Privacy

PRIVACY
NORMATIVE GENERALI
Certamente uno dei luoghi comuni più frequentati dall’odierno dibattito in corso nel nostro paese sul tema del diritto alla riservatezza è l’osservazione secondo la quale “non c’è privacy senza sicurezza”.La più importante legge italiana in materia di privacy è la legge 31 dicembre 1996, numero 675, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali [legge num. 6751] , più nota come legge sulla privacy, la quale attua la direttiva comunitaria 95/46/CE del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati [direttiva 45/96/CE2] .
È bene chiarire subito che la legge 675/96 non disciplina soltanto la privacy, cioè i dati riservati, ma piuttosto il trattamento dei dati personali, cioè la circolazione delle informazioni, siano esse riservate o meno. La legge 675/96 costituisce l’adempimento di altri obblighi internazionali da parte dell’Italia, fra i quali quelli derivanti dall’Accordo di Schengen e quelli derivanti dalla Convenzione del Consiglio d’Europa sulla Protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981. La legge 675/96 è stata integrata e modificata da molte altre disposizioni normative, cosicché è in corso di predisposizione un Testo Unico sulla privacy. Fra le più importanti disposizioni normative che hanno integrato la legge 675/96, si ricordano: il decreto legislativo 9 maggio 1997, numero 123 che ha introdotto la possibilità del consenso in forma orale; il decreto legislativo 28 luglio 1997, numero 255 concernente l’esonero e le semplificazioni delle notificazioni; il decreto legislativo 11 maggio 1999, numero 135, sulle disposizioni in materia di trattamento di dati particolari da parte di soggetti pubblici; il decreto legislativo 30 luglio 1999, numero 281 sul trattamento dei dati per finalità storiche, statistiche e di ricerca scientifica; il decreto legislativo 30 luglio 1999, numero 282, sul trattamento dei dati per garantire la riservatezza in ambito sanitario; il d.p.r. 31 marzo 1998, numero 501, sul funzionamento dell’ufficio del Garante che reca anche norme che disciplinano l’accesso ai dati personali; il decreto legislativo 13 maggio 1998, numero 171, recante disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni; il d.p.r. 28 luglio 1999, numero 318, sull’individuazione delle misure minime di sicurezza; il decreto legislativo 28 dicembre 2001, numero 467, disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali. A ciò si aggiungano le autorizzazioni generali in materia di trattamento dei dati sensibili.La legge 675/96 prevede che le disposizioni in essa contenute siano applicabili al trattamento di dati personali, come di seguito definito, da chiunque effettuato nel territorio dello Stato. La legge si applica, dunque, al trattamento di dati svolto con o senza l’ausilio di mezzi elettronici, al trattamento effettuato in Italia di dati detenuti in Italia o all’estero, alle banche di dati pubbliche e alle banche di dati private. Non rientra nel campo di applicazione della legge, se non limitatamente, il trattamento di dati personali effettuato da persone fisiche a fini esclusivamente personali, sempre che i dati non siano destinati alla comunicazione sistematica o alla diffusione. È il caso, ad esempio, della rubrica personale, della quale non deve essere notificata la costituzione, ma che deve essere custodita conformemente alle disposizioni legislative in materia di sicurezza, come dispone l’articolo 3 della legge 675/96 [Articolo 3]. È prevista, inoltre, l’esclusione di particolari trattamenti dall’ambito di applicazione della legge, come, ad esempio, del trattamento dei dati coperti da segreto di Stato o del trattamento dei dati effettuato dagli uffici giudiziari.La legge sulla privacy si applica indifferentemente al trattamento di dati con mezzi informatici e al trattamento di dati effettuato con altri mezzi, ad esempio cartacei. Riguarda, dunque, i dati in rete così come i dati contenuti negli archivi o nei registri cartacei. Il trattamento dei dati consiste in qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione , la diffusione , la cancellazione e la distruzione di dati. La definizione di trattamento comprende, in sostanza, qualunque operazione effettuata, con o senza mezzi automatizzati, sui dati.
La legge italiana disciplina specificamente, nell’ambito del trattamento dei dati, la comunicazione e la diffusione dei dati.
Per comunicazione si intende il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione: è il caso di un’informazione resa, per esempio, dall’insegnante ad un genitore.
Per diffusione si intende il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione: è il caso, ad esempio, della pubblicazione dei risultati degli scrutini mediante affissione in bacheca [Pubblicazione dei risultati degli scrutini] [Pubblicazione esiti scrutini non viola la privacy], oppure della pubblicazione di informazioni su Internet, nel sito dell’istituto scolastico. Bisogna, inoltre, distinguere
il caso in cui la comunicazione e la diffusione siano effettuate da un soggetto pubblico e il caso in cui siano effettuate da un soggetto privato.
L’ articolo 20 dispone che per la comunicazione e la diffusione effettuate da parte di soggetti privati o di enti pubblici economici è necessario il consenso espresso dell’interessato, oppure il ricorrere di circostanze equipollenti al consenso.
Invece, l’articolo 27 dispone che la comunicazione e la diffusione di dati personali da parte di soggetti pubblici ad altri soggetti pubblici, esclusi gli enti pubblici economici, devono essere previste da norme di legge o di regolamento, o risultare necessarie per lo svolgimento delle funzioni istituzionali. Se la comunicazione e la diffusione di dati non sono previste da normativa specifica, le amministrazioni devono darne comunicazione al Garante, il quale può vietarle.
La comunicazione e la diffusione di dati personali da parte di soggetti pubblici a privati o enti pubblici economici sono consentite solo se previste da disposizioni di legge o di regolamento.
In quest’ultimo caso, i soggetti pubblici non possono genericamente richiamarsi allo svolgimento delle funzioni istituzionali ed è necessario che la comunicazione e la diffusione di dati a soggetti privati siano effettuate attraverso regole espresse e precostituite.
Di conseguenza, le amministrazioni pubbliche non possono in mancanza di specifiche disposizioni legislative o regolamentari, comunicare e diffondere dati a soggetti privati, diversi dal soggetto al quale i dati si riferiscono.La legge stabilisce nell’articolo 10 il diritto dell’ interessato (nel caso specifico, dello studente) di essere informato.
Per potere validamente prestare il proprio consenso, qualora il consenso sia richiesto, e, in generale, per potere esercitare il controllo, l’interessato deve disporre di alcune informazioni precisate nell’articolato e cioè di informazioni concernenti:
· le finalità e le modalità del trattamento cui sono destinati i dati;
· la natura obbligatoria o facoltativa del conferimento dei dati;
· le conseguenze di un eventuale rifiuto di rispondere;
· i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi;
· i diritti che gli sono riconosciuti dalla legge;
· le finalità e le modalità del trattamento;
· il titolare e il responsabile del trattamento dei dati.
Giova precisare che l’interessato deve essere informato, secondo quanto precisato dall’articolo 10, anche nel caso in cui il suo consenso non sia richiesto: ad esempio, qualora i dati siano raccolti da un soggetto pubblico.
Le informazioni devono essere fornite all’interessato per iscritto, al più tardi al momento della prima comunicazione dei dati. I diritti di accesso e di rettifica della persona interessata sono dettagliatamente disciplinati nell’articolo 13 e si articolano nel diritto dell’interessato di conoscere, mediante accesso gratuito al registro dei trattamenti, tenuto dal Garante, l’esistenza di trattamenti di dati che possano riguardarlo e nel diritto di ricevere le informazioni essenziali sul titolare e sul responsabile del trattamento dei dati, nonché sulle finalità e le modalità del trattamento.
Nei confronti del titolare o del responsabile del trattamento sono riconosciuti all’interessato i seguenti diritti:
· il diritto di ottenere, senza ritardo, la conferma dell’esistenza o meno di trattamenti di dati che lo riguardano, informazioni sui dati e sulla logica del trattamento, nonché di ottenere la comunicazione dei dati;
· il diritto di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge;
· il diritto di rettifica, cioè di integrare, aggiornare e rettificare i dati;
· il diritto di ottenere l’attestazione che le operazioni di cancellazione e di rettifica siano state portate a conoscenza dei terzi;
· il diritto di opporsi, per motivi legittimi, al trattamento dei dati che lo riguardano, ancorché pertinenti allo scopo della raccolta.
Le scuole, come tutti i soggetti titolari di trattamenti di dati personali, devono consentire all’interessato, cioè allo studente, di esercitare i diritti che la legge gli riconosce , anche predisponendo un’organizzazione adeguata.
COME ADEGUARSI ALLE LEGGI
Il quadro normativo :
Richiede una precisa documentazione redatta e aggiornata nel tempo
Prevede verifiche ispettive periodiche e conseguente redazione di appositi verbali
Disciplina le caratteristiche degli archivi fisici e dei Sistemi Informativi, e prevede specifiche
contromisure fisiche e tecnologiche per garantire la Sicurezza di dati e informazioni
Impone l’obbligo di formare il personale
I soggetti che si devono adeguare sono in particolar modo le aziende, indipendentemente dalla loro dimensione, i liberi professionisti, le pubbliche amministrazioni e le associazioni
… ovvero chiunque tratti dati personali di clienti, cittadini, dipendenti, fornitori, utenti, pazienti, colleghi, soci, ecc. I principali adempimenti sono i seguenti:
· Informativa: obbligo per il titolare del trattamento di dare anticipatamente l’informativa all’interessato fornendo informazioni sul trattamento dei dati
· Consenso: Il consenso dell’interessato al trattamento dei propri dati personali costituisce il presupposto per la legittima utilizzazione dei dati da parte di terzi soggetti. La validità del consenso viene disciplinata differentemente a seconda della tipologia del dato trattato dall’azienda.
· Trattamento: Obblighi dell’azienda per il trattamento dei dati personali o sensibili
· Notifica al Garante: Notificazione all’Autorita’ Garante del trattamento di alcuni dati secondo determinate modalita’
· Sicurezza: i dati devono essere trattati secondo definite misure di sicurezza tecniche ed organizzative
Il Nuovo Codice conferma l’obbligo di redigere il Documento Programmatico sulla Sicurezza.Sostanzialmente il Legislatore affida al DPS il ruolo di dichiarazione di adeguamento dell’Azienda. Tale documento deve essere redatto e aggiornato dal Titolare dei dati (o da un responsabile designato) il 31 Marzo di ogni anno e deve essere menzionato nella relazione accompagnatoria del bilancio d’esercizio (Punto 26 Disciplinare Tecnico in materia di Misure Minime di Sicurezza).Tale documento contiene informazioni riguardo a :
· L’elenco dei trattamenti di dati personali
· La distribuzione dei compiti e responsabilità nell’ambito delle figure preposte al trattamento dei dati in azienda
· L’analisi dei rischi che incombono sui dati
· Le misure di sicurezza logica, fisica e organizzativa per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità
· La descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distribuzione o danneggiamento
· La previsione di interventi formativi degli incaricati del trattamento in materia di sicurezza e protezione dei dati personali
· La descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità a codice, all’esterno della struttura del titolare
· Per i dati personali idonei a rilevare lo stesso stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell’Interessato
CONTROLLI E SANZIONI
Esiste un accordo tra il garante e la guardia di finanza.L’accordo ha l’obiettivo di regolare una sempre più intensa attività di controllo sulla raccolta dati.La Guardia di finanza collaborerà alle attività ispettive attraverso:
· La partecipazione del proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento
· sviluppo di attività per l’accertamento delle violazioni di natura penale ed amministrativa
o l’assistenza nei rapporti con l’Autorità Giudiziaria
o il reperimento di dati e informazioni sui soggetti da controllare
o il Corpo collabora nell’esecuzione di indagini conoscitive sullo stato di attuazione della legge in determinati settori
o L’Autorità, in merito alle questioni in cui ritenga necessario avvalersi della collaborazione, attiverà il Nucleo Speciale Servizi Extratributari della Guardia di Finanza il quale assicura, con proiezioni su tutto il territorio nazionale, gli adempimenti connessi all’attivita’ di collaborazione avvalendosi, ritenuto il caso, dei Nuclei di Polizia Tributaria territorialmente competenti.
Questa tabella riporta le sanzioni a cui si va incontro nel caso di mancati adempimenti ai parametri stabiliti o di violazioni stabilite dalla legge
Adempimenti Violazioni Sanzioni
Informativa dell’Interessato Mancata Informativa Sanzione amministrativa da € 3.000 a € 18.000 aumentata fino a 3 volte se inefficace in ragione delle condizioni economiche del contravventore
Consenso dell’Interessato Mancato consenso Sanzione penale: Reclusione fino a 6 mesi in funzione del tipo di dati o reato
Trattamento dei dati Comunicazione o diffusione non consentita Sanzione penale: reclusione da 6 mesi a 3 anni.
Informativa dell’Interessato Mancata Informativa per dati particolari Sanzione amministrativa da € 5.000 a € 30.000 aumentatafino a 3 volte se inefficace in ragione delle condizioni economiche del contravventore
Trattamento dei dati Danni cagionati per effetto del trattamento dei dati personali Risarcimento danni (2050 codice civile svolgimento di attività pericolose); è onere del titolare provare di aver adottato tutte le misure minime idonee a prevenire il danno (inversione dell’onere di prova)
Rapporti col Garante Omissione di informazioni o documenti richiesti dal Garante Sanzione amministrativa da€ 4.000 a € 24.000

Farhad Pezeshki

Giornalista e traduttore libero professionista.