Informativa. Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve prima fornire all'interessato alcune informazioni per metterlo nelle condizioni di esercitare i propri diritti.
L'omessa o inidonea informativa è punita con una sanzione amministrativa da seimila fino a trentaseimila Euro.
Consenso. Le Pubbliche Amministrazioni non devono richiedere il consenso dell'interessato, purché il trattamento sia effettuato nell'ambito dello svolgimento delle proprie funzioni istituzionali.
Il trattamento di dati personali effettuato in violazione del Codice (art.23) è punito con una sanzione amministrativa da diecimila a centoventimila Euro.
Misure di sicurezza. Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta. In particolare, il titolare deve adottare le misure di sicurezza volte ad assicurare un livello minimo di protezione dei dati personali.
L'omessa applicazione delle misure minime di sicurezza è punita con una sanzione amministrativa da diecimila a centoventimila Euro e con la sanzione penale dell'arresto fino a 2 anni.
Notificazione. Nei casi espressamente indicati, che presentano rischi particolari legati alla tutela dei diritti e delle libertà delle persone interessate, il titolare deve notificare al Garante per la protezione dei dati personali l'intenzione di effettuare un trattamento prima di iniziarlo.
L'omessa, ritardata o incompleta notificazione del trattamento, quando prevista, è punita con la sanzione amministrativa da ventimila a centoventimila Euro.
Verifica preliminare. Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti rischi specifici per i diritti e le libertà fondamentali ovvero per la dignità delle persone in relazione: alla natura particolare dei dati trattati; alle modalità del trattamento; agli effetti che il trattamento può determinare, il Garante per la protezione dei dati personali - su richiesta del titolare o d'ufficio - effettua una verifica preliminare all'inizio del trattamento, a seguito della quale può prescrivere misure ed accorgimenti particolari a tutela dell'interessato.
Il trattamento di dati personali effettuato in violazione del Codice (art.17) è punito con una sanzione amministrativa da diecimila a centoventimila Euro.
Trattamento di dati sensibili e giudiziari. I soggetti privati e gli Enti pubblici economici possono effettuare il trattamento di dati sensibili con il consenso scritto dell'interessato e previa autorizzazione del Garante per la protezione dei dati personali, salvo alcune eccezioni specificamente previste; di dati giudiziari se autorizzati da una espressa disposizione di legge o da un provvedimento del Garante per la protezione dei dati personali.
Le Pubbliche Amministrazioni, cioè i soggetti pubblici, possono effettuare un trattamento dati sensibili e di dati giudiziari sulla base delle disposizioni specifiche previste dal Codice (artt. 20, 21 e 22).
Trasferimento dei dati all'estero. Verso Paesi appartenenti all'Unione europea il trasferimento dei dati non è soggetto a particolari restrizioni.
Il trasferimento dei dati verso Paesi non appartenenti all'Unione europea è possibile quando ricorre una delle condizioni previste dal Codice (art.23) oppure, è autorizzato dal Garante per la protezione dei dati personali sulla base di adeguate garanzie per i diritti dell'interessato.
Al di là di questi casi il trasferimento è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati personali non assicura un livello adeguato di tutela delle persone (art. 45 del Codice). In violazione dell'articolo 45 il trasferimento è punito con una sanzione amministrativa da diecimila a centoventimila Euro.
Da ultimo, anche la cessazione del trattamento dei dati deve obbligatoriamente seguire le indicazioni fissate dal Codice della privacy.
