I principi generali del Codice della Privacy Prof. Avv. Giovanni Ziccardi Università degli Studi di Milano giovanni.ziccardi@unimi.it

La tutela della privacy in Italia negli anni 1996 - 2005 1. Le premesse La tutela della privacy in Italia negli anni 1996 - 2005

La “storia legislativa” recente: La situazione odierna: Decreto Legislativo 30 giugno 2003, n. 196 “Codice in Materia di Protezione dei Dati Personali” La “storia legislativa” recente: “Moda” dei TESTI UNICI (semplificazione amministrativa degli ultimi 10 anni) Legge 127 del 2001, art. 1.4 (“Il Governo emana … un testo unico delle disposizioni in materia di tutela dei dati personali e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e le modificazioni necessarie al coordinamento o per assicurarne la migliore attuazione”)

Testo Unico (o “Codice” ai sensi della Legge 229/2003) Principio di semplificazione che consiste in un bilanciamento tra l’esercizio dei diritti dell’interessato e l’adempimento degli obblighi del titolare. I lavori sul Codice iniziano nel 2001 (Commissione “Bianca”) Scadenza della delega: 30 giugno 2003. Raccoglie anche l’eredità della legge 675 del 1996 e le sue (numerose) successive modificazioni ed integrazioni

La struttura Parti I e III del Codice: raccolgono l’eredità della disciplina precedente. Sono quelle più “mature”, contengono i principi fondamentali, hanno l’assetto migliore. Parte II: una seconda fase nella tutela della privacy, ovvero una regolamentazione di diversi settori con, però, limiti di completezza e non esaustività dei temi e dei casi trattati Allegati: importanza dell’Allegato B con riferimento alle misure minime di sicurezza

I princìpi dell’Unione Europea Direttiva 96/45/CE: tutela del diritto fondamentale alla privacy Protezione dei consumatori e dei contraenti deboli Trasparenza (soprattutto nei rapporti contrattuali) Sicurezza dei dati personali (studi a livello di Unione Europea e linee guida) Difesa dei diritti dell’interessato tramite un Garante (anche per evitare la tradizionale “strada” giudiziale)

I precedenti normativi Legge 675 del 1996 Problemi di applicazione e di attuazione pratica della 675 Norma “gemella”, la 676, con delega al Governo per l’emanazione di un corpo di norme di settore e adeguamenti legislativi Frammentazione normativa nel corso degli anni. Legge madre e tante “leggi figlie” Ben 9 interventi correttivi e integrativi + discipline di corredo, tra cui il d.p.r. 318/99 Nel frattempo: Direttiva UE 2002/58/CE sul trattamento dei dati personali nel settore delle telecomunicazioni

Perché un Codice? Riordino di una normativa cresciuta in maniera non coordinata Primo bilancio, e nuovo inizio, dopo sette anni di esperienza Adeguamento costante alle nuove tecnologie Raggruppa norme esistenti, modifica e introduce norme nuove

Disposizioni Generali PARTE I Disposizioni Generali

Prima Parte del Codice Raggruppa tutte le disposizioni di carattere generale che si applicano a qualsiasi Titolare, qualunque sia il settore di appartenenza e a prescindere dal tipo di trattamento realizzato Ricompone un po’ i tasselli “scombinati” dalla legge 675 Buona notizia: riduzione di un 30% di norme sovrabbondanti

Struttura della I Parte Suddivisa in sette titoli Titolo I: principi generali privacy, nascita di un nuovo diritto fondamentale Titolo II: i diritti dell’interessato e le modalità di esercizio Titolo III: Regole generali circa il trattamento dei dati personali (distinzione importante: settore privato/settore pubblico)

Segue: la struttura Titolo IV: il modello organizzativo richiesto dal legislatore per gestire adeguatamente il sistema privacy Titolo V: il “pianeta” della sicurezza Titolo VI: gli adempimenti di legge Titolo VII: i trasferimenti esteri di dati personali

Titolo I Principi generali

Principi generali Proclamazione del nuovo diritto alla tutela dei dati personali (art. 1) Alto livello di tutela (art. 2) Principio di necessità nel trattamento con strumenti elettronici (art. 3)

Diritto alla protezione dei dati personali Articolo 1 Diritto alla protezione dei dati personali Chiunque ha diritto alla protezione dei dati personali che lo riguardano in conformità alle disposizioni del presente codice

Considerazioni Diritto di ciascuno a che i propri dati personali, ove trattati da un’altra persona, siano protetti con le modalità e secondo gli standard definiti dalla legge Patrimonio informativo di ciascuno come patrimonio informativo circolante, sottoposto ad uso da tanti soggetti per le finalità più varie

Considerazioni II Qualificazione dell’attività di trattamento dei dati come attività pericolosa, con necessità di una sicurezza che riduca al minimo i rischi “Chiunque”: qualsiasi soggetto, indipendentemente dalle sue caratteristiche. Persona fisica o giuridica, maggiorenne o minorenne, italiani o stranieri, con o senza diritti politici: NON DISCRIMINAZIONE

Articolo 2 - Finalità 1. Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

Articolo 2 - Continua 2. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento.

Considerazioni Il primo comma definisce l’orizzonte dei valori e dei beni giuridici entro cui si muove questa normativa Il secondo comma mette in chiaro la strategia di sviluppo di questa codificazione in una materia “fluida”

Considerazioni Intanto l’art. 2 presenta il nuovo “contenitore”, ovvero il Testo Unico Poi definisce il perimetro di diritti e di libertà da rispettare, chiarendo che la normativa protegge i diritti e le libertà fondamentali di tutti (interessati, titolari e terzi) e la dignità degli interessati Anticipa i diritti, le libertà fondamentali, la dignità

Tre diritti Il diritto alla riservatezza (ovvero la protezione della vita privata) Il diritto alla identità personale (ovvero la protezione della individualità di ciascuno, che si attua anche tramite la tutela delle informazioni che precisano i contorni della individualità Il diritto alla protezione dei dati personali

Principio di necessità nel trattamento di dati Articolo 3 Principio di necessità nel trattamento di dati “1. I sistemi informativi sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o, rispettivamente, opportune modalità che permettano di identificare l’interessato solo in caso di necessità”.

Considerazioni Articolo innovativo, che prende spunto dalla Direttiva 2002/58 sulla privacy nelle comunicazioni elettroniche che parla di tecnologie “pertinenti” e di “ridurre al minimo il trattamento dei dati personali e di utilizzare dati anonimi o pseudoanonimi nella misura del possibile (IX considerando) I sistemi per la fornitura di reti e servizi di comunicazione elettronica dovrebbero essere progettati per limitare al minimo la quantità di dati personali necessari (XXX considerando)

Art. 4 - Definizioni Definisce gli istituti che sono oggetto della disciplina Alcune novità: la nozione di trattamento ora incorpora anche la “consultazione”; indicazione che incaricati possono essere solo persone fisiche

Il dato Dato = informazione. Può rientrare qualsiasi elemento che abbia un contenuto informativo Espressioni alfabetiche, suoni, immagini Primo tipo: dato personale Altri tipi: dato genetico, dato identificativo, dato giudiziario, dato sensibile, dati relativi a malattie contagiose di particolare gravità, dati anonimi, dati biometrici

Dato personale Qualsiasi informazione concernente una persona identificata o identificabile purché idonea a identificare detta persona Qualunque informazione: forma e contenuto, suoni, immagini

“Top ten” della gravità dei dati “Dimenticando” per un attimo il Legislatore Dati genetici: categoria apicale per impatto privacy, alta sorveglianza del Garante, necessità di decidere quasi caso per caso Dati relativi a malattie contagiose di particolare gravità (AIDS, “mucca pazza”) Legge 135/90 HIV e divieto assoluto di raccolta da parte del datore di lavoro (art. 6 L. 135/90) - paletti + accorgimenti e cautele in ambito sanitario

Top ten II Dati idonei a rivelare lo stato di salute e la vita sessuale Dati giudiziari Altri dati sensibili Dati biometrici e dati di ubicazione o di traffico Dati comuni Dati quasi anonimi (identificazione solo per via mediata, con sigle o id) Dati anonimi

Il dato sensibile Disciplina distinta ed organica Origine razziale, condizioni sanitarie o di salute, vita o abitudini sessuali, appartenenza politica o sindacale Dati sensibili per loro stessa natura (ad. es. dati relativi alla salute di un soggetto). Si guarda al contenuto. Dati sensibili in relazione al contesto in cui vengono utilizzati (indirizzi associati ad abbonamento a riviste per soli adulti). Diventano sensibili perché aggregati ad altri dati

I soggetti Interessato (anche persone giuridiche, scelta nazionale) Titolare: centro di imputazione di obbligo di legge e delle responsabilità Responsabile: già presente 675/96 Incaricato: la designazione può cadere solo su persone fisiche e non anche su soggetti impersonali, sia individui interni alla organizzazione, sia individui esterni. Garante: Autorità che presidia il rispetto della normativa

Trattamento per UE La direttiva 95/46/CE non tutelava il trattamento di qualunque dato personale ma solo di quei dati contenuti o destinati a figurare in banche dati, quindi per la direttiva, per aversi trattamento occorre che il dato sia utilizzato, anche in prospettiva, con altri dati organizzati. Presenza essenziale di una banca dati

Trattamento Italia Scissione tra concetto di trattamento e concetto di banca dati, in quanto per aversi il primo non è necessario che il dato sia inserito in un archivio. Amplificazione della portata della norma Riprende la 675 aggiungendo la consultazione Diventa trattamento qualunque operazione sui dati personali, a prescindere dalle relative modalità attuative o dal supporto su cui i dati sono registrati Definizione onnicomprensiva (raccolta, conservazione, utilizzo, distruzione. Ciclo di vita del dato)

Comunicazione Si riferisce unicamente a quelle operazioni di trasmissione di dati personali tra autonomi titolari (altrimenti si ha una trasmissione dei dati all’interno dello stesso trattamento)

Diffusione La diffusione è la divulgazione di dati personali ad una classe di destinatari indiscriminata (caso della pubblicazione di un prospetto contabile in una bacheca situata all’interno di un consorzio) Divieti assoluti e relativi, nel Codice, con riferimento al alcuni dati (sensibili)

Il blocco L’operazione di blocco è una sorta di congelamento del dato, che è posto in condizione di non essere più utilizzabile. Può riguardare sia il cartaceo (annotazione della indisponibilità) sia l’elettronico

Articolo 5 - Oggetto e ambito di applicazione Principio di stabilimento del titolare del trattamento. Trattamento di dati personali effettuato da chiunque è stabilito nel territorio dello stato anche se riguarda dati detenuti all’estero Trattamenti svolti da chiunque è stabilito in un paese extra UE ma con strumenti situati nel territorio dello stato, anche diversi da quelli elettronici (obbligo di nominare un rappresentante stabilito nel territorio italiano)

Fini esclusivamente personali Il trattamento per fini personali è ai margini dell’ambito di applicazione della legge (escluso dalla direttiva comunitaria, precisato da 675 e codice) La comunicazione sistematica o la diffusione dei dati non rientrano nel concetto di uso personale e, quindi, sono soggette alla normativa in esame Anche per le raccolte di dati ad uso personale, vige l’obbligo di adottare misure di sicurezza adeguate al fine di ridurre i rischi ex art. 31

Sfera personale Si ritiene che diffusione dei dati e fini personali non siano compatibili (esclusa configurabilità di uno scopo personale in caso di diffusione dei dati) La deroga vi è nell’area in cui ciascun individuo apprende notizie e informazioni che rimangono utilizzate in una dimensione strettamente privata.

Sistematicità della comunicazione Si riferisce alla sola comunicazione, non alla diffusione: o per soddisfare le proprie esigenze personali o se viene effettuata una comunicazione saltuaria ed episodica Attenzione: si riferisce solo alla persona fisica: il soggetto che tratta i dati deve essere una persona fisica. Non riguarda le aziende.

Sfera personale /2 La legge tutela le persone cui si riferiscono i dati ma rispetta anche la sfera personale di chi intenda esercitare la libertà di informarsi e di essere informato per perseguire scopi meramente personali. Inapplicabile (tranne 15 e 31) alle agende automatizzate e cartacee, alle rubriche, agli indirizzari, agli appunti e al materiale informativo che chiunque è solito conservare nella propria sfera privata per soddisfare interessi culturali o altre normali esigenze della vita di relazione.

Articolo 6 - Disciplina del Trattamento 1. Le disposizioni contenute nella presente Parte si applicano a tutti i trattamenti di dati, salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrative o modificative della Parte II

Considerazioni L’articolo si riferisce alla composizione strutturale del Codice A cosa si riferisce? A tutta la Parte II? A tutte le norme della Parte II che selezionano per per determinati settori le norme della Parte I applicabili o che rettificano alcune regole generali? Significato: la Parte I del codice ha contenuto ed applicazione generalizzata (si applica a tutti i trattamenti per i quali non vi sia una espressa esclusione o deroga di legge).

Diritti dell’interessato TITOLO II Diritti dell’interessato

Le novità Sono i diritti riconosciuti all’interessato Norme primarie che riguardano l’esercizio dei diritti e le relative modalità applicative L’interessato ha sempre il diritto di conoscere i propri dati utilizzati dal Titolare Quando i dati non sono del tutto corretti, l’interessato ha il diritto di aggiornamento, di rettifica, di integrazione dei propri dati

Le novità /2 A determinate condizioni l’interessato ha diritto di opporsi al trattamento nonché quando è stata violata la legge, ha diritto alla cancellazione, alla anonimizzazione e al blocco dei dati trattati

Diritto di accesso ai dati personali ed altri diritti Articolo 7 - Primo Punto Diritto di accesso ai dati personali ed altri diritti 1. L’interessato ha diritto di ottenere la conferma della esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile,

Articolo 7 - Secondo Punto 2. L’interessato ha diritto di ottenere l’indicazione: A) dell’origine dei dati personali trattati B) delle finalità e modalità del trattamento C) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici

Articolo 7 - secondo punto (2) D) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2 E) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabile o incaricato

Articolo 7 - Punto 3 3. L’interessato ha diritto di ottenere: A) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati B) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati

Articolo 7 - Punto 3 (2) C) l’attestazione che le operazioni di cui alle lettere a e b sono state portare a conoscenza, anche per quanto riguarda il contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela possibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato

Articolo 7 - Punto 4 4. L’interessato ha diritto di opporsi, in tutto o in parte: A) per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorchè pertinenti allo scopo della raccolta; B) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

Considerazioni Riprende vecchio art. 13 675 con sola novità comma 1 lettera E (che aggiunge fra le attribuzioni dell’interessato il diritto di conoscere i soggetti ai quali i dati possono essere comunicati o che ne possono comunque venire a conoscenza. La tutela dei diritti dell’interessato è il primo di tre requisiti di effettività della normativa, insieme ai controlli del Garante ed alla tutela amministrativa e giurisdizionale

Considerazioni Due contrappesi: dovere del Titolare di FAR SAPERE (informativa) e diritto dell’interessato di SAPERE. L’interessato ha anche però diritto di conoscere l’origine dei dati personali e la logica applicata al trattamento automatizzato, cui la disciplina dell’informativa non fa riferimento. Poi si passa il diritto di mero conoscere richiedendo al Titolare anche delle azioni, di fare qualcosa.

Considerazioni Collaborazione dell’interessato: ha la responsabilità di fare quanto possibile per facilitare la ricerca, principio di correttezza e buona fede che deve conformare tutte le parti in causa (specificazione di elementi che agevolino la ricerca, periodo di riferimento etc etc)

Comma 1: i diritti di conoscenza Accesso dell’interessato per sapere se una organizzazione trattiene dati personali che lo riguardano Diritto di informarsi: posizione attiva dell’interessato Due modalità di diritto di accesso: accesso presso il registro Pubblico, consultabile su base territoriale diffusa, gratuitamente e senza l’onere di particolari formalità e accesso presso il titolare o il Responsabile del Trattamento.

Le richieste Se esistono o meno dati che lo riguardano (si può esercitare anche nei confronti di chi potrebbe non essere Titolare di alcun trattamento dei nostri dati) Permettono di identificare violazioni alla trasparenza (non era stata data informativa) e di venire a conoscenza di terzi che trattano i nostri dati e che noi ignoravamo (titolare che acquisisce dati da terze parti e magari è esonerato dall’obbligo di legge di informativa (cfr. art. 13.5)

Anche dati non registrati Per evitare scuse da parte del titolare che i dati non sono ancora registrati al fine di eludere la normativa

Comma 2 - diritto di ricevere nuove informazioni Richiesta della fonte dei dati Richiesta della logica applicata al trattamento con strumenti elettronici Occorre una apposita richiesta fatta al Titolare

La fonte dei dati Non si capisce se ci si riferisce al soggetto specifico che ha fornito i dati o alla categoria di soggetti A volte può essere molto impegnativo tenere sempre a mente la fonte individuale dei dati: l’articolo dice che il Titolare può anche indicare “le categorie di soggetti” L’interessato ricostruisce il flusso informativo del dato

La logica del trattamento automatizzato Insieme dei principi delle tabelle che definiscono funzioni logiche di una applicazione e dei collegamenti logici utilizzati per eseguire una computazione mediante un sistema di elaborazione automatica di dati. E’ insomma il criterio informatico di elaborazione dei dati

Diritti di opposizione Vero e proprio diritto di opposizione al trattamento A differenza del diritto di cancellazione, l’inibitoria del trattamento non richiede come condizione del proprio esercizio che ci si trovi in presenza di trattamento effettuato in violazione della legge. L’ambito di applicazione è quello dei trattamenti leciti.

Opposizione (2) Diritto di ripensamento Consenso non richiesto Equipollenza del consenso Il diritto può essere del tutto discrezionale (fini promozionali o ricerche di mercato) oppure condizionato alla presenza di motivi legittimi.