei soggetti ai quali i dati personale possono essere comunicati o che possono venirne a conoscenza. Attraverso tali informazione viene ampliato in maniera significativa lo spettro di notizie che l’interessato può ottenere in merito ai trattamenti che lo riguardano.” Cuffaro, Vincenzo et al. (editor). Op. cit. P. 75.
23.
Concerning the notification about the exercise of the rights mentioned in letters a and b of Article 7(3) to all entities that were communicated or to which personal data was disseminated, the same provision states that such notification can be disregarded if “this requirement proves impossible or involves a manifestly disproportionate effort compared with the right that is to be protected.”
24.
See Article 146(2).
25.
See Article 11(1)(a).
26.
“Il ricorso del Garante per fare valere i diritti di cui all’art. 7, può essere proposto soltanto dopo che la relativa richiesta sia stata presentata al titolare o al responsabile del trattamento e non sia stata adottata nessuna misura decorsi quindici giorni, ovvero sia stato opposto un esplicito diniego, anche soltanto parziale.” Panetta, Rocco. Op. cit. P. 425.
27.
To present a complain to the Garante, the data subject has first to try to exercise his/her rights directly with the data controller and only if it is rejected or if he/she does not receive a reply within 15 days it can go to the Garante. There is one exemption to this rule that is the case of risk of imminent and irreparable harm to the person (Article 146 (1)). See also Panetta, Rocco. Op. cit. P. 426.
28.
“I diritto dell’interessato possono essere fatti valere sia di fronti all’autorità giudiziaria, sia mediante ricorso al Garante. Si tratta di due percorsi alternative che si escludono reciprocamente, perché se l’interessato sceglie di ricorrere al Garante non può poi adire anche l’autorità giudiziaria e viceversa.” Panetta, Rocco. Op. cit. P.425.
29.
See Article 4(1)(d).
30.
See Article 4(1)(e).
31.
“I dati definiti sensibili, pertanto, si caratterizzano per la particolare capacità di incidere sulla riservatezza dell’individuo cui si riferiscono e di determinare rischi di discriminazione sociale.” Panetta, Rocco. Op. cit. P. 1071.
32.
Article 20(3).
33.
Article 22 (3)—Public bodies may process exclusively such sensitive and judicial data as are indispensable for them to discharge institutional tasks that cannot be performed, on a case by case basis, by processing anonymous data or else personal data of a different nature.
34.
Panetta, Rocco. Op. cit. P. 1103.
35.
Ibid. P. 1072.
36.
Sartor, Giovanni; Viola de Azevedo Cunha, Mario. The Italian Google-Case: Privacy, Freedom of Speech and Responsibility of Providers for User-Generated Contents. International Journal of Law and Information Technology. Oxford University Press (2010). P. 7.
37.
Article 27(1).
38.
Article 40 (General Authorisations) 1. The provisions of this Code referring to an authorisation to be granted by the Garante shall also be implemented by issuing authorisations applying to specific categories of data controller or processing, which shall be published in the Official Journal of the Italian Republic.
39.
Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1822566. Accessed 7 April 2012.
40.
3. Purposes of the Processing
The processing of sensitive data must be indispensable
1. (a)
  in order to perform or enforce performance of specific obligations, or else to discharge specific tasks as provided for by Community legislation, laws, regulations or collective agreements, also related to individual businesses, particularly with a view to setting up, managing and terminating employment relationships or else in order to apply provisions related to social security and assistance, including social allowances, occupational or population hygiene and safety, taxation, trade unions, health care, and public order and security;
2. (b)
  for account-keeping purposes or the payment of salaries, allowances, premia, other kinds of remuneration, gifts or fringe benefits, also irrespective of the cases referred to under a), in accordance with the law and for specific, legitimate purposes;
3. (c)
  for the protection of either the data subject’s or a third party’s life or bodily integrity;
4. (d)
  for the establishment or defence of a legal claim, also by third parties, before judicial authorities, administrative authorities, and in arbitration or settlement proceedings in the cases provided for by laws, Community legislation, regulations or collective agreements, on condition that the data are only processed for said purposes and for no longer than is absolutely necessary to achieve these purposes. If the data are suitable for disclosing health and sex life, the said claim shall have to be of an equal level compared with the data subject’s one or must consist in a personal right and/or another fundamental, inviolable right or freedom;
5. (e)
  in order to exercise the right of access to administrative records in compliance with the relevant laws and regulations;
6. (f)
  in order to fulfil obligations resulting from insurance contracts against risks related to employers’ liability for occupational health and safety and occupational diseases, or against any damage caused to third parties in the exercise of labour or professional activities;
7. (g)
  with a view to affirmative action policies;
8. (h)
  in order to pursue specific, legitimate purposes as set out in the by-laws of associations, organisations, federations or confederations representing employers’ categories or else in collective agreements with regard to the support provided by trade unions to employers. Official translation available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1699433. Accessed 14 August 2011.
41.
Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1822577. Accessed 7 April 2012.
42.
Another provision that could have an indirect impact on insurance is the one that allows the processing of health and sex life data for defensive investigations, since in some situations insurance companies use this service. See item 1.3(a) of the General Authorisation 2/2011-1.3. This authorisation shall also be granted in case the processing of data suitable for disclosing health and sex life is necessary.
1. (a)
  to carry out the investigations by defence counsel as per Act no. 397 of 07.12.2000 or else to establish or defend a legal claim also by third parties, including administrative proceedings and arbitration or settlement proceedings in the cases referred to in laws, Community legislation, regulations or collective agreements, providing the said claim either is of an equal level compared with the data subject’s one or consists in a personal right or another fundamental, inviolable right or freedom and the data are processed exclusively for said purposes and for no longer than is absolutely necessary therefor;” The same can be said about General Authorisations nº 4 (item 3(b)) and 6/2011 (item 2(b)), since both of them apply to investigative activities.
43.
1.2. This authorisation shall also be granted:
(e) to natural and legal persons, businesses, bodies, associations and other entities with regard to such data—including, if necessary, those concerning sex life—and operations as are indispensable to fulfil obligations, including pre-contractual obligations, resulting from a relationship that entails the supply of goods and/or services to the data subject. Where the said relationship concerns credit institutions and/or insurance companies, or if it has to do with securities, only such data and operations shall be considered to be indispensable as are required to supply specific products or services pursuant to a request by the data subject. The relationship may also concern the supply of visual, hearing or walking aids;
44.
5. Data Communication and Dissemination
Subject to the provisions made for genetic data in the aforementioned authorisation as adopted in pursuance of Section 90 of the DP Code, data suitable for disclosing health may be communicated—exclusively to the extent that they are relevant to the obligations, tasks and purposes referred to under (1)—to public and private bodies including private health insurance funds, businesses carrying out activities that are closely related either to the exercise of health care professions or to the supply of goods and services to the data subject, credit institutions and insurance companies, voluntary associations or organisations, and the data subject’s family members.
45.
These general authorizations are available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1822608 and http://www.garanteprivacy.it/garante/doc.jsp?ID=1822640. Accessed 7 April 2012.
46.
1. Scope of the Authorisation
(e) undertakings carrying out, on their own behalf, activities that are closely related and instrumental to those mentioned above as regards risk assessment, factoring, processing of a large amount of records, data transmission, packing and/or sorting of mail, and management of tax collectors’ offices [esattorie] or treasury departments [tesorerie];
(f) undertakings in the tourism, hostelling or transport sectors, travel agencies, and tour operators. Official translation available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1703161. Accessed 14 August 2011.
47.
See item 2.
48.
Chapter 4—Banking and Insurance Companies and Other Types of Processing
1. Scope of Application and Purposes of the Processing.
This authorisation shall be granted, without any request being necessary, to:
1. (a)
  businesses authorised and/or intending to be authorised to carry out banking, crediting, insurance or pension fund-related activities, also in case of their compulsory winding-up, with a view to establishing:
  1. 1.
    moral qualifications of partners and holders of executive and/or elective offices, as provided for by the relevant laws and regulations;
  2. 2.
    personal qualifications and grounds for disqualification exclusively where this is provided for by law;
  3. 3.
    liability for accidents and/or events relating to human life;
  4. 4.
    the existence of a concrete danger affecting appropriate discharge of insurance functions, as regards offences that are directly related to said functions. In the latter cases, the controller must provide the Garante with a detailed report on processing arrangements insofar as the processing concerns data contained in a specific database pursuant to Section 4(1), letter p), of the Code. Official translation available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1705708. Accessed 14 August 2011.
49.
See Item 1.4 of Title 4.
50.
It is important to mention the existence of a specific authorisation for an insurance company to process sensitive data related to religious beliefs. This company is a catholic insurance cooperative which process this kind of data in order to identify whether a person is catholic, because its statute allows only Catholics to become associates and to have better conditions when contracting an insurance coverage. The data will not be used to evaluate the risk but for the sole fact to confirm that a person is catholic and, thus, able to become an associate of the insurance cooperative. See Garante per la protezione dei dati personali. Autorizzazione al trattamento di dati sensibili da parte della Società cattolica di assicurazione—16 dicembre 2009. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1692886. Accessed 18 March 2010.
51.
“Diversamente da quanto avveniva nella legge n. 675/1996, dove si registrava l’assenza di una disciplina specifica per il trattamento dei dati genetici, con il <<Codice>> il legislatore ha dedicato a questo settore un intero Capo, il V, sebbene composto dal solo art. 90.” CUFFARO, Vincenzo et al. (editors). Op. cit. P. 437.
52.
“1- Preliminarmente occorre rilevare come nel testo legislativo in commento no esista una precisa definizione di <<dato genetico>> né, tantomeno, fino a poco tempo fa, alcun riferimento in proposito poteva essere ricavato da altre fonti del nostro ordinamento, per cui poteva, fino ad oggi, affermarsi che la normative in tema di dati genetici non avesse carattere definitivo, ma che fosse costituita, per lo pi\( \hbox{\`{u}} \), di disposizione di principio, volte a vietare le discriminazioni basate sui caratteri genetici.” Bianca, Cesare Massimo; Busnelli, Francesco Donato. Op. cit. P. 1345. Nowadays this problem is solved with the adoption of the General Authorisation for the Processing of Genetic Data.
53.
Article 90 (Processing of Genetic Data and Bone Marrow Donors)
1. 1.
  Processing of genetic data, regardless of the entity processing them, shall be allowed exclusively in the cases provided for in ad-hoc authorisations granted by the Garante, after having consulted with the Minister for Health who shall seek, to that end, the opinion of the Higher Health Care Council.
2. 2.
  The authorisation referred to in paragraph 1 shall also specify the additional items of information that should be contained in the information notice pursuant to Section 13, with particular regard to the purposes sought and the results to be achieved also in connection with the unexpected information that may be made known on account of the processing as well as with the data subject’s right to object to the processing on legitimate grounds.
54.
See Garante per la protezione dei dati personali. General authorisation no. 2/2005 concerning the processing of data suitable for disclosing health and sex life, which expressly refers (point 1.4) to authorisation no. 2/2002 (point 2, letter b)).
55.
In General Authorisation nº 2/98 the Garante have already regulated the processing of genetic data. Monducci, Juri; Pasetti, Giulia. Il trattamento dei dati sanitari e genetici. In Monducci, Juri; Sartor, Giovanni (editors). Op. cit. P. 275. “Prima del D.Lgs. 135/99 il Garante, nell’autorizzazione generale n. 2/98, aveva già consentito il trattamento dei dati genetici solo agli esercenti le professioni sanitarie, agli organismi sanitari pubblici e privati, alle organizzazione di volontariato, nonché a soggetti pubblici e privati per finalità di ricerca scientifica; e, sulla scorta dei pericoli connessi, aveva espressamente vietato il loro trattamento, oltre che alle comunità di recupero e di accoglienza, alle case di cura e di riposo e alle organizzazioni religiose, ad ogni soggetto che volesse procedervi per finalità contrattuali, precontrattuali o per l’attività sportiva.”
56.
Such authorisation was again replaced, keeping the same wording, by a new one adopted on 13 December 2012.
57.
Garante per la protezione dei dati personali. Autorizzazione generale al trattamento dei dati genetici—24 giugno 2011. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1822650. Accessed 8 August 2011.
58.
Some authors criticise the definition adopted by the Garante, saying that it would have been better to adopt the definition used by Recommendation nº R(97)5 of Council of Europe. In that sense, see Bianca, Cesare Massimo; Busnelli, Francesco Donato. Op. cit. P. 1355. “(…) ciò suggerirebbe di privilegiare la definizione di dato genetico che si ricava alla raccomandazione che, in quanto pi\( \hbox{\`{u}} \) articolata e, quindi, pi\( \hbox{\`{u}} \) efficace del bene protetto.”
59.
The General Authorisation presents many other definitions, such as ‘biological sample’, ‘pharmacogenetic test’, ‘individual variability test’, ‘genetic screening’, ‘genetic counselling’ and ‘genetic information’. See Article 1 of the General Authorisation for the Processing of Genetic Data. Op. cit.
60.
“Whereas any other processing operations concerning genetic data that are not referred to herein shall be regarded as unlawful except for those mentioned above, including employers’ activities aimed at establishing employees’ and/or job candidates’ professional eligibility, irrespective of whether such activities are grounded on the data subjects’ consent, and the activities carried out by insurance companies” (Recital of the General Authorisation for the Processing of Genetic Data).
61.
“L’authority di vigilanza avverte, però, che una <<personalizzazione esasperata della costruzione tariffaria, conseguente all’accesso indiscriminato alle informazione fornite attraverso i testi genetici, potrebbe condurre alla quantificazione di livelli di premio talmente elevate da precludere la possibilità di usufruire della copertura assicurativa proprio a quei soggetti che pi\( \hbox{\`{u}} \) necessitano di tale servizio>>, stravolgendo la logica tipica dell’assicurazione che vuole che il rischio sia ripartito su una platea larga di soggetti.” Ibid. P. 1153.
62.
“Considerato che, fuori dei casi appena indicati, ulteriori trattamenti di dati genetici non ricompresi nella presente autorizzazione non risultano allo stato leciti, anche in riferimento all’attività dei datori di lavoro volta a determinare l’attitudine professionale di lavoratori o di candidati all’instaurazione di un rapporto di lavoro, anche se basata sul consenso dell’interessato, nonché all’attività delle imprese di assicurazione.” Last recital of the General Authorisation for the Processing of Genetic Data. Op. cit.
63.
Article 2 (a) to (h).
64.
Point 3 of the General Authorisation for the Processing of Genetic Data establishes the purposes for which the processing of genetic data can be carried out:
“3. Purposes of the Processing
Such genetic data may be processed as are closely relevant to the purposes mentioned below, where they may not be achieved, on a case by case basis, by processing either anonymous data or personal data of a different nature:
1. (a)
  health care, with particular regard to genetic diseases, and protection of the data subject’s genetic identity, with the data subject’s consent, except for the provisions made in sections 26 and 82 of the Code for the case where a data subject is unable to provide his/her consent because legally incapable, physically impaired, or mentally disabled;
2. (b)
  health care, with particular regard to genetic diseases, and protection of the genetic identity of a third party belonging to the same genetic line as the data subject, where consent has not or may not be provided because of legal incapacity and/or physical impairment or mental disability; this shall apply to such genetic data as have already been collected, if the processing is indispensable to allow the third party in question to make informed reproductive choices or is justified by the availability of preventive care and/or treatment in respect of the said third party;
3. (c)
  scientific and statistical research with a view to protecting the community’s health in the medical, biomedical and epidemiological sectors, providing that the availability of exclusively anonymous data on population samples does not allow the research purposes to be achieved, whereby the said research shall be carried out with the data subject’s consent except for the statistical surveys and/or scientific researches provided for by law.
Within the framework of the purposes mentioned under a. and b. above, this authorisation shall also be granted exclusively for the purpose of allowing the authorised entities to fulfil specific obligations and/or ensure that such obligations are fulfilled, or to discharge specific tasks set out in Community legislation, laws and/or regulations with particular regard to public health and hygiene, prevention of occupational diseases, diagnosis and treatment including organ and tissue transplantation, rehabilitation from physical and mental disability and/or impairment, protection of mental health, and pharmaceutical assistance pursuant to the law. The processing operations may also concern the filling out of health records, certifications and other health care documents.
This authorisation shall also be granted if the processing of genetic data is indispensable:
1. (a)
  for defence counsel to carry out the investigations referred to in Act no. 397 of 7 December 2000, also by the agency of alternates, technical experts and/or authorised private detectives, or else to establish or defend a legal claim, whether related to a third party or not, also without the data subject’s consent—except where the processing requires the performance of genetic tests. The foregoing provisions shall apply on condition the claim to be established or defended is not overridden by the data subject’s one or consists in a personal right or another fundamental, inviolable right or freedom, and if the data are only processed for those purposes and for no longer than is absolutely necessary to achieve such purposes. The processing must be carried out in compliance with the general authorisations issued by the Garante for the processing of sensitive data by self-employed professionals and private detectives (authorisation no. 4/2005 and no. 6/2005, respectively). The processing may also concern the information related to medical history and/or the data subject’s family members.
2. (b)
  To fulfil specific obligations or ensure that specific obligations are fulfilled, or to discharge specific tasks as set out expressly in Community instruments, laws and/or regulations applying to social security and welfare, occupational and/or population safety and hygiene, also without the data subject’s consent, in compliance with the limitations laid down in the Garante’s general authorisation for the processing of sensitive data in the employment context (authorisation no. 1/2005) and without prejudice to the provisions contained in the code of practice referred to in section 111 of the Code. The processing may also concern the information related to medical history and/or the data subject’s family members.
3. (c)
  To establish consanguinity with a view to family reunion in respect of non-EU nationals, stateless persons, and refugees pursuant to legislative decree no. 286 of 25 July 1998. In particular, the processing of genetic data that is carried out in spite of the availability of alternative procedures entailing no processing of such data shall not be regarded as indispensable.”
65.
“Negli Stati Uniti, infatti, si sono verificati casi in cui molte persone hanno deciso di non sottoporsi a test genetici, pur necessari per la tutela della loro salute, nel timore che le informazioni potessero giungere a conoscenza di datori di lavoro e assicuratori. Queste persone hanno compiuto una <<scelta tragica>>, al fine di evitare di perdere il posto di lavoro o la possibilità di stipulare un contratto di assicurazione, sacrificando cosi la propria salute.” Panetta, Rocco. Op. cit. P. 1130.
66.
The Code of Conduct was subscribed by ABI—Associazione bancaria italiana, FEDERCASSE—Federazione italiana delle banche di credito cooperative, ASSOFIN—Associazione italiana del credito al consumo e immobiliare and ASSILEA—Associazione italiana leasing, which are the trade associations of the financial sector in Italy.
67.
Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1478096. Accessed 27 January 2010.
68.
See item 1.1.
69.
See items 1.1 and 1.2.
70.
The Guidelines present the main requirements the Italian Data Protection Code imposes to banks for the processing to be lawful. According to the Guidelines “the data protection Code requires the data to be processed:
only by the persons in charge of the processing (and/or the data processors, where appointed) within the framework of the authority conferred on them;
in compliance with data minimization and data quality principles as regards data accuracy and updating (sections 3 and 11);
by informing data subjects appropriately beforehand;
by only requesting the data subjects’ consent if no other precondition for the processing can be fulfilled by having also regard to the nature of the data (sections 23, 24, 26, and 43);
in compliance with the requirements laid down in the (general) authorisations issued by the Garante as for sensitive or judicial data (sections 26 and 27);
by taking suitable security measures in order to prevent certain events (in particular, unauthorised accesses and/or use of the data), for which a bank might be regarded as liable under both civil and criminal law (sections 15, 31 et seq., 167, and 169).”
71.
See item 2.2, last paragraph.
72.
See Garante per la protezione dei dati personali. Quando identificare e fotocopiare i documenti di riconoscimento dei clienti. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1189435. Accessed 27 January 2010.
73.
See item 2.3.
74.
The Garante also highlights the right of access of data subjects regarding the content of the recordings. See item 2.3, last paragraph.
75.
Item 2.4, last paragraph.
76.
See item 3.4.
77.
This processing will be analysed in the next topic (5.5.1.1).
78.
“This means that, for instance, it is unnecessary to produce the whole bank statements containing personal data (relating e.g. to third parties) that are irrelevant for the purpose of defending the claim in question” (item 4, 3rd paragraph).
79.
Article 10(7) states that a fee can be charged if it is not confirmed that personal data concerning the data subject exist in the ‘hands’ of the controller.
80.
“For instance, it is not allowed to communicate the name of the payee of the balance of the deceased person’s account because this information does not relate to the deceased consumer, but to a third party—of course this does not apply if the account was held jointly by the applicant for access and the deceased person. By the same token, it is not permitted to grant a request for access to the personal data relating to a deceased person if the request is aimed at becoming apprised specifically of the name of the person deceased had entrusted with performing certain banking transactions” (Item 5.3, last paragraph).
81.
“Except where the data are communicated because this is instrumental to the activities requested and/or the services provided—in which case the data subject’s consent is unnecessary under section 24(1)b, of the DP Code—banks and the staff in charge of performing banking operations must keep confidential all the data at issue” (item 3.1, 2nd paragraph).
82.
In a case where the father of a bank account holder was contacted by the municipal police regarding the debit of his son with the bank the Garante considered that there was a violation of the Data Protection Code and a consequent unlawful communication of personal data. See Garante per la protezione dei dati personali. Opinion of 28 May 2009 (Dati bancari: illecita comunicazione). Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1624734. Accessed 27 January 2010. “VISTO il reclamo pervenuto in data 16 gennaio 2008, con cui XY, rappresentato dall’avv. Conte, ha lamentato l’illecita comunicazione al padre WZ, di informazioni bancarie a sé riferite da parte della filiale di KW di Intesa SanPaolo. Tale comunicazione sarebbe avvenuta il 16 agosto 2006 a seguito della convocazione di WZ presso l’istituto bancario—per il tramite della polizia municipale del comune di residenza –, il quale, “messo a conoscenza di una grave situazione debitoria in capo al figlio, con tanto di indicazioni di cifre di scoperto e del dettaglio di tutti i movimenti del CC in oggetto”, provvedeva a pagare i titoli in scadenza (cfr. reclamo, p. 2) (…) RILEVATO che alla luce della documentazione in atti e delle dichiarazioni rese dalle parti, ai sensi e per gli effetti di cui all'art. 168 del Codice, il comportamento tenuto dal personale della banca, ancorché i fatti si fossero svolti secondo la versione dalla stessa resa, ha determinato un trattamento di dati personali non conforme a correttezza (art. 11, comma 1 lett. a) del Codice) e che non risulta essere stato previamente autorizzato dall’interessato (art. 23 del Codice), ben potendo la banca, una volta acquisito il recapito telefonico ricercato, mettersi in contatto, in assenza del padre, con XY, informarlo circa la presentazione all’incasso dei titoli e delle conseguenze derivanti dal loro mancato pagamento e, quindi, rimettere ad un’autonoma scelta dello stesso le successive iniziative da assumere (cfr. Provv. 8 marzo 2007, in www.garanteprivacy.it, doc. web n. 1390910; Provv. 25 ottobre 2007, Linee guida per trattamenti dati relativi al rapporto banca-clientela, doc. web n. 1457247, punto 3.2);”
83.
See item 3.2.
84.
This means the transfer of customer’s data to the new owner of the Bank.
85.
The Centralised system for low-level risk assessment will be analysed in topic 3.1.9.1.
86.
Garante per la protezione dei dati personali. Opinion of 23 July 2009 (Dati bancari: accesso non autorizzato e misure di sicurezza). Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1640294. Accessed 27 January 2010. “In data 21 marzo 2007 veniva notificato alla segnalante un pignoramento presso terzi sul nuovo conto corrente. Non potendo, a detta della segnalante, il creditore oppignorante essere a conoscenza dell’esistenza del nuovo conto corrente, tale informazione sarebbe stata frutto di ‘una violazione della privacy da parte degli addetti alla filiale di Pomigliano D’Arco del San Paolo Banco di Napoli S.p.A., unici che hanno potuto fornire [al creditore] le notizie di cui si è avvalso per la notificazione del precisato atto’ (cfr. segnalazione cit.). (…) ritenuto illecito il trattamento di dati personali effettuato presso Banco di Napoli S.p.A. da un proprio incaricato (punto 3), ai sensi dell’art. 154, comma 1, lett. c), del Codice, prescrive a Banco di Napoli S.p.A. di adottare, immediatamente e comunque non oltre il 30 settembre 2009, idonee misure organizzative e idonee misure di sicurezza tese sia a garantire la scrupolosa vigilanza sull’operato degli incaricati, sia a sensibilizzare gli stessi incaricati al rispetto delle istruzioni ricevute in occasione di iniziative formative (prescritte dalla regola 19.6 dell’Allegato B) al Codice) (punto 3)”.
87.
“With regard to the processing of personal data, including data related to credit relationships evolving “flawlessly” [positive information], the private entities managing the aforementioned information systems must obtain the data subjects’ free, informed consent—possibly by the agency of the participating entities -, which must be given specifically in connection with the individual processing operations pursuant to both the Code (Section 23) and the aforementioned code of conduct and professional practice. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1671380. Accessed 27 January 2010.
88.
See item 3.3,
89.
JENTZSCH, Nicola. Op. cit. P. 84. “Italy: The country has a public credit registry at the central bank, which was established in 1962 as a Central Credit Register (Centrale dei Rischi) with a focus on monitoring systemic risk. There is a high threshold of 77.500 Euro. It registers bank loans and informs participants about the aggregate indebtedness (Banca d’Italia 2005). But there are other information sharing mechanisms in the country: Centrale Rischi Finanziaria (CRIF) and Consorzio per la Tutela del Credito (CTC). Whereas CRIF is a for-profit institution, CTC is non-profit and collects only negative information. Otherwise, the Italian system is one of positive and negative information sharing. CRIF connects 440 financial institutions (CRIF 2005) and manages over 30 million credit files. The company has expanded European-wide in the 1990s and has even entered the U.S. market. Across the Atlantic, in Mexico, it pairs up with the TransUnion. CTC is a creation of the association of Italian financial service providers, particular car finance. The database is more focused on non-banking institutions, whereas CRIF focuses on the banking industry. A third player in the market is Experian Information Services S.p.a. in Rome—this credit bureau of Experian in Italy was founded in 1995. In 2004, the company acquired 100% ownership of Equifax Italy SRL. The latter was founded in 2000 when Equifax acquired the company SEK but then exited the market as the competition apparently made it unattractive.” There is another type of “credit supplier” in Italy, that is something “in between” the public register and the credit bureau, that is the controller of the “Sistema centralizzato di rivelavazione dei rischi di importo contenuto” (Centralised system for low-level risk assessment). This system, that is controlled by Interbancaria per l’Automazione (SAI-SSB) S.p.A., however, is being incorporated by the Centralised risk service managed by the Italian Central Bank, according to Decree n. 374 of 22 September 2008 of the Minister of Economy and Finance.
90.
Credit Reference Agency, Credit Reporting Agency or Firm and Credit Registry are synonyms of Credit Bureau. See Ferretti, Federico. Op. cit. P. 3.
91.
Ferretti, Federico. Op. Cit. P. 4.
92.
There is another centralised database managed by the Italian Central Bank, called “Centrale d’allarme interbancaria” (Bank Alert System), regulated by Legislative decree no. 507/1999, which is a computerised register of bank cheques and postal orders as well as of debit cards. About the application of Data Protection rules to this “register” see Garante per la protezione dei dati personali. Guidelines for the Processing of Customers’ Data in the Banking Sector—25 October 2007—As published in Italy’s Official Journal no. 273 dated 23 November 2007. Item 3.4. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1478096. Accessed 29 March 2009. “Based on the cases addressed by the Garante, it appears that the entities reporting information to the BAS should take special care in establishing whether the personal data at issue are accurate and complete, in particular with a view to preventing inclusion in the BAS of data related to identity theft victims; at all events, the data should be rectified and/or deleted timely, also following exercise of the data subjects’ rights of access. The same applies to the individuals correctly reporting theft and/or loss of cheques, who at times are the subject of alerts entered because those cheques have been used unlawfully (e.g. in the case of bounced cheques, or cheques issued without authorisation, etc.).
The entities entering alerts in the BAS should process the data lawfully, i.e. in compliance with the sector-specific legislation applying to the register, as well as fairly (pursuant to section 11(1).a of the DP Code).
It should be pointed out that alerts may also be entered lawfully if a cheque is “withdrawn” by the negotiating bank, since the offence is committed at the time the cheque is issued if the cheque was issued without authorisation, whilst it is committed at the time the cheque is presented for payment in the case of cheque bouncing.
As regards bounced cheques, it should be recalled that no alerts may be entered in the BAS if the debtor timely complies with the requirements listed in section 8 of the relevant Act (386/1990). Additionally, an alert concerning the drawer/maker may not be entered if the bank preferring the information failed to send out a withdrawal notice beforehand, given that an alert may only be entered after at least 10 days from the receipt of the said notice.”
93.
Section 1, items 2 and 3 of Circolare n. 139.
94.
These regulations are in accordance with Legislative Decree n. 385 of 1 September 1993 (Texto unico bancario) that is the general rule for the whole banking and financial system in Italy.
95.
There is also another system called “Centrale di Allarme Interbancaria”, which stores information about drawers of cheques emitted without authorization or funds. See http://www.bancaditalia.it/sispaga/servpag/cai/info\_norma/foglio\_informativo.pdf. Accessed 3 November 2010.
96.
Section 1, item 3 of the Circolare.
97.
Section 2, item 5 of the Circolare. The period of data retention, however, is not clearly defined in the Circolare n. 139, which establishes some limits for the access to information by banks and financial institutions, without defining a specific time-limit for storage personal information (See Section 1, item 9.1).
98.
Section 2, item 5 of the Circolare.
99.
Garante per la protezione dei dati personali. Provvedimento del 19 dicembre 2008. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1582849. Accessed 29 March 2009.
100.
Chapter 2, Sect. 2.1, item 5.
101.
See Decree n. 374 of 22 September 2008 of the Italian Minister of Economy and Finance.
102.
Corte Suprema di Cassazione Italiana. Prima Sezione. Sentenza n. 7958 de 1º aprile 2009. Available at http://www.cortedicassazione.it/Notizie/GiurisprudenzaCivile/SezioniUnite/SchedaNews.asp?ID=2442. Accessed 22 January 2010. “Dall’esame del complesso delle norme innazi richiamate si trae, dunque, Il convincimento che la Banca d’Italia, in relazione al trattamento dei dati personali effetuato dalla Centrale Rischi, non è estranea all’applicazione del codice in esame, essendo esclusi soltanto alcuni rimedi altrimenti a disposizione dell’interessato (…), mentre resta applicabile, ovviamente, la tutela giurisdizionale (…). Peraltro, che la Banca d’Italia non possa sottrarsi alla disciplina comune in tema di responsabilità civile nel tratamento dei dati discende dall’ovvia considerazione che, per errore di uno degli ‘incaricati’ (definiti come <<Le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile>>), la segnalazione da parte del responsabile potrebbe essere recepita e trattata in modo non corretto.”
103.
Garante per la Protezione dei Dati Personali. Provvedimento Del 26 luglio 2006. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1332498. Accessed 22 January 2010. “RITENUTO che il ricorso è inammissibile nei confronti della Banca d’Italia in quanto il trattamento dei dati effettuato da tale Istituto per la gestione della predetta Centrale dei rischi rientra tra quelli rispetto ai quali, ai sensi dell’art. 8, comma 2, lett. d), del Codice, non possono essere esercitati i diritti di cui all’art. 7, né può essere proposto ricorso al Garante al sensi dell’art. 145 del Codice”.
104.
Corte Suprema di Cassazione Italiana. Prima Sezione. Sentenza n. 7958 de 1º aprile 2009. “Si che appare tutto irrilevante la pronuncia del Garante richiamata dalla Banca d’Italia in sede di memória, con la quale è stato ritenuto inammissibile Il ricorso nei confronti della Banca d’Italia <<in quanto il trattamento dei dati effettuato da tale Istituto per la gestione della Centrale dei rischi rientra tra quelli rispetto ai quali, ai sensi dell’art. 8, comma 2, lett. d), del Codice, non possono essere esercitati i diritti di cui all’art. 7, ne può essere proposto ricorso al Garante ai sensi dell’art. 145 del Codice>>.”
105.
Article 8 (Exercise of Rights)
2. The rights referred to in Section 7 may not be exercised by making a request to the data controller or processor, or else by lodging a complaint in pursuance of Section 145, if the personal data are processed:
d) by a public body other than a profit-seeking public body, where this is expressly required by a law for purposes exclusively related to currency and financial policy, the system of payments, control of brokers and credit and financial markets and protection of their stability;
106.
Ferretti, Federico. Op. Cit. P. 4.
107.
Section 117—(Reliability and Timeliness in Payment-Related Matters)
1. 1.
  The Garante shall encourage, pursuant to Section 12, adoption of a code of conduct and professional practice for the processing of personal data that is carried out within the framework of information systems owned by private entities, where they are used to grant consumer credits or else concern data subjects’ reliability and timeliness in performing payments, by also laying down specific arrangements to facilitate communication of accurate, up-to-date personal data in compliance with data subjects’ rights.
108.
“Mentre le centrali rischi pubbliche travano la loro regulamentazione nel <<Texto Unico Banche>>, nelle delibere del Comitato interministeriale per il credito e il risparmio e nelle circolare della Banca d’Italia, quelle private difettavano, prima dell’adozione del Codice, di una disciplina vincolante, tanto da generare numerosi contenziosi davanti al Garante.” Cuffaro, Vincenzo et al. (editors). Op. cit. P. 834.
109.
“Si tratta di un sistema che si sviluppa attraverso differenti livelli. Un primo livello è rimesso all’operatività dei principi generali che regolano ogni tipologia di trattamento e che qui vengono oppontamente specificati; un secondo livello è legato alla selezione ed individuazione dei dati che possono essere trattati; un terzo livello riguarda le regole attinenti alla raccolta, alla registrazione ed all’utilizzazione dei dai; un quarto livello concerne i diritti dell’interessato; un ulteriore riguarda le misure sanzionatorie.” Panetta, Rocco. Op. cit. P. 1857.
110.
Article 1(c) (1) and (2).
111.
Article 1(e) (1), (2) and (3).
112.
“Furthermore, it shall not be allowed for third parties to access a credit information system except for the requests made by judicial and police authorities for purposes of justice, or else by other public institutions, authorities, administrative agencies and bodies exclusively in the cases referred to in laws, regulations and/or Community legislation as well as in compliance with the relevant provisions.” (Article 7(4)).
113.
Article 7(3).
114.
Ferretti, Federico. Op. Cit. P. 215. “(…) the new Law [code of conduct] sets out the limits to the use of consumer credit data, providing that they may only be processed for the purpose of protecting credit and limiting the risks of non-repayment by assessing the financial status of the data subjects and their creditworthiness. No other purposes may be pursued, especially in connection with marketing activities and/or promotion, advertising and/or direct selling of products or services.”
115.
Article 3(2).
116.
Concerning the processing of data from public sources, see Article 10 of the Code of Conduct and the observations of the Garante in its “Relazione 2007”:
Article 10 (Processing Data from Public Sources)
1. If the manager of a credit information system processes, whether directly or by the agency of subsidiary and/or related companies, personal data from public registers, lists, records or publicly available documents, in whatever manner, or if it provides participants with services to access the data from said sources, manager and participants shall be responsible for ensuring compliance with the principles reported below subject to the limitations and arrangements set out in the law as for availability and publicity of the data in question as well as to the provisions referred to in Section 61(1) of the Code:
1. (a)
  the personal data from public registers, lists, records or publicly available documents, if recorded, must be contained in personal data banks that are separate from and not connected with the credit information system;
2. (b)
  if a participant accesses personal data contained both in a credit information system and in any of the data banks referred to in letter a), the manager shall take suitable technical and organisational measures to ensure that the data from the credit information system can be separated and distinguished from those originating from other data banks, also by adding appropriate notices, so as to do away with any and all ambiguities as to the different nature and sources of the accessed data;
3. (c)
  if a credit application is not granted, the participant shall inform the data subject as to whether it has also consulted negative data contained in the data banks as per letter a) in order to investigate the credit application, and it shall specify the public source(s) of said data at the data subject’s request.
  
  Relazione 2007—16 luglio 2008—Parte II—L’ativittà del Garante
  
  “17.6. Brevi cenni sulla casistica
  
  (…) Negli ultimi mesi, peraltro, diversi provvedimenti hanno riguardato non l’archivio del sic propriamente ditto, ma quegli ulteriori e distinti archive dove gli operatori del settore conservano altri tipi di informazioni, quale le banche dati contenenti le informazioni ricavate dai tribunali e dai registri immobiliari. Si tratta di dati tratti da pubblichi registri che, in via generali, possono essere utilizzati senza il consenso degli interessati. Sono informazioni cui non si applica il codice di deontologia previsto per il settore del credito al consume, avendo la legge previsto la redazione dello specifico codice deontologico di cui all’art. 61 del Codice.
  
  Nei casi sottoposto all’esame dell’Autorità sono emersi, in particolare, profile connessi alla completezza ed esattezza dele informazioni rese disponibili. Ciò, con particolare riferimento all’utilizzo di espressioni (quali “atto colpito da annotamento”) che, in presenza dell’intervenuta cancellazione di un’ipoteca, risultavano equivoche e fuorvianti (v., fra gli altri, Provv. 21 febbraio 2008 [doc. web n. 1501246]). L’attenzione alla qualità dei dati ha, del resto, un ruolo fondamentale nella realtà economica contemporanea atteso che le informazione inesatte o incomplete possono rappresentare in maniera distorta l’identità e, in particolare, il profile impreditoriale degli interessati.” Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1549689. Accessed 21 January 2009.
117.
International Finance Corporation (IFC)—World Bank Group. Op. cit. P. 12. “A report that includes positive information allows the lender to more accurately assess the creditworthiness of a borrower. A database with negative-only information, excludes high-risk borrowers that have accumulated significant debt exposure without yet defaulting on any loans. In such instances, even a small shock to the borrower’s income could lead to cascading defaults on all of the accounts.”
118.
Article 4(6) (a).
119.
“consumer” shall mean a natural person who, in connection with a credit application/relationship, acts for purposes that cannot be related to his/her professional and/or business activity, if any (Article 1(f) of the Code of Conduct.
120.
8. Subject to the provisions made in paragraph 6, the data recorded in a credit information system shall be updated regularly at monthly intervals by the participant that has communicated them.
121.
Article 4(6) (b)1.
122.
Article 4(6) (a).
123.
Article 4(7).
124.
Article 5(6).
125.
Paragraph 9 of Article 6 states that “The provisions of this Article shall not apply to retention by a participant, for internal use, of contractual and/or accounting records containing the personal data related to a credit application/relationship.”
126.
“(…) if other events occur that are material to the payment, said information may be retained for no longer than 36 months as of the date on which the information had last to be updated or the relevant relationship was terminated.” (Article 6(5))
127.
“(…)In light of the requirement whereby the data should be complete in respect of the purposes to be achieved (see Section 11(1), letter d), of the Code), the aforementioned positive credit information may be retained further in the system if the latter contains negative credit information related to delays and/or defaults that have not been remedied with regard to other credit relationships concerning the same data subject. In the latter case, the positive credit information shall be removed from the system upon expiry of the term set out in paragraph 5 as to retention of the negative information recorded in the system in respect of any other credit relationships concerning said data subject.” (Article 6(6)).
128.
Ferretti, Federico. Op. Cit. P. 220–221. “When the personal data contained in a credit information system are also processed by means of credit scoring techniques, both CRAs and lenders are made responsible for ensuring that:
1. (i)
  such techniques may solely be used for investigating a credit application and/or managing a credit relationship already set up;(…)
2. (ii)
  in the event credit is not granted, the relevant lender has to inform the applicant as to whether it has consulted or made use of credit scoring techniques. Upon express request of the consumer, then, the lender shall provide him/her with those same data and explain both the logic underlying the operation of the scoring system and the main factors that have been taken into account in processing the application.”
129.
See also Article 7(2)(c) of the Codice
Article 7 (Right to Access Personal Data and Other Rights)
2. A data subject shall have the right to be informed
c) of the logic applied to the processing, if the latter is carried out with the help of electronic means.
130.
See Article 12 of the Code of Conduct:
Article 12 (Sanctions)
1. 1.
  Without prejudice to such sanctions as are provided for by the administrative, civil, and criminal laws in force, managers and participants shall jointly lay down, also by the agency of the associations underwriting this code, suitable mechanisms to impose sanctions that are proportionate to the seriousness of the relevant breaches, in particular as regards the trade associations underwriting this code as well as the body referred to in Article 13(7), after informing the Garante thereof. Such measures shall include an official warning, suspension or withdrawal of the authorisation to access the credit information system, and—in the most serious cases—publication of the news concerning the breach(es) in one or more dailies or magazines with nationwide circulation at the offender’s expense.
131.
“Se il carattere giuridico di uma fonte trova sicura conferma nella coercibilità, oltre che nell’originalità delle regole poste, parebbe che quest’ultimo codice possa a tutti gli effetti essere considerato una fonte giuridica.” Cuffaro, Vincenzo et al. Il codice dei trattamento dei dati personali. G. Giappichelli: Torino, 2007. P. 836.
132.
Article 120 (Car Accidents).
1. 1.
  The Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo (ISVAP) [Supervisory Body for Private Insurance] shall lay down procedural and operational mechanisms applying to the car accidents data bank that was set up to prevent and fight fraud in connection with the compulsory insurance for motor vehicles registered in Italy; further, the arrangements for accessing the information collected in said data bank as regards judicial authorities and public administrative agencies that are competent over prevention of and fight against fraud in the compulsory insurance sector as well as limitations on and arrangements for access to said information by insurance companies shall be set out.
2. 2.
  Personal data may be processed and communicated to the entities referred to in paragraph 1 in order to discharge the tasks referred to in said paragraph.
3. 3.
  To the matters that are not regulated by this Section there shall apply the provisions contained in Section 135 of the Private Insurance Code.
133.
Bravo, Fabio. Il trattamento dei dati nel settore bancario, finanziario ed assicurativo. In Monducci, Juri; Sartor, Giovanni (editors). Op. cit. P. 357. “Pi\( \hbox{\`{u}} \) rigoroso è stato l’approccio legislativo concernente il sistema informativo che attiene alla banca dati dell’ISVAP. Diversamente da quanto previsto per il sistema finanziario, in materia assicurativa la regolamentazione è stata fatta poggiare su di una fonte diversa, capace di garantire una maggior terzietà nel procedimento di formazione della norma.”
134.
Such provision goes in the same direction of Recommendation Rec(2002) 9 of the CoE Committee of Ministers, on the protection of personal data collected and processed for insurance purposes.
135.
Art. 135. Banca dati sinistri
1. 1.
  Allo scopo di rendere pi\( \hbox{\`{u}} \) efficace la prevenzione e il contrasto di comportamenti fraudolenti nel settore delle assicurazioni obbligatorie per i veicoli a motore immatricolati in Italia, è istituita presso l’ISVAP una banca dati dei sinistri ad essi relativi.
2. 2.
  Le imprese sono tenute a comunicare i dati riguardanti i sinistri dei propri assicurati, secondo le modalità stabilite con regolamento adottato dall’ISVAP. I dati relativi alle imprese di assicurazione che operano nel territorio della Repubblica in regime di libera prestazione dei servizi o in regime di stabilimento sono richiesti dall’ISVAP alle rispettive autorità di vigilanza degli Stati membri interessati.
3. 3.
  Le procedure di organizzazione e di funzionamento, nonché le condizioni e le limitazioni di accesso alla banca dati sono stabilite dall’ISVAP, con regolamento, secondo quanto previsto dall’articolo 120 del codice in materia di protezione dei dati personali.
136.
See Garante per la Protezione dei dati Personali; Istituto per la vigilanza sulle assicurazioni private e di interesse collettivo Join communication of 10 March 2003 (Communicato Congiunto del 10 marzo 2003). Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=34907. Accessed 28 January 2009.
137.
See ISVAP. Communicato Stampa del 18 Febbraio 2009. Available at http://www.isvap.it/isvap\_cms/docs/F20481/isvcs0218.pdf. Accessed 28 October 2010.
138.
Article 4.1.
139.
Article 8(4).
140.
Article 8(5).
141.
Article 8(6).
142.
According to Articles 9 and 11, also the UCI (Ufficio Centrale Italiano) and the CONSAP (Concessionaria servizi assicurativi pubblici S.p.a.) have access to this database. The UCI is “the body which has been set up by insurance undertakings authorized to conduct the business of motor vehicle insurance against civil liability and has been licensed to perform the functions of national insurers’ bureau in the territory of the Italian Republic and the other tasks envisaged by Community and Italian law.” CONSAP or Concessionaire for Public Insurance Services Ltd, in its turn, is in charge to manage the national guarantee fund. See http://www.isvap.it/isvap\_cms/docs/F5091/decreto\_7\_settembre\_2005\_\%20english\_version.pdf. Accessed 30 October 2010.
143.
Article 15.
144.
See Senato della Repubblica Italiana. Schede di Lettura: Disegno di legge A.S. n. 2809 “Istituzione di un sistema di prevenzione delle frodi nel settore dell’assicurazione della responsabilità civile derivante dalla circolazione dei veicoli a motore”. Luglio 2011. Nº 303. Available at http://www.senato.it/documenti/repository/dossier/studi/2011/Dossier\_303.pdf. Accessed 8 August 2011.
145.
See Garante per la protezione dei dati personali. Relazione 2000. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1335443. Accessed 26 March 2009. “Come per le banche, l’Autorit\( \hbox{\`{a}} \) è in procinto di completare, in collaborazione con la competente associazione di categoria, l’A.N.I.A., alcuni approfondimenti per addivenire ad una modulistica-tipo ancora pi\( \hbox{\`{u}} \) semplificata per l’informativa ed il consenso, che tenga conto della molteplicit\( \hbox{\`{a}} \) di trattamenti di dati personali, anche sanitari, posti in essere dalle compagnie assicurative e da un complesso di soggetti coinvolti nella c.d. catena assicurativa (a partire dagli agenti e dalla variegata rete di intermediari assicurativi per finire ai periti, ai legali ed alle autofficine).”
146.
“L’informativa, pur dovendo illustrare la (talora inevitabile) intensità dei flussi comunicativi, deve consentire all'interessato di rendersi conto con chiarezza dei medesimi; a tal fine essa deve indicare con precisione (evitando formulazioni generiche o dal significato oscuro, tenuto conto del destinatario della comunicazione) le finalità in concreto perseguite dalla compagnia di assicurazione, indicando altresì i soggetti o le tipologie di soggetti ai quali i dati possono essere comunicati (in qualità di autonomi titolari del trattamento) o che, considerando anche quanto sopra indicato al punto 2.2., possono venirne a conoscenza in qualità di ‘responsabili del trattamento.’”
147.
“Un elenco aggiornato di tali soggetti deve essere comunque reso disponibile, anche on-line sul sito web delle compagnie di assicurazione, per agevolare l’esercizio del diritto d’accesso da parte dell’interessato (art. 13, comma 1, lett. f) del Codice).”
148.
“In riferimento ad una larga parte dei trattamenti effettuati nell’ambito della c.d. catena assicurativa, il consenso dell’interessato non è richiesto dal momento che i dati sono necessari (per instaurare o) per dare esecuzione a un contratto di assicurazione (art. 24, comma 1, lett. b), del Codice), oppure in quanto gli stessi sono trattati sulla base di uno dei presupposti equipollenti di cui all’art. 24 del Codice (e, ovviamente, in tutti i casi in cui il ‘titolare del trattamento’ si avvalga in conformità al Codice di un ‘responsabile’ cui trasmetta i dati personali).”
149.
“Qualora il consenso dell’interessato sia necessario (talora in forma scritta, come accade per il trattamento dei dati sensibili), l’operatività della formula di consenso può essere limitata ai soli trattamenti effettuati dall’assicurazione stipulante (compresa la comunicazione ai terzi indicati nell’informativa), oppure estendersi, in relazione al medesimo rischio assicurato, anche ai trattamenti ulteriori effettuati da altri ‘titolari’ appartenenti alla c.d. catena assicurativa.
In quest’ultima evenienza, dal momento che il consenso deve essere prestato in forma specifica, esso deve riferirsi agli specifici trattamenti effettuati dal distinto titolare del trattamento, chiaramente individuabile nell’informativa resa (in tal senso cfr. Provv. 28 maggio 1997, cit.).”
150.
“(…) individua, ai sensi dell’art. 24, comma 1, lett. g), del Codice, nei termini di cui in motivazione (punto 6), i casi nei quali il trattamento dei dati personali di natura non sensibile possono essere effettuati per perseguire un legittimo interesse dei riassicuratori anche senza il consenso degli interessati.”
151.
BRAVO, Fabio. Op. cit. P. 383. “Dalla casistica emergente dai ricorsi, tuttavia, le attenzioni pi\( \hbox{\`{u}} \) forti si sono registrate in ordine alle possibilità di esercizio del diritto di accesso alle perizie medico-legali elaborate dai medici fiduciari delle compagine di assicurazione, al fine di valutare l’eventuale sussistenza del nesso causale, di determinare la caratteristica e l’entità delle lesioni lamentate o, comunque, dei danni riportati alla persona, in funzione della successiva eventuale liquidazione, ovvero in funzione della predisposizione di elementi in vista della difesa giudiziale.”
152.
Article 8
2. The rights referred to in Section 7 may not be exercised by making a request to the data controller or processor, or else by lodging a complaint in pursuance of Section 145, if the personal data are processed:
e) In pursuance of Section 24(1), letter f), as regards the period during which performance of the investigations by defence counsel or establishment of the legal claim might be actually and concretely prejudiced;
153.
Garante per la protezione dei dati personali. Provvedimento del 25 luglio 2007. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1434791. Accessed 22 January 2009. “Le perizie medico-legale redatte in âmbito assicurativo (come quela richiesta da parte del ricorrente) comprendono dati personali dell’interessato non solo nella parte in cui sono riportati dati identificativi, ma anche in quella che comprende valutazioni e giudizi del perito fiduciario. Si tratta di informazioni riferente all’interessato da considerare ‘dati personali’ secondo la definizione di cui all’art.4, comma 1, lettera d), del Codice, e che ricadono pertanto nell’ambito di applicazione del medesimo Codice.” In the same direction, see Garante per la protezione dei dati personali. Bollettino del n. 10/ottobre 1997. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=47726. Accessed 22 January 2009. P. 97. “Esaminando il ricorso, l’Autorità ha ricordatto che nelle perizie medico legali si ritrovano, normalmente, tre categorie di dati:
1. (a)
  dati identificativi di tipo anagrafico;
2. (b)
  dati referiti allo stato di salute, con particolare riferimento all’anamnesi;
3. (c)
  la valutazione peritale vera e propria che risulta dalla visita medica cui viene sottoposto l’assicurato da parte del medico fiduciario dell’assicurazione, la parte della perizia cioè nella quale il medico esprime appunto un giudizio sui rapporto tra sinistro denunciato e patologie lamentate per lê quali l’interessato chiede il risarcimento nonché, spesso, valutazioni e giudizi sull’eventuale grado di genuinità delle istanze presentate all’assicurazione.”
154.
Garante per la protezione dei dati personali. Provvedimento del 25 luglio 2007. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1434791. Accessed 22 January 2009. “L’esercizio del diritto di accesso di cui al citato art. 7 del Codice riguarda peraltro le sole informazioni di carattere personale e non anche, secondo quanto disposto dall’art. 8, comma, 4, <<l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento>>, o possibili considerazioni a carattere difensivo o di strategia contrattuale o processuale eventualmente espresse in sede di consulenza.”
155.
Garante per la protezione dei dati personali. Bollettino del n. 20/maggio 2001. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=39272. Accessed 28 November 2009. P. 20. “La valutazione dell’esistenza di un effettivo pregiudizio ai sensi del citato art. 14, comma 1, lettera e), deve essere effettuata caso per caso e sulla base di concreti elementi forniti dal titolare del trattamento o comunque risultanti dagli atti.”
156.
Garante per la protezione dei dati personali. Bollettino del n. 10/ottobre 1997. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=47726. Accessed 28 January 2009. P. 97. “Il Garante ha precisato che il titolare del trattamento (nel caso, l’assicurazione) che vuole avvalersi del differimento non deve però limitarsi a far riferimento alla norma che lo prevede, ma deve fornire adeguate motivazioni che diano ragione del pregiudizio effetivo cui si andrebbe incontro in caso di immediato accesso ai dati.”
157.
Garante per la protezione dei dati personali. Provvedimento del 25 luglio 2007. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1434791. Accessed 28 January 2009. “Nel caso in esame, è stata comprovata la ricorrenza di uno dei presupposti già riconosciuti idonei—in altri casi—da questa Autorità a giustificare un differimento del diritto di accesso. Cio, non in ragione del mero fatto che presso un ufficio giudiziario pende un giudizio civile, ma per effetto di uma specifica situazione nel corso della quale si può determinare un condizionamento o un’alterazione nell’esercizio del diritto alla prova rispetto ad um determinato mezzo istruttorio (v. Provv. 17 maggio 2001, in Bollettino del Garante n. 20/2001, p. 20).” See also BRAVO, Fabio. Op. cit. P. 385. “Sembra in ogni caso consolidato, al contempo, l’orientamento fondato, sull’art. 14, comma1, lett. e), della legge 675/1996 che consente ai titolari di trattamento di poter in casi particolari differire temporaneamente l’accesso ai daí contenuti nelle perizie, limitatamente al periodo in cui potrebbe derivare, negli stessi, un effetivo pregiudizio per lo svolgimento delle indagini o per far valere o difendere um diritto in sede giudiziaria. L’Autorità si è nuovamente espressa sull’argomento chiarendo che è, tuttavia, necessario dimostrate in concreto e realmente l’efettiva esistenza del pregiudizio, con uma valutazione da condurre caso per caso (Provv. 19 giugno 2002, in Bolletino n. 29; Provv.ti 16 ottobre 2002 e 11 dicembre 2002).”
158.
Garante per la protezione dei dati personali. Provvedimento del 25 luglio 2007. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1434791. Accessed 21 January 2009. “Nel caso di specie sussiste quindi, effettivamente, la documentata esigenza di non pregiudicare l’esercizio del diritto di difesa del titolare del trattamento rispetto al completamento della menzionata consulenza tecnica d’ufficio attualmente in corso di svolgimento e appare pertanto legittimo l’invocato differimento temporane del diritto di accesso.” In the same sense see Bollettino del n. 89/dicembre 2007. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1497600. Accessed 28 March 2009. P. 0. “RILEVATO che, nel caso in esame, sussiste la documentata esigenza di non pregiudicare l’esercizio del diritto di difesa del titolare del trattamento nell’attuale fase precontenziosa che, in ragione delle iniziative intraprese dall’interessato, risulta allo stato preludere all’instaurazione di una controversia giudiziaria. Ciò, in relazione agli specifici profili messi in luce dalla compagnia di assicurazione e, in particolare, agli elementi contenuti nella perizia del medico legale incaricato dalla compagnia costituenti informazioni riservate di carattere tecnico-valutativo rivolte alla stessa e rientranti nell’ambito di un pi\( \hbox{\`{u}} \) ampio servizio di consulenza prestato;
RILEVATO che, alla luce degli elementi di valutazione forniti dal titolare del trattamento, appare allo stato legittimamente invocato il differimento temporaneo del diritto di accesso.”
159.
Garante per la protezione dei dati personali. Provvedimento del 27 ottobre 2005. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1213613 Accessed 28 January 2008. “RILEVATO che in ordine ai predetti dati di tipo valutativo la società resistente ha menzionato, semplicemente, la possibilità offerta ai ricorrente di dirimere in sede arbitrale le contestazioni preliminari in atto, e non ha documentato, come dovuto, i pressuposti per differire temporaneamente il diritto di accesso durante il periodo in cui dall’accesso potrebbe derivarne um pregiudizio documentato, effettivo e concreto per l’esercizio di um diritto in sede giudiziaria (art. 8, comma 2, lett e), del Codice).
RITENUTO che il ricorso deve essere quindi accolto per questa parte, e che va pertanto ordinato alla resistente di comunicare al ricorrente, entro il 28 dicembre 2005, in modo dettagliato ed intelligibile (artt. 9 e 10 del Codice), anche i dati personali di tipo valutativo che lo riguardano contenuti nella predetta perizia e non ancora comunicati, dando conferma a questa Autorità dell’avvenuto adempimento entro lo stesso termine.”
160.
Garante per la protezione dei dati personali. Provvedimento del 12 febbraio 2009. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1598386. Accessed 28 March 2009. “hanno chiesto a Poste Italiane S.p.A. di ottenere la comunicazione dei dati personali riguardanti la nonna defunta, di cui gli stessi sono eredi, in relazione ai rapporti contrattuali intrattenuti dalla defunta con l’ufficio postale di Norcia; ciò, con particolare riferimento ad alcuni libretti di risparmio e buoni postali di cui la stessa risultava intestataria; (…) rilevato che è legittimato ad accedere ai dati personali di una persona defunta, ai sensi dell’art. 9, comma 3, del Codice, anche ‘chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione': posizione nella quale, senza dubbio, si trovano i due ricorrenti.”
161.
Garante per la protezione dei dati personali. Provvedimento del 10 novembre 2004. Available at http//www.garanteprivacy.it/garante/doc.jsp?ID=1103284. Accessed 21 January 2009. “Ai sensi dell’art. 9, comma 3, del Codice, i diritti di cui al medesimo art. 7, tra cui il diritto di accesso, se ‘riferiti ai dati personali concernenti persone decedute', possono essere esercitati da ‘chi ha um interesse próprio, o agisce a tutela o per ragioni meritevol di protezione'. In base a tale disposizione l’interessata, nella qualità di erede del difunto marito, ha quindi titolo ad accedere ai dati pesonali dello stesso.”
162.
Garante per la protezione dei dati personali. Newsletter n. 186 del 6–12 ottobre 2003. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=346897. Accessed 28 March 2009. “Il diritto di accesso ai dati di un defunto non riguarda informazioni relative a terzi, come ad esempio i beneficiari di polizze assicurative.
Questa la sostanza del provvedimento emesso dall’Autorità dopo aver esaminato il ricorso dell’erede legittimo di una donna che, poco prima di morire, aveva stipulato con una società di assicurazioni una polizza a favore di un terzo le cui generalità non erano note al ricorrente. Il Garante, infatti, pur riconoscendo all’erede legittimo il diritto ad accedere a tutte le informazioni personali che riguardano la defunta, non ha consentito alla società assicuratrice di comunicare il nome del beneficiario della polizza.”
163.
“Con il principio di necessità, il legislatore ha in sostanza codificato nella protezioni dei dati il principio della precauzione che si affaccia in altre contesti normativi.” Butarelli, Giovanni. In Bianca, Cesare Massimo; Busnelli, Francesco Donato. Op. cit. P. 33.
164.
“Il principio di finalità impone al titolare, con il primo atto di esercizio della propria libertà informative, di circoscrivere i contorni dell’attività di trattamento e di creare così un limite a priori rispetto agli atti successive (Navarretta 1999, 330) (…).” In Panetta, Rocco. Op. cit. P. 859.
165.
“I dati devono essere raccolti e registrati (…) per scopi <<determinati, espliciti e legittimi>>, secondo una triplice qualificazione che costituisce una specificazione, sai pur solo parziale e non certo esaustiva, del principio di finalità.” Cuffraro, Vincenzo et al. Il codice del trattamento dei dati personali. G. Giappichelli Editore: Torino, 2007. P. 84.
166.
See article 6(1)(c) of Directive 95/46/EC.
167.
See 1.3.1.1 supra.
168.
“Uno dei principi fondamentali della Convenzione 108/1981 (e della direttiva 95/46) è, però, quello dell’utilizzazione dei dati per “scopi compatibili”, pertanto, la raccomandazione specifica che i dati raccolti per una delle finalità previste non possono essere trattati per fini diversi: ad esempio, dati relativi allo stato di salute raccolti per la stipula di una polizza sanitaria non devono essere utilizzati per le esigenze di un’altro tipo di contratto ad esempio, una polizza sulla vita, a meno che il diritto interno stabilisca la compatibilità di tali trattamenti.” BIANCA, Cesare Massimo; BUSNELLI, Francesco Donato. Op. cit. P. 1157.
169.
“Il principio di necessità si intreccia com quello di finalità e costituisce un rinforzamento della tutela dell’interessato. Se il principio di finalità, coordinato com i requisiti di pertinenza, completezza e non eccedenza, circoscrive l’ambito quantitativo e qualitativo all’interno del quale i dati si possono considerare raccolti e trattati in modo lecito, il principio di necessita si presenta come un filtro all’utilizzabilità dei dati legittimamente raccolti.” In PANETTA, Rocco. Op. cit. P. 860.
170.
“(…) il principio di necessità sul trattamento dei dati personali implica il concetto della <<proporzione>> dell’atto che si intendi porre in essere rispetto ad un fine prefissato, cosi da recare il minor sacrificio possibile a quanti ne subiscono gli effetti.” Cuffrano, Vincenzo et al. Op. cit. P. 26.
171.
See article 6 of Directive 95/46/EC.
172.
“Il Codice in material di protezione dei dati personali, informato ai canoni di semplificazione, armonizzazione ed efficacia, è ispirato al principio di necessità. Lo scopo è di controllare la circolazione dei dati personali in maniera pi\( \hbox{\`{u}} \) efficiente, limitando il pericolo di intrusione esterna al minimo indispensabile e impedendo il riferimento di informazioni sulla vita dell’utente non necessarie con gli scopi dichiarati o in contrasto con le finalità della raccolta. Questo principio permette di garantire il mantenimento di un livello elevato di protezione dei dati raccolti in occasione di contratti dei consumatori.” Panetta, Rocco. Op. cit. P. 393.
173.
“L’espressa previsione del principio di necessita è stata, giustamente, salutata come una delle pi\( \hbox{\`{u}} \) rilevanti novità apportate dal codice della privacy e come segno di una linea di politica legislativa particolarmente impegnativa.” Rodotà, Stefano. Relazione 2004, Garante Privacy—Discorso del president. Op. cit. P. 6.
174.
“(…) la <<necessità>> a cui fa riferimento l’art 3 del Codice fornisce il criterio non solamente per individuare il limite al quale devono soggiacere le attività dei soggetti pubblici e private incidenti sul diritto, di rango fondamentale alla protezione dei dati personali, ma anche per <<l’accettazione istituzionale delle tecnologie dell’informazione e della comunicazione>>.” Cuffrano, Vincenzo et al. Op. cit. P. 27. In the same sense, see Niger, Sergio. Il diritto alla protezione dei dati personali. In Monducci, Juri; Sartor, Giovanni (editors). Op. cit. P.13. “Il presente articolo delinea, infatti, il principio di necessità nel trattamento dei dati personale. Secondo tale principio i sistemi informativi ed i software, fin dalla loro configurazione, devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il conseguimento delle finalità consentite, e non anche quando gli stessi obiettivi possano essere realizzati attraverso l’uso di dati anonimi o che consentano una pi\( \hbox{\`{u}} \) circoscritta identificazione degli interessati. Il principio di necessità si pone come integrazione e completamento, in relazione alla configurazione stessa dell’ambiente in cui i dati sono trattati, del principio di pertinenza e non eccedenza dei dati trattati, già previsto dall’art. 9 della L. 675/96.”
175.
Official translation available at http://www.garanteprivacy.it/garante/document?ID=311066. Accessed 10 November 2010.
176.
“Questa disposizione intendi arginare la tendenza all’impiego di qualsiasi innovazione tecnologica per realizzare trattamento di dati personali sempre pi\( \hbox{\`{u}} \) avanzati e, pertanto, sempre pi\( \hbox{\`{u}} \) invasive.” Rodotà, Stefano. Relazione 2004. Garante Privacy—Discorso del presidente. Op. cit. P. 5.
177.
“Principio di necessità (art 3), che prevedi la configurazione dei sistemi informativi in modo da ridurre al minimo l’utilizzazione dei dati personali, escludendone il trattamento quando le finalità perseguite possono essere realizzate mediante dati anonimi o sistemi che permettano di identificare l’interessato solo in caso di necessità.” Bianca, Cesare Massimo; Busnelli, Francesco Donato. Op. cit. P. LXIII.
178.
European Data Protection Supervisor. 2012. Op. cit. P. 20.
179.
Costa, Luiz; Poullet, Yves. Privacy and the regulation of 2012. Computer Law & Security Review. Volume 28, Issue 3, June 2012. P. 260.
180.
Cavoukian, Ann. “What is Privacy by Design?”. Available at http://www.privacybydesign.ca/. Accessed 21 January 2010.
181.
European Data Protection Supervisor. Glossary. Available at http://www.edps.europa.eu/EDPSWEB/edps/Home/EDPS/Dataprotection/Glossary/pid/84. Accessed 21 January 2010.
182.
In this sense is the position adopted by the European Data Protection Supervisor in its Opinion on a notification for Prior Checking received from the Data Protection Officer of the European Commission on “the implementation of flexitime—specific to DG INFSO”. European Data Protection Supervisor. Opinion on a notification for prior checking received from the data protection officer of the European commission on “the implementation of flexitime—specific to DG INFSO”. Available at http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Priorchecks/Opinions/2007/07-10-19_Commission flexitime_INFSO_EN.pdf. 25 Jan 2010. Available at http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Supervision/Priorchecks/Opinions/2007/07–10–19\_Commission\_flexitime\_INFSO\_EN.pdf. Accessed 21 January 2010.
183.
“La direttiva 24 ottobre 1995, n. 46—la cosiddetta ‘Direttiva madre’ (di seguito anche, semplicemente, Direttiva), da cui è derivata la legge n. 675/1996 prevede che gli Stati membri (oltre che la Commissione) incoraggino l’elaborazione di codici di condotta, al fine di ‘contribuire, in funzione delle specifica settoriali, alla corretta applicazione delle disposizione nazionali di attuazione’ della Direttiva madre (art. 27).” Panetta, Rocco. Op. cit. P. 211. See also, Cuffaro, Vincenzo et al. Op. cit. P. 816. “Il 1\( \circ \) comma dell’art. 27, riprendendo il considerando sopra citato, obbliga Stati e Commissione ad incoraggiare l’elaborazione di codice che contribuiscano, ciascuno secondo le caratteristiche specifiche dei trattamenti effettuati nei singolo settori, alla <<corretta applicazione delle disposizione nazionali di attuazione della presente direttiva>>”.
184.
Article 12 (Codes of Conduct and Professional Practice)
1. The Garante shall encourage, within the framework of the categories concerned and in conformity with the principle of representation, by having regard to the guidelines set out in Council of Europe recommendations on the processing of personal data, the drawing up of codes of conduct and professional practice for specific sectors, verify their compliance with laws and regulations by also taking account of the considerations made by the entities concerned, and contribute to adoption of and compliance with such codes.
185.
The procedure for the adoption of codes of conduct is regulated by Regulation n\( \circ \) 2/2006 of the Italian Data Protection Authority. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1320030. Accessed 29 March 2011.
186.
“La novità posta dalla legge n. 675/1996 consiste piuttosto sul fatto che una leggi rinvii per l’attuazione dei propri precetti a una fonte normativa di <<creazione>> privata: i codici di deontologia.” Cuffaro, Vincenzo et al. Op. cit. P. 102.
187.
Bravo, Fabio; Monducci, Juri. Le condizioni di liceità del trattamento dei dati. In Monducci, Juri; Sartor, Giovanni (editors). Op. cit. P. 51. “Le predette peculiarità hanno indotto la dottrina a ritenere ’che ci si trovi in presenza di una nuova modalità di normativa atipica, avente ad oggetto una sorta di codificazione dei codici di deontologia.’”
188.
See http://www.garanteprivacy.it/garante/navig/jsp/index.jsp?folderpath=Normativa\%2FItaliana\%2FCodici+deontologici. Accessed 13 January 2010.

References

Acciai, Riccardo. 2007. Il codice della privacy—Annotato con la giurisprudenza e le decisione del garante. Santarcangelo di Romagna: Maggioli.
Google Scholar
Cavoukian, Ann. What is privacy by design? Available at http://www.privacybydesign.ca/. 21 Jan 2010.
Costa, Luiz, and Yves Poullet. 2012. Privacy and the regulation of 2012. Computer Law & Security Review 28(3): 251–378.
Article Google Scholar
Cuffaro, Vincenzo, et al. 2007. Il codice del trattamento dei dati personali. Torino: G. Giappichelli Editore.
Google Scholar
Doneda, Danilo. 2003. Um código para a proteção de dados na Itália. Revista Trimestral de Direito Civil. Rio de Janeiro. v. 16, out/dez.
Google Scholar
Rodotà, Stefano. 2004. Transformações do corpo. Revista Trimestral de Direito Civil 19, jul/set. Rio de Janeiro: Renovar.
Google Scholar
Sartor, Giovanni, and Mario Viola de Azevedo Cunha. 2010. The Italian Google-case: Privacy, freedom of speech and responsibility of providers for user-generated contents. International Journal of Law and Information Technology. Oxford University Press.
Google Scholar
Viola de Azevedo Cunha, Mario. 2012. Review of the data protection directive: Is there need (and room) for a new concept of personal data? In European data protection: In good health? ed. Serge Gutwirth et al. New York: Springer.
Google Scholar
European Data Protection Supervisor. Glossary. Available at http://www.edps.europa.eu/EDPSWEB/edps/Home/EDPS/Dataprotection/Glossary/pid/84. 21 Jan 2010.
European Data Protection Supervisor. Opinion on the data protection reform package. Available at http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/Opinions/2012/12-03-07\_EDPS\_Reform\_package\_EN.pdf. Accessed 23 Sept 2012.
Google Scholar
Garante per la Protezione dei dati Personali. Relazione 2004—L’attuazione del Codice nel quadro della Costituzione per l’Europa. Available at http://www.garanteprivacy.it/garante/document?ID=1093820. 15 Mar 2009.
Garante per la Protezione dei dati Personali. Provvedimento del 19 Dicembre 2008. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1582849. 29 Mar 2009.
Garante per la Protezione dei dati Personali. Provvedimento del 26 Luglio 2006. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1332498. 22 Jan 2010.
Garante per la Protezione dei dati Personali. Relazione 2000. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1335443. 26 Mar 2009.
Garante per la Protezione dei dati Personali. Provvedimento del 25 Luglio 2007. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1434791. 22 Jan 2009.
Garante per la Protezione dei dati Personali. Bollettino del n. 10 Ottobre 1997. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=47726. 28 Jan 2009.
Garante per la Protezione dei dati Personali. Bollettino del n. 20 Maggio 2001. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=39272. 28 Nov 2009).
Garante per la Protezione dei dati Personali. Provvedimento del 27 Ottobre 2005. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1213613. 28 Jan 2008.
Garante per la Protezione dei dati Personali. Provvedimento del 12 Febbraio 2009. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1598386. 28 Mar 2009.
Garante per la Protezione dei dati Personali. Provvedimento del 10 Novembre 2004. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1103284. 21 Jan 2009.
Garante per la Protezione dei dati Personali. Newsletter n. 186 del 6–12 Ottobre 2003. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=346897. 28 Mar 2009.
Garante per la Protezione dei dati Personali. Opinion of 28 May 2009 (Dati bancari: Illecita comunicazione). Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1624734. 27 Jan 2010.
Garante per la Protezione dei dati Personali. Opinion of 23 July 2009 (Dati bancari: Accesso non autorizzato e misure di sicurezza). Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1640294. 27 Jan 2010.
Garante per la Protezione dei dati Personali. Relazione 2007—16 Luglio 2008—Parte II—L’ativittà del Garante. Available at http://www.garanteprivacy.it/garante/doc.jsp?ID=1549689. 22 Jan 2009.

Download references

Author information

Authors and Affiliations

Centro de Estudos e Pesquisas no Ensino do Direito, Rio de Janeiro State University Centro, Rio de Janeiro, Rio de Janeiro, Brazil
Mario Viola de Azevedo Cunha

Authors

Mario Viola de Azevedo Cunha
View author publications
You can also search for this author in PubMed Google Scholar

Rights and permissions

Reprints and permissions

Copyright information

About this chapter

Cite this chapter

de Azevedo Cunha, M.V. (2013). Data Protection Systems in the European Union: The Italian Experience. In: Market Integration Through Data Protection. Law, Governance and Technology Series, vol 9. Springer, Dordrecht. https://doi.org/10.1007/978-94-007-6085-1_5

Download citation

DOI: https://doi.org/10.1007/978-94-007-6085-1_5
Published: 07 January 2013
Publisher Name: Springer, Dordrecht
Print ISBN: 978-94-007-6084-4
Online ISBN: 978-94-007-6085-1
eBook Packages: Humanities, Social Sciences and LawLaw and Criminology (R0)

Publish with us

Policies and ethics