La tutela dei dati personali Principi e novità dopo l’emanazione del CODICE DELLA PRIVACY
Il D.Lgs 196/2003: La ratio della nuova legislazione In vigore dal 01.01.2004 Ha abrogato la L.675/96 e altre disposizioni in materia di dati personali
Principi generali Art.1 “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” Protezione della riservatezza, dell’identità personale e dei dati personali
dati personali: informazioni relative a persone fisiche e giuridiche, enti e associazioni, identificati o identificabili, anche indirettamente, mediante riferimento a qualunque altra informazione, ivi compreso un numero di identificazione personale;
Per dato sensibile si intendono tutti quei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché lo stato di salute, e la vita sessuale. .
Per dato giudiziario si intendono tutti quei dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli Articoli 60 e 61 del codice di procedura penale.
Il titolare: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni in ordine alle finalità ed alle modalità di trattamento, ivi compresa la sicurezza degli stessi. Il responsabile: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento. L’incaricato: colui che elabora i dati personali ai quali ha accesso attenendosi alle istruzioni impartite dal titolare o dal responsabile. L’interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali
Il trattamento dei dati personali è qualunque operazione o complesso di operazioni svolti con o senza l’ausilio di un elaboratore elettronico o di un procedimento comunque automatizzato, che concerne le seguenti operazioni: raccolta dei dati registrazione organizzazione conservazione elaborazione blocco modificazione selezione, estrazione, raffronto utilizzo interconnessione comunicazione diffusione cancellazione distruzione
comunicazione: dare conoscenza dei dati personali, in qualunque forma, a soggetti determinati; diffusione: dare conoscenza dei dati personali, in qualunque forma, a soggetti indeterminati;
L’informativa (art.13) L’ informativa è una dichiarazione che il titolare o il responsabile fa all’ interessato in forma scritta od orale circa l’utilizzo delle informazioni che lo riguardano. rappresenta una mappa attraverso la quale l’interessato rintraccia i propri dati in ogni momento e può esercitare i diritti riconosciuti dall’art.7 del T.U.
Quali informazioni deve contenere: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.
Eccezioni (art.13) L’informativa non si applica quando: a) I dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) I dati sono trattati ai fini dello svolgimento di investigazioni difensive, o per far valere un diritto in sede giudiziaria, per il periodo strettamente necessario al loro perseguimento; c) L’informativa all’interessato comporta un impiego di mezzi che il Garante dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli impossibile a giudizio del Garante.
Consenso (art.23) Il consenso è una libera ed esplicita manifestazione di volontà dell’interessato in relazione all’utilizzo dei propri dati personali da parte di terzi, che in qualità di “titolari” del trattamento dei dati ne decidono le finalità e le modalità.
Eccezioni (art.24) Il consenso non è richiesto quando il trattamento: a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere a specifiche richieste dell‘interessato; c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque fermo restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
d) riguarda dati relativi allo svolgimento di attività economiche; e) è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. f) è necessario ai fini dello svolgimento delle investigazioni difensive; g) è effettuato da associazioni enti o organismi senza scopo di lucro, in riferimento a soggetti o ad aderenti che hanno con essi contatti regolari per il perseguimento di scopi determinati e individuati dall’atto costitutivo
LA NOTIFICAZIONE (art.37) La notificazione è una dichiarazione con la quale un soggetto pubblico o privato rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali. La notificazione va effettuata prima che inizi il trattamento medesimo.
Vanno notificati esclusivamente dati personali che riguardano (art a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
L’AUTORIZZAZIONE L’autorizzazione costituisce una condizione di liceità del trattamento dei dati sensibili e giudiziari. Per quanto riguarda i primi, l’articolo 26 prevede che se un soggetto privato intende utilizzare dati sensibili deve soddisfare 2 condizioni di legittimità e cioè: a) Che l’interessato abbia acconsentito per iscritto. b) Che sia stata ottenuta l’autorizzazione del garante.
Le autorizzazioni possono distinguersi in: Autorizzazioni generali Con esse l’autorità acconsente a operazioni di trattamento di dati sensibili e giudiziari a determinate categorie di titolari o di trattamenti e sono pubblicate sulla Gazzetta Ufficiale della Repubblica italiana. Autorizzazioni specifiche Quando il trattamento che il titolare pone in essere non è regolamentato, e quindi non contemplato nelle autorizzazioni generali ma sarà lo stesso titolare a sottoporre una dettagliata richiesta di autorizzazione al Garante tramite la compilazione di un modulo specifico rilasciato dall’autorità (Art. 41).
Le autorizzazioni generali valide fini al 31.12.2005 i rapporti di lavoro (aut.n.1/2004); i dati sulla salute e le vita sessuale (aut. n.2/2004); le associazioni e fondazioni (aut. n.3/2004); i liberi professionisti (aut. n.4/2004); le attività creditizie, assicurative, i sondaggi, l'elaborazione dati e da altre attività private (aut. n.5/2004); gli investigatori privati (aut. n.6/2004); i dati di carattere giudiziario (aut. n. 7/2004).
Obblighi di sicurezza – Misure idonee Nel custodire e controllare i dati, devono essere adottate idonee e preventive misure di sicurezza per ridurre al minimo I rischi di distruzione e perdita (anche accidentale) dei dati, accesso non autorizzato, trattamento non consentito o non conforma agli scopi.
Obblighi di sicurezza – misure minime Nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate dal Codice ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
A) Trattamento con strumenti elettronici (Art. 34) 1. Il sistema deve disporre di un sistema di autenticazione degli utenti (password, firma digitale e impronte digitali). 2. Il titolare deve adottare delle appropriate procedure di gestione delle credenziali di autenticazione. 3. Deve essere definito un sistema di autorizzazione per abilitare gli utenti all’accesso ai dati e/o trattamenti. 4. Adozione di appropriate procedure a cadenza periodica per aggiornare le utenze e i relativi profili.
5. Gli strumenti elettronici devono essere protetti da accessi non autorizzati da parte di utenti, programmi informatiti e da trattamenti illeciti. 6. Il titolare deve adottare procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi. 7. Il titolare deve adottare un Documento Programmatico sulla Sicurezza. 8. E’ obbligatorio adottare tecniche di cifratura per i trattamenti atti a rivelare lo stato di salute o la vita sessuale rilevati da organismi sanitari.
B)Trattamento senza l’ausilio di strumenti elettronici (Art.35) 1. Bisogna aggiornare periodicamente l'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative. 2. Devono essere previste delle procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti. 3. Devono essere previste procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
Le informazioni contenute nel DPS: l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonchè la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;
Le informazioni contenute nel DPS: 5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; 6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati e delle misure disponibili per prevenire eventi dannosi;
Le informazioni contenute nel DPS: 7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare; 8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Cessazione del trattamento Quando cessa un trattamento i dati devono essere: a) distrutti; b) ceduti ad altro titolare per un trattamento compatibile con gli scopi originari; c) conservati per scopi personali (non comunicati sistematicamente o diffusi); d) conservati o ceduti per scopi storici, statistici o di ricerca scientifica.
ILLECITI CIVILI Sanzioni Amministrative Art. 161 Omessa o inidonea informativa Sanzione da 3.000 € a 18.000 € Art. 161 Omessa informativa per dati sensibili o giudiziari Sanzione da 5.000 € a 30.000 € Art. 163 Omessa o incompleta notificazione al Garante Sanzione da 10.000 € a 60.000 €Art. 164 Omessa informazione o esibizione dei documenti Sanzione da 4.000 € a 24.000 € ILLECITI PENALI Sanzioni Penali Art. 167 Trattamento illecito di dati personali Reclusione da 6 mesi a 3 anni. Art. 168 Falsità nelle dichiarazioni e notificazioni al Garante Reclusione da 6 mesi a 3 anni Art. 169 Omessa adozione delle misure minime di sicurezza Arresto fino a 2 anni o sanzione amministrativa, pagamento di una somma da 10.000 € a 50.000 € Art. 170 Innosservanza dei provvedimenti del Garante Reclusione da tre mesi a due anni
" .... solo se non saremo implacabilmente seguiti dalla registrazione d'ogni traccia che lasciamo, .... potrà nascere la libertà di donne e uomini ...." - Prof. Stefano Rodotà