ADALBERTO A BB CC - EPC EDITOREdiretta alla privacy, è entrato in vigore, quasi integralmente, il 1...
Transcript of ADALBERTO A BB CC - EPC EDITOREdiretta alla privacy, è entrato in vigore, quasi integralmente, il 1...
1
ADALBERTOBIASIOTTI BB CCAA
sulla TUTELAdella
PRIVACYManuale ad uso
degli incaricati del trattamentodei dati personali
Aggiornato con il D.Lgs. 196/2003 e s.m.i.
e con la più recentegiurisprudenza
1-72:1-52.qxp 18/03/2011 16.25 Pagina 1
sulla TUTELA della PRIVACY
3
AA BB CC
INDI
CE
• Un’introduzione alle leggi sulla protezione dei dati personali: Europa ed Italia ........................... 4
• Dalla Legge 675/1996 al Codice in materiadi protezione dei dati personali .............................. 10
• Interessato, titolare, responsabile, incaricati di vario tipo, amministratori di sistema e Garante..... 13
• L’informativa ed il consenso al trattamento dei dati personali ............................. 32
• Il diritto di accesso ed intervento sui dati personali ... 40
• Datori di lavoro e dati personali ..............................45
• Internet, posta elettronica e privacy ...........................50
• La notificazione al Garante .................................... 59
• La comunicazione, la diffusione,il trattamento all’estero e la cessazione del trattamento di dati personali ............................. 61
• Le misure di sicurezzaed il coinvolgimento degli incaricati......................... 71
• Gli impianti di videosorveglianza............................ 93
• La privacy nel condominio ..................................... 95
• I compiti del Garante e l’attività ispettiva ................ 97
• Colpe, illeciti e tutela ........................................... 111
• Allegato B - Disciplinare tecnico in materiadi misure minime di sicurezza(art. da 33 a 36 del Codice)................................. 119
1-72:1-52.qxp 18/03/2011 16.25 Pagina 3
UN’INTRODUZIONE ALLE LEGGISULLA PROTEZIONE DEI DATI PERSONALI: EUROPA ED ITALIA
L’Unione Europea ha emanato nel 1995 una direttiva nellaquale si dà forza di legge ad un concetto che il buon sensoaveva da tempo messo in luce: l’esigenza di riservatezza e si-curezza nel trattamento dei dati personali, da parte di terzi.Infatti:
ogni giorno vengono raccolti milioni di informazioni e dati che riguardano
ognuno di noi.Questi dati vengono immessi in potenti sistemi di elabora-
zione che li aggregano, li separano e li estrapolano in varimodi, per le finalità più svariate.
Vi è chi utilizza questi dati per inviare pubbli-cità per posta, chi li utilizza
per effettuare ricerche dimercato, ma anche chi liusa per fini più o meno le-gittimi.
Se poi pensiamo che traquesti dati vi possono esse-re informazioni particolari,come i dati inerenti la salu-te, le affiliazioni sindacali
4
In un insieme di individui, il dato personaleidentifica il soggetto considerato(per anagrafe, sesso,professione ecc.) come “unico”
1-72:1-52.qxp 18/03/2011 16.25 Pagina 4
e partitiche, od i convincimenti religiosi (i cosiddetti dati sen-sibili), appare evidente la necessità di norme che tutelino:
- la raccolta, - l’elaborazione, - la diffusione,- la comunicazione a terzi di queste informazioni,- il trasferimento all’estero e la distruzione, quando non
più necessaria, dei dati stessi.
La Direttiva Europea è stata recepita in tutti i paesi membrie dall’8 gennaio 1997 anche in Italia con la pubblicazionedella legge 675/96, seguita dal Codice in materia di tratta-mento di dati personali n. 196/2003.
Il Codice prevede una serie di adempimenti a carico di tut-ti coloro che raccolgono e trattano questi dati, sia in forma au-tomatizzata sia in forma manuale, ed individua una sorta di“diritto di proprietà” a favore dell’interessato, cioè della per-
sulla TUTELA della PRIVACY
5
AA BB CC
INFORMAZIONI
1-72:1-52.qxp 18/03/2011 16.25 Pagina 5
sona cui i dati fanno riferimento, che deve poterne con-trollare l’utilizzo.
Il mancato rispetto delle prescrizioni delCodice prevede sanzioni di carattere pe-nale e civile. La responsabilità del control-lo sulla corretta applicazione del Codice èaffidata ad un organo collegiale, formatoda quattro membri, chiamato
GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DATI PERSONALI E DATI PARTICOLARI
È considerato dato personalequalunque informazione relativaa persona fisica, persona giuri-dica, ente o associazione iden-tificate o identificabili, anche in-direttamente, mediante riferi-mento a qualsiasi altra informa-zione: tuttavia anche se un dato èdisponibile su pubblici elenchi, nonsignifica che esso possa essere libera-mente utilizzato da chiunque.
Nel dubbio, è meglio essere prudenti, considerando comepersonali le informazioni di qualsiasi natura inerenti specifi-che persone od enti.
6
21 43
1-72:1-52.qxp 18/03/2011 16.25 Pagina 6
Il Codice inoltre introduce un’ulterio-re specificazione, nell’ambito dei datipersonali, introducendo la categoria deidati particolari, nei quali rientrano i da-ti sensibili ed i dati attinenti alla storiagiudiziaria del soggetto in causa.
Trascurando la seconda categoria didati particolari, merita estrema attenzionela categoria dei dati sensibili, che ilCodice individua come dati afferenti alle con-vinzioni politiche e filosofiche dell’interessato, dati afferenti al-la salute, dati afferenti ad affiliazioni partitiche e sindacali evia dicendo.
Questa categoria di dati viene più volte richia-mata nei capitoli successivi, per il fatto che ilCodice esige, nel trattamento e nella custodia ditali dati, l’attuazione di cautele di alto livello,proprio perché un’eventuale conoscenza diquesti dati da parte di terzi potrebbe avere ri-flessi estremamente gravi sull’interessato.
Quando, in particolare, verranno esamina-te le misure di sicurezza da adottare in fase ditrattamento, si vedrà in dettaglio la so-stanziale differenza nel numero e nel-la tipologia di precauzioni, che ilCodice impone, e fin da adesso si ri-chiama l’attenzione del lettore su questo critico aspettodell’attività di trattamento.
sulla TUTELA della PRIVACY
7
AA BB CC
Il dato personale come patrimonio
prezioso da tutelare
1-72:1-52.qxp 18/03/2011 16.25 Pagina 7
LA RACCOLTA DEI DATI PERSONALIIn fase di raccolta di questi dati, è necessario:
• informare l’interessato:- sull’uso che ne verrà fatto, indicando la finalità della
raccolta, la modalità, i limiti del trattamento;- sull’eventuale comunicazione e diffusione di questi dati
a terzi;- sui suoi diritti, che comprendono il diritto di accesso,
rettifica, aggiornamento ed anche la cancellazione deisuoi dati;
• infine ottenere il suo consenso all’utilizzo, comunque do-cumentato ed in particolare scritto (per i soli dati sensibili).
Naturalmente il Codice prevede una serie di eccezioni aquesta rigorosa tutela.
Ad esempio, se la raccolta dati è neces-saria per soddisfare un contratto fir-mato dall’interessato, il consenso nonè necessario, in quanto lo si ritiene im-plicito.
Parimenti, il consenso non è necessa-rio per raccogliere dati acquisiti primadell’entrata in vigore della legge
675/96. Resta comunque valido il principio che, anchese in fase di raccolta potrebbe non essere necessario il
consenso, è fatta salva la facoltà dell’interessato di nega-re il consenso al successivo trattamento. È questo il tipico ca-so dell’invio di sollecitazioni postali non richieste.
8
1-72:1-52.qxp 18/03/2011 16.25 Pagina 8
EUROPA ED ITALIAUna delle molte ragioni che hanno portato
il legislatore italiano ad approvare questoCodice va ricercata nell’armonizzazionedella tutela dei dati personali, in tuttaEuropa, come premessa alla libera circola-zione dei dati stessi.
Merita di essere sottolineato il fatto chel’approvazione di questo Codice fa sì che idati personali di un qualunque interessato possano li-beramente circolare in tutta Europa, od almeno in tuttiquei paesi dove è in vigore un Codice similare. Questa li-bertà di circolazione è limitata per alcune categorie di da-ti, come quelli sensibili, di cui parleremo in seguito.
Nei capitoli successivi vedremo come i concetti, qui in-trodotti in linea generale, vengono concretamente appli-cati e quali sono gli obblighi, numerosi, e le facilitazioni,certo non altrettanto numerose,che sono a disposizione ditutti coloro che trattano, perobbligo o per scelta, i datipersonali.
sulla TUTELA della PRIVACY
9
AA BB CC
1-72:1-52.qxp 18/03/2011 16.25 Pagina 9
DALLA LEGGE 675/1996AL CODICE IN MATERIA DIPROTEZIONE DEI DATI PERSONALI
I principi generali sopra illustrati sono tratti dalle diret-tive europee e sono stati recepiti nelle legislazioni dei di-versi paesi europei, con alcune differenze.
Poiché, inoltre, il tema della protezione dei dati perso-nali è in continua evoluzione, dalla data di pubblicazionedella prima legge 675/96 sulla protezione dati persona-li ad oggi si sono succeduti numerosissimi provvedimentilegislativi e numerose interpretazioni, illustrate nei prov-vedimenti del Garante.
Infine il parlamento ha autorizzato il governo ad emet-tere un decreto legislativo, sorta di “testo unico sulla pri-
vacy”, in grado di raccogliere ed armonizzare iprovvedimenti emessi nell’arco di sei anni.
Questo documento, chiamato Codice inmateria di protezione dei dati personali,è il decreto legislativo n. 196 del 30 giu-gno 2003. Esso ha apportato alcune si-gnificative innovazioni, rispetto ai dettatidella legge 675/96.
Diamo di seguito una sintetica illustrazio-ne di queste innovazioni, dedicando uncapitolo speciale ad un tema di partico-lare importanza, vale a dire le misure disicurezza nel trattamento di dati perso-nali, che vengono trattate in un apposito
allegato al decreto legislativo stesso.
10
1-72:1-52.qxp 18/03/2011 16.25 Pagina 10
sulla TUTELA della PRIVACY
11
AA BB CC
L’ARTICOLAZIONE DEL CODICEIl testo unico in materia di protezione dei
dati personali è ispirato all’introduzione dinuove garanzie per i cittadini, alla razio-nalizzazione delle norme esistenti ed allaloro semplificazione.
Il provvedimento, sulla base dell’espe-rienza di 6 anni, riunisce in un unico con-testo la Legge 675/1996 e gli altri decretilegislativi, regolamenti e codici deontologi-ci che si sono succeduti in questi anni, econtiene anche importanti innovazioni, te-nendo conto dei provvedimenti emessi dal Garante e della di-rettiva UE 2000/58 sulla riservatezza nelle comunicazionielettroniche.Il Codice è diviso in tre parti:
• la prima dedicata alle disposizioni generali, riordinatein modo tale da trattare tutti gli adempimenti e le rego-le del trattamento, con riferimento ai settori pubblico eprivato;
• la seconda è dedicata a specifici settori: questa sezione,oltre a disciplinare aspetti in parte inediti (informazio-ne giuridica, notificazioni di atti giudizia-ri, dati sui comportamenti debitori),completa anche la disciplina, attesada tempo, per il settore degli organi-smi sanitari e quella dei controlli suilavoratori;
1-72:1-52.qxp 18/03/2011 16.25 Pagina 11
12
• la terza parte affronta le tutele amministrative e giurisdi-zionali, con il consolidamento delle sanzioni amministra-tive e penali e con le disposizioni relative all’Ufficio delGarante.
Il Codice, che rappresenta il primo ten-tativo al mondo di conformare le innume-revoli disposizioni relative anche in via in-diretta alla privacy, è entrato in vigore,quasi integralmente, il 1 gennaio 2004.
In allegato al Codice vengono pubblica-ti i codici deontologici già approvati e vie-ne proposto un disciplinare, che illustra lenuove misure minime di sicurezza in fasedi trattamento dei dati personali, cui è de-dicato un apposito capitolo.
1-72:1-52.qxp 18/03/2011 16.26 Pagina 12
INTERESSATO, TITOLARE,RESPONSABILE, INCARICATIDI VARIO TIPO, AMMINISTRATORIDI SISTEMA E GARANTE
Il Codice ha individuato con accuratezza ipersonaggi, che sono direttamente coinvoltinel garantire ad ogni cittadino il rispetto del-la sua privacy, in fase di trattamento dei da-ti personali che lo riguardano.
L’INTERESSATOSi definisce interessato il cittadino o l’entità, anche azienda-
le o persona giuridica, cui i dati personali si riferiscono. È si-gnificativo rilevare che in altre legislazioni, come ad esempioin quella britannica, l’espressione equivalente utilizzata è“data subject”, vale a dire il “soggetto dei dati”.Questa espressione fa in un certo senso riferimentoal fatto che vi è una sorta di proprietà o titolaritàdei dati personali, da parte dell’interessato cui essi siriferiscono.
L’individuazione di questo personaggio, nel qualepuò identificarsi qualsiasi persona fisica e giuridica, è for-se l’aspetto più innovativo di questo Codice, perché sinoad ora non si era mai codificato il fatto che ogni cittadinoha diritto di stabilire le regole, secondo le quali vengonotrattati i suoi dati personali e, più in generale, le regoleche governano il suo diritto alla privacy.
sulla TUTELA della PRIVACY
13
AA BB CC
1-72:1-52.qxp 18/03/2011 16.26 Pagina 13