Da questo primo riconoscimento rivolto soprattutto alla vita familiare e privata, il diritto alla riservatezza si è andato sempre più affermando andando ad abbracciare ogni e qualsiasi manifestazione della vita privata.

La Comunità Europea ha imposto con una Direttiva agli Stati membri, l'emanazione di una legge che tutelasse tali diritti, soprattutto per poter entrare a far parte del Trattato di Schengen,

In Italia, tale Direttiva è stata recepita con l'emanazione della Legge 675 del 1996 chiamata anche Legge sulla Privacy.

La riservatezza oggi è soprattutto minacciata dalle tecniche informatiche, ecco perché la Legge 675/96 disciplina il trattamento dei dati dei dati relativi a persone o enti quando esso non ha finalità personali (ad es. archivio dei clienti di un medico o di un avvocato) e salvo che sia effettuato da soggetti pubblici espressamente autorizzati

A fine giugno è stato approvato il nuovo codice sulla Privacy. Il codice entrerà in vigore quasi integralmente entro gennaio 2004, esso sostituisce tutta la normativa precedente, in particolare la legge 675/96 ed il D.P.R . 318/99, che se pur restando in vigore sino al 31.12.2003 vengono abrogate dal 1 gennaio 2004 e quindi sostituite dal Nuovo Codice della Privacy.

E' bene iniziare a parlare di questa normativa chiarendo alcune definizioni, esaminandole così come le propone il codice.

Trattamento: si intende “qualunque operazione o complesso di operazioni effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, l'elaborazione., la modificazione, la selezione,l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione. La diffusione e la cancellazione distruzione di dati, anche se non registrati in una banca dati;

Dato personale: si intende dato personale “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.”

La normativa divide i dati in tre categorie:

•  Dati Comuni

•  Dati sensibili

•  Dati giudiziari

Per la prima categoria riteniamo non siano necessarie ulteriori spiegazioni.

Per dato sensibile invece si intende qualunque dato personale idoneo a rivelare:

•  L'origine razziale od etnica;

•  Le convinzioni religiose, filosofiche o di altro genere;

•  Le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere filosofico religioso, politico o sindacale;

•  Lo stato di salute e la vita sessuale.

La legge identifica alcuni soggetti coinvolti nella gestione dei dati personali, essi sono:

•  Il titolare ;

•  Il responsabile

•  Gli incaricati

•  L'interessato

•  Il titolare

“E' la persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui competono anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”

•  Il Responsabile

“ è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo preposti dal titolare al trattamento dei dati personali”

•  Incaricati

Sono “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”

•  L'interessato

“La persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.

All'articolo 4 comma p abbiamo inoltre la definizione di cosa si intende ai fini del codice per banca dati

La banca dati è qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti.

Dopo quanto sopra esposto risulta evidente che tutti i soggetti che svolgono un'attività economica trattino dati e rientrino nell'ambito applicativo della legge.

L'interessato, che come abbiamo visto è il soggetto a cui si riferiscono i dati personali, ha diritto di ottenere l'indicazione:

•  dell'origine dei dati personali;

•  delle finalità e modalità del trattamento

•  della logica applicata in caso di trattamento con l'ausilio di mezzi elettronici

•  degli estremi identificativi del titolare e dei responsabili

•  dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati.

Regole generali per il trattamento dei dati

La legge impone che i dati siano trattati:

•  In modo lecito e secondo correttezza;

•  raccolti e registrati per scopi determinati, espliciti e legittimi;

•  esatti e, se necessario aggiornati;

•  pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati.

•  Conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

I dati personali trattati in violazione della disciplina vigente non possono essere utilizzati.

Andiamo ora ed esaminare gli adempimenti pratici a cui adempiere per essere in regola con la legge.

•  Notificazione al Garante

•  Informativa all'interessato

•  Consenso

•  Misure minime di sicurezza

La Notificazione al Garante (art.37)

Mentre la normativa precedente prevedeva che la notificazione dovesse essere sempre effettuata ad esclusione di alcuni specifici casi di esenzione, il nuovo codice prevede che essa vada effettuata esclusivamente se il trattamento riguarda:

•  dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica.

•  Dati idonei a rivelare lo stato di salute e la vita sessuale, trattati ai fini di procreazione assistita,

prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche di rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria.

•  Dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti a carattere politico, filosofico , religioso o sindacale ;

•  dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelti di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;

•  dati sensibili registrati in banche dati ai fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e ricerche campionarie;

•  dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

Come e quando fare la notificazione

per via telematica.

Informativa all'interessato (art.13)

L'interessato o la persona fisica presso la quale sono raccolti i dati personali sono previamente informati, oralmente o per iscritto circa:

•  Le finalità e le modalità del trattamento cui sono destinati i dati;

•  la natura obbligatoria o facoltativa del conferimento dei dati;

•  Le conseguenze di un eventuale rifiuto a rispondere;

•  i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono essere comunicati o che possono venire a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi.

•  I diritti di cui l'art.7

•  gli estremi identificativi del titolare e se designati, del rappresentate nel territorio dello stato ai sensi dell'art.5 e del responsabile. Quando è indicato un responsabile per il riscontro dell'interessato in caso di esercizio dei diritti di cui all'art. 7, è indicato tale responsabile.

Consenso (art. 23)

•  “Il trattamento dei dati personali da parte di privati o enti pubblici economici è ammesso solo con il consenso espresso dell'interessato.

•  Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.

•  Il consenso è validamente prestato solo se espresso liberamente e specificatamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto , e se sono state rese all'interessato le informazioni di cui all'art. 13

•  Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

Il codice prevede che ci siano dei casi nei quali il trattamento può essere effettuato senza consenso. I casi sono i seguenti:

•  E' necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla

normativa comunitaria;

•  E' necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato.

•  Riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e la pubblicità dei dati.

•  Riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale.

Al comma h viene inoltre consentito il trattamento senza il consenso dell'interessato:

costitutivo , dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'art. 13;

Per quanto riguarda il trattamento dei dati sensibili, ci limiteremo ad esaminare i due commi che ci riguardano più da vicino.

Il comma 4 dell'art. 26 recita:

I dati sensibili possono essere oggetto del trattamento anche senza consenso, previa autorizzazione del Garante:

a) quando il trattamento è effettuato da associazioni enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati nell'atto

costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente o organismo, sempre che ii dati non siano comunicati all'esterno o diffusi e l'ente o l'associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13.

è inoltre possibile trattare dati sensibili senza il consenso quando tale trattamento:

“ è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione, e di previdenza ed assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e buona condotta di cui all'art.111

Misure minime di sicurezza

Il codice distingue le misure minime da adottare in base al fatto che i dati siano trattati manualmente o con strumenti elettronici.

Trattamento senza l'ausilio di strumenti elettronici (art.35)

•  aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

•  previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento di relativi compiti;

•  previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Le misure sopra descritte debbono essere adottate nei modi previsti dal disciplinare tecnico contenuto nell'allegato B.

Trattamento con strumenti elettronici

E' consentito solo se sono adottate nei modi previsti dal disciplinare tecnico contenuto nell'allegato B le seguenti misure minime:

•  autenticazione informatica

•  adozione di procedure di gestione delle credenziali di autenticazione

•  utilizzazione di un sistema di autorizzazione

•  aggiornamento periodico dell'individuazione nell'ambito del trattamento consentito ai singoli incaricati e a addetti alla gestione o alla manutenzione degli strumenti elettronici;

•  protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

•  adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

•  tenuta di un aggiornato documento programmatico sulla sicurezza ;

•  adozione di tecniche di cifratura o di codici identificativi per terminati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

RESPONSABILITA' E SANZIONI

LA RESPONSABILITÀ.

Nel T.U. Privacy vige il principio della responsabilità oggettiva per il trattamento dei dati personali.

In base a questo principio, che è tipico di una responsabilità per l'esercizio di attività pericolose (cfr. art. 2050 c.c.), chi cagiona un danno ad altri per il trattamento dei dati personali è tenuto al risarcimento se non prova di aver adottato tutte le misure tecniche ed organizzative idonee ad evitare il danno.

Il danneggiato deve provare il danno ed il nesso di causalità, mentre al danneggiante (responsabile/i e incaricato/i del trattamento) incombe l'onere di provare di aver adottato tutte le misure idonee ad

evitare il danno.

E risarcibile anche il danno non patrimoniale.

Una specifica norma è espressamente dedicata alla tutela dei minori.

TUTELA DELL'INTERESSATO E REGIME SANZIONATORIO.

A tutela delle proprie ragioni il T.U. Privacy riconosce all'interessato le seguenti possibili soluzioni alternative:

•  reclamo circostanziato al Garante, per rappresentare una violazione della disciplina rilevante in materia di trattamento dei dati personali;

•  segnalazione al Garante, ove non sia possibile presentare reclamo, per sollecitare un controllo di detta Autorità sulla disciplina medesima;

•  ricorso all'Autorità giudiziaria ordinaria o al Garante per far valere alcuno dei diritti a lui spettanti (cfr. art. 7 T.U. Privacy).

Sul piano sanzionatorio il T.U. Privacy contempla le seguenti principali violazioni:

1) fattispecie amministrative:

contravventore);

b) cessione dei dati in violazione delle previsioni del T.U. Privacy o di altre disposizioni di tutela dei dati personali ( art. 162 T.U., sanzione: pagamento di una somma da € 5000 a € 30000);

c) omessa o incompleta notificazione ( art.163 T.U., sanzione: pagamento di una somma da € 10000 a € 60000, oltre alla pubblicazione dell'ordinanza-ingiunzione per intero o per estratto in uno o più giornali indicati nel provvedimento che applica la sanzione);

d) omessa informazione o esibizione di documenti al Garante ( art. 164 T.U., sanzione: pagamento di una somma da € 4000 a € 24000).

2) fattispecie penali:

a)trattamento illecito dei dati ( art. 167 T.U., salvo che il fatto costituisca più grave reato, se da esso deriva nocumento, la sanzione è della reclusione da 6 a 18 mesi o, se il fatto consiste nella comunicazione/diffusione, con la reclusione da 6 a 24 mesi; chiunque al fine di trarre per se o per altri profitto o di recare ad altri un danno procede al trattamento dei dati personali in violazione di quanto disposto dagli artt. 17,20,21,22 commi 8 e 11 -,25,26,27 e 45 è punito, se dal fatto deriva nocumento, con la reclusione da 1 a 3 anni);

b) falsità nelle dichiarazioni/notificazioni al Garante ( art. 168 T.U., salvo che il fatto costituisca più grave reato, la sanzione è della reclusione da 6 mesi a 3 anni);

c) omessa adozione delle misure minime di sicurezza prescritte ( art. 169 T.U., sanzioni: arresto sino a 2 anni ovvero ammenda da € 10000 a € 50000);

d) inosservanza dei provvedimenti del Garante ( art. 170 T.U., sanzione della reclusione da 3 mesi a 2 anni).