1

ADALBERTOBIASIOTTI BB CCAA

sulla TUTELAdella

PRIVACYManuale ad uso

degli incaricati del trattamentodei dati personali

Aggiornato con il D.Lgs. 196/2003 e s.m.i.

e con la più recentegiurisprudenza

1-72:1-52.qxp 18/03/2011 16.25 Pagina 1

sulla TUTELA della PRIVACY

3

AA BB CC

INDI

CE

• Un’introduzione alle leggi sulla protezione dei dati personali: Europa ed Italia ........................... 4

• Dalla Legge 675/1996 al Codice in materiadi protezione dei dati personali .............................. 10

• Interessato, titolare, responsabile, incaricati di vario tipo, amministratori di sistema e Garante..... 13

• L’informativa ed il consenso al trattamento dei dati personali ............................. 32

• Il diritto di accesso ed intervento sui dati personali ... 40

• Datori di lavoro e dati personali ..............................45

• Internet, posta elettronica e privacy ...........................50

• La notificazione al Garante .................................... 59

• La comunicazione, la diffusione,il trattamento all’estero e la cessazione del trattamento di dati personali ............................. 61

• Le misure di sicurezzaed il coinvolgimento degli incaricati......................... 71

• Gli impianti di videosorveglianza............................ 93

• La privacy nel condominio ..................................... 95

• I compiti del Garante e l’attività ispettiva ................ 97

• Colpe, illeciti e tutela ........................................... 111

• Allegato B - Disciplinare tecnico in materiadi misure minime di sicurezza(art. da 33 a 36 del Codice)................................. 119

1-72:1-52.qxp 18/03/2011 16.25 Pagina 3

UN’INTRODUZIONE ALLE LEGGISULLA PROTEZIONE DEI DATI PERSONALI: EUROPA ED ITALIA

L’Unione Europea ha emanato nel 1995 una direttiva nellaquale si dà forza di legge ad un concetto che il buon sensoaveva da tempo messo in luce: l’esigenza di riservatezza e si-curezza nel trattamento dei dati personali, da parte di terzi.Infatti:

ogni giorno vengono raccolti milioni di informazioni e dati che riguardano

ognuno di noi.Questi dati vengono immessi in potenti sistemi di elabora-

zione che li aggregano, li separano e li estrapolano in varimodi, per le finalità più svariate.

Vi è chi utilizza questi dati per inviare pubbli-cità per posta, chi li utilizza

per effettuare ricerche dimercato, ma anche chi liusa per fini più o meno le-gittimi.

Se poi pensiamo che traquesti dati vi possono esse-re informazioni particolari,come i dati inerenti la salu-te, le affiliazioni sindacali

4

In un insieme di individui, il dato personaleidentifica il soggetto considerato(per anagrafe, sesso,professione ecc.) come “unico”

1-72:1-52.qxp 18/03/2011 16.25 Pagina 4

e partitiche, od i convincimenti religiosi (i cosiddetti dati sen-sibili), appare evidente la necessità di norme che tutelino:

- la raccolta, - l’elaborazione, - la diffusione,- la comunicazione a terzi di queste informazioni,- il trasferimento all’estero e la distruzione, quando non

più necessaria, dei dati stessi.

La Direttiva Europea è stata recepita in tutti i paesi membrie dall’8 gennaio 1997 anche in Italia con la pubblicazionedella legge 675/96, seguita dal Codice in materia di tratta-mento di dati personali n. 196/2003.

Il Codice prevede una serie di adempimenti a carico di tut-ti coloro che raccolgono e trattano questi dati, sia in forma au-tomatizzata sia in forma manuale, ed individua una sorta di“diritto di proprietà” a favore dell’interessato, cioè della per-

sulla TUTELA della PRIVACY

5

AA BB CC

INFORMAZIONI

1-72:1-52.qxp 18/03/2011 16.25 Pagina 5

sona cui i dati fanno riferimento, che deve poterne con-trollare l’utilizzo.

Il mancato rispetto delle prescrizioni delCodice prevede sanzioni di carattere pe-nale e civile. La responsabilità del control-lo sulla corretta applicazione del Codice èaffidata ad un organo collegiale, formatoda quattro membri, chiamato

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DATI PERSONALI E DATI PARTICOLARI

È considerato dato personalequalunque informazione relativaa persona fisica, persona giuri-dica, ente o associazione iden-tificate o identificabili, anche in-direttamente, mediante riferi-mento a qualsiasi altra informa-zione: tuttavia anche se un dato èdisponibile su pubblici elenchi, nonsignifica che esso possa essere libera-mente utilizzato da chiunque.

Nel dubbio, è meglio essere prudenti, considerando comepersonali le informazioni di qualsiasi natura inerenti specifi-che persone od enti.

6

21 43

1-72:1-52.qxp 18/03/2011 16.25 Pagina 6

Il Codice inoltre introduce un’ulterio-re specificazione, nell’ambito dei datipersonali, introducendo la categoria deidati particolari, nei quali rientrano i da-ti sensibili ed i dati attinenti alla storiagiudiziaria del soggetto in causa.

Trascurando la seconda categoria didati particolari, merita estrema attenzionela categoria dei dati sensibili, che ilCodice individua come dati afferenti alle con-vinzioni politiche e filosofiche dell’interessato, dati afferenti al-la salute, dati afferenti ad affiliazioni partitiche e sindacali evia dicendo.

Questa categoria di dati viene più volte richia-mata nei capitoli successivi, per il fatto che ilCodice esige, nel trattamento e nella custodia ditali dati, l’attuazione di cautele di alto livello,proprio perché un’eventuale conoscenza diquesti dati da parte di terzi potrebbe avere ri-flessi estremamente gravi sull’interessato.

Quando, in particolare, verranno esamina-te le misure di sicurezza da adottare in fase ditrattamento, si vedrà in dettaglio la so-stanziale differenza nel numero e nel-la tipologia di precauzioni, che ilCodice impone, e fin da adesso si ri-chiama l’attenzione del lettore su questo critico aspettodell’attività di trattamento.

sulla TUTELA della PRIVACY

7

AA BB CC

Il dato personale come patrimonio

prezioso da tutelare

1-72:1-52.qxp 18/03/2011 16.25 Pagina 7

LA RACCOLTA DEI DATI PERSONALIIn fase di raccolta di questi dati, è necessario:

• informare l’interessato:- sull’uso che ne verrà fatto, indicando la finalità della

raccolta, la modalità, i limiti del trattamento;- sull’eventuale comunicazione e diffusione di questi dati

a terzi;- sui suoi diritti, che comprendono il diritto di accesso,

rettifica, aggiornamento ed anche la cancellazione deisuoi dati;

• infine ottenere il suo consenso all’utilizzo, comunque do-cumentato ed in particolare scritto (per i soli dati sensibili).

Naturalmente il Codice prevede una serie di eccezioni aquesta rigorosa tutela.

Ad esempio, se la raccolta dati è neces-saria per soddisfare un contratto fir-mato dall’interessato, il consenso nonè necessario, in quanto lo si ritiene im-plicito.

Parimenti, il consenso non è necessa-rio per raccogliere dati acquisiti primadell’entrata in vigore della legge

675/96. Resta comunque valido il principio che, anchese in fase di raccolta potrebbe non essere necessario il

consenso, è fatta salva la facoltà dell’interessato di nega-re il consenso al successivo trattamento. È questo il tipico ca-so dell’invio di sollecitazioni postali non richieste.

8

1-72:1-52.qxp 18/03/2011 16.25 Pagina 8

EUROPA ED ITALIAUna delle molte ragioni che hanno portato

il legislatore italiano ad approvare questoCodice va ricercata nell’armonizzazionedella tutela dei dati personali, in tuttaEuropa, come premessa alla libera circola-zione dei dati stessi.

Merita di essere sottolineato il fatto chel’approvazione di questo Codice fa sì che idati personali di un qualunque interessato possano li-beramente circolare in tutta Europa, od almeno in tuttiquei paesi dove è in vigore un Codice similare. Questa li-bertà di circolazione è limitata per alcune categorie di da-ti, come quelli sensibili, di cui parleremo in seguito.

Nei capitoli successivi vedremo come i concetti, qui in-trodotti in linea generale, vengono concretamente appli-cati e quali sono gli obblighi, numerosi, e le facilitazioni,certo non altrettanto numerose,che sono a disposizione ditutti coloro che trattano, perobbligo o per scelta, i datipersonali.

sulla TUTELA della PRIVACY

9

AA BB CC

1-72:1-52.qxp 18/03/2011 16.25 Pagina 9

DALLA LEGGE 675/1996AL CODICE IN MATERIA DIPROTEZIONE DEI DATI PERSONALI

I principi generali sopra illustrati sono tratti dalle diret-tive europee e sono stati recepiti nelle legislazioni dei di-versi paesi europei, con alcune differenze.

Poiché, inoltre, il tema della protezione dei dati perso-nali è in continua evoluzione, dalla data di pubblicazionedella prima legge 675/96 sulla protezione dati persona-li ad oggi si sono succeduti numerosissimi provvedimentilegislativi e numerose interpretazioni, illustrate nei prov-vedimenti del Garante.

Infine il parlamento ha autorizzato il governo ad emet-tere un decreto legislativo, sorta di “testo unico sulla pri-

vacy”, in grado di raccogliere ed armonizzare iprovvedimenti emessi nell’arco di sei anni.

Questo documento, chiamato Codice inmateria di protezione dei dati personali,è il decreto legislativo n. 196 del 30 giu-gno 2003. Esso ha apportato alcune si-gnificative innovazioni, rispetto ai dettatidella legge 675/96.

Diamo di seguito una sintetica illustrazio-ne di queste innovazioni, dedicando uncapitolo speciale ad un tema di partico-lare importanza, vale a dire le misure disicurezza nel trattamento di dati perso-nali, che vengono trattate in un apposito

allegato al decreto legislativo stesso.

10

1-72:1-52.qxp 18/03/2011 16.25 Pagina 10

sulla TUTELA della PRIVACY

11

AA BB CC

L’ARTICOLAZIONE DEL CODICEIl testo unico in materia di protezione dei

dati personali è ispirato all’introduzione dinuove garanzie per i cittadini, alla razio-nalizzazione delle norme esistenti ed allaloro semplificazione.

Il provvedimento, sulla base dell’espe-rienza di 6 anni, riunisce in un unico con-testo la Legge 675/1996 e gli altri decretilegislativi, regolamenti e codici deontologi-ci che si sono succeduti in questi anni, econtiene anche importanti innovazioni, te-nendo conto dei provvedimenti emessi dal Garante e della di-rettiva UE 2000/58 sulla riservatezza nelle comunicazionielettroniche.Il Codice è diviso in tre parti:

• la prima dedicata alle disposizioni generali, riordinatein modo tale da trattare tutti gli adempimenti e le rego-le del trattamento, con riferimento ai settori pubblico eprivato;

• la seconda è dedicata a specifici settori: questa sezione,oltre a disciplinare aspetti in parte inediti (informazio-ne giuridica, notificazioni di atti giudizia-ri, dati sui comportamenti debitori),completa anche la disciplina, attesada tempo, per il settore degli organi-smi sanitari e quella dei controlli suilavoratori;

1-72:1-52.qxp 18/03/2011 16.25 Pagina 11

12

• la terza parte affronta le tutele amministrative e giurisdi-zionali, con il consolidamento delle sanzioni amministra-tive e penali e con le disposizioni relative all’Ufficio delGarante.

Il Codice, che rappresenta il primo ten-tativo al mondo di conformare le innume-revoli disposizioni relative anche in via in-diretta alla privacy, è entrato in vigore,quasi integralmente, il 1 gennaio 2004.

In allegato al Codice vengono pubblica-ti i codici deontologici già approvati e vie-ne proposto un disciplinare, che illustra lenuove misure minime di sicurezza in fasedi trattamento dei dati personali, cui è de-dicato un apposito capitolo.

1-72:1-52.qxp 18/03/2011 16.26 Pagina 12

INTERESSATO, TITOLARE,RESPONSABILE, INCARICATIDI VARIO TIPO, AMMINISTRATORIDI SISTEMA E GARANTE

Il Codice ha individuato con accuratezza ipersonaggi, che sono direttamente coinvoltinel garantire ad ogni cittadino il rispetto del-la sua privacy, in fase di trattamento dei da-ti personali che lo riguardano.

L’INTERESSATOSi definisce interessato il cittadino o l’entità, anche azienda-

le o persona giuridica, cui i dati personali si riferiscono. È si-gnificativo rilevare che in altre legislazioni, come ad esempioin quella britannica, l’espressione equivalente utilizzata è“data subject”, vale a dire il “soggetto dei dati”.Questa espressione fa in un certo senso riferimentoal fatto che vi è una sorta di proprietà o titolaritàdei dati personali, da parte dell’interessato cui essi siriferiscono.

L’individuazione di questo personaggio, nel qualepuò identificarsi qualsiasi persona fisica e giuridica, è for-se l’aspetto più innovativo di questo Codice, perché sinoad ora non si era mai codificato il fatto che ogni cittadinoha diritto di stabilire le regole, secondo le quali vengonotrattati i suoi dati personali e, più in generale, le regoleche governano il suo diritto alla privacy.

sulla TUTELA della PRIVACY

13

AA BB CC

1-72:1-52.qxp 18/03/2011 16.26 Pagina 13