LA NUOVA PRIVACY
1. PRINCIPI GENERALI.
Il nuovo “Codice della Privacy”
(.pdf 2,84 MB)
(così viene anche definito il Decreto Legislativo del 30 Giugno 2003, n. 196)
è un testo unico che si occupa dei dati personali dei soggetti, persone
fisiche o giuridiche.
Esso è andato a sostituire la vecchia L. n. 675/1996, che, quindi, è andata in soffitta, perché abrogata, dal 1° Gennaio 2004 (v. art. 183 del Codice) e rappresenta il primo caso al mondo di razionale codificazione delle numerose disposizioni relative alla privacy ed alla tutela dei dati personali.
Il suo testo si compone di 186 articoli più due allegati "A" e "B", che contengono, rispettivamente, i Codici Deontologici sulla tutela dei dati personali in particolari settori (il cui rispetto l'art. 12 del Codice definisce "condizione essenziale per la liceità e correttezza del trattamento dei dati personali" ed i quali contengono disposizioni esterne ed aggiuntive al Codice, specifiche e settoriali, che sono frutto di concertazione fra il legislatore, l'Autorità Garante e le categorie interessate e si occupano della privacy nelle seguenti aree: attività giornalistica; attività di ricerca storica; indagine statistica; ricerca scientifica; sistemi informativi creditizi) ed il Disciplinare Tecnico in materia di misure minime di sicurezza nel trattamento dei dati personali.
Il Codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
E’ un “testo unico”,
quindi,
perché rappresenta una summa di tutti i testi normativi che in ambito
nazionale e comunitario si occupano della privacy.
In particolare, esso incorpora e dà attuazione a ben tre direttive
comunitarie (24.10.1995, n. 95/46/CE – 15.12.1997, n. 97/66/CE –
12.07.2002, n. 2002/58/CE) e ad altri sedici testi normativi nazionali di varia natura
(leggi, decreti legislativi e d.p.r.).
Si
occupa dei “dati personali”,
perché disciplina qualsiasi attività inerente le informazioni di qualunque
tipo concernenti persone fisiche, persone giuridiche, enti od associazioni. In
particolare e salvo casi particolari, disciplina il trattamento di dati
personali effettuato da chi è stabilito nel territorio dello Stato o è
comunque soggetto alla sovranità dello Stato.
Il fine perseguito dal codice della privacy è quello di garantire ai soggetti di cui sopra il diritto
ad un trattamento dei loro dati personali secondo criteri di riservatezza, di
protezione e di rispetto della loro identità personale. In altri termini, il
nuovo T.U. è stato concepito ed emanato allo scopo di disciplinare e
regolamentare qualunque operazione venga compiuta con i dati personali di un
soggetto, affinché lo stesso non ne venga danneggiato e la sua dignità lesa.
Per questo motivo il codice introduce un principio fondamentale che
rappresenta un criterio-guida per chiunque opera e/o gestisce i dati personali
di un soggetto.
Trattasi del principio di necessità nel trattamento dei dati
personali di un soggetto.
In base ad esso quando si può realizzare il proprio scopo e la
propria attività attraverso dati anonimi ovvero con opportune modalità che
permettano di identificare un soggetto interessato solo in caso di necessità,
è bene ridurre al minimo l’utilizzazione di dati personali e di dati
identificativi ovvero, addirittura, escluderne il trattamento.
In pratica, ciò equivale a dire che i sistemi informativi ed i programmi informatici devono essere predisposti in modo da ridurre al minimo l'utilizzazione di dati personali o identificativi delle persone e comporta conseguenze di tipo organizzativo per il titolare del trattamento e commerciali per chi realizza programmi informatici di gastione di dati personali.
2. IL TRATTAMENTO DEI DATI PERSONALI.
E’ “trattamento”, secondo l’art. 4 del Codice, qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Pertanto, come si intuisce, qualsiasi attività che abbia ad oggetto dati personali (addirittura la mera consultazione, innovazione introdotta dal Codice) è un "trattamento", il quale rende applicabili gli obblighi di legge.
Non è necessario perché si abbia un "trattamento" regolato dal Codice che i dati personali siano organizzati in un archivio o in una banca dati. Se, però, vi è una banca dati ed essa è tenuta per fini esclusivamente personali (p. es. un'agendina telefonica) ed i dati ivi contenuti non sono diffusi e/o comunicati in modo sistematico, il trattamento non è regolato dal Codice della Privacy. In questo caso, il titolare del trattamento deve solo adottare le misure minime di sicurezza, soggiacendo ad eventuali responsabilità risarcitorie in caso di danni agli interessati.
Significativo è, poi, il riferimento ai concetti di "comunicazione" e di "diffusione".
Per "comunicazione" si intende il dare conoscenza dei dati personali ad uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
Per "diffusione" si intende, invece, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione (p. es. pubblicazione di dati personali su un sito web).
E’ “interessato” al trattamento la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali.
Quanto al concetto di "dato personale", esso consiste in qualunque informazione relativa a persona fisica, ente od associazione: a) che la identifica immediatamente e direttamente (p. es. i dati anagrafici di un individuo); ovvero b) che, anche se non la identifica immediatamente e direttamente, la rende identificabile (p. es. il codice fiscale).
In dottrina si è soliti distinguere tra dati personali:
1) Sensibili. Sono le informazioni che rivelano gli aspetti più intimi e delicati di una persona e, cioé: a) l'origine razziale ed etnica; b) le convinzioni religiose, filosofiche o di altro genere; c) le opinioni politiche; d) l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale; e) i dati personali idonei a rivelare lo stato di salute; f) i dati idonei a rivelare gusti o abitudini sessuali;
2) Giudiziari. Sono un'altra categoria di informazioni, i cui trattamenti necessitano di garanzie particolari. Tali dati, infatti, sono quelli idonei a rivelare il coinvolgimento di una persona in procedimenti esclusivamente di natura penale. Si vedano, in tal senso, gli artt. 60-61 c.p.p. ed i provvedimenti elencati all'art. 3, comma 1°, del D.P.R. n. 313 del 2002, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e di carichi pendenti.
3) Quasi-sensibili. Categoria di origine dottrinale, la quale comprende quei dati - diversi dai sensibili e dai giudiziari - che, pur essendo formalmente personali e comuni, implicano, per la loro natura, rischi specifici per i diritti e per le libertà fondamentali, nonché per la dignità dell'interessato (p. es. i dati relativi alla situazione patrimoniale di un soggetto). Detti rischi derivano non solo dalla particolare natura dei dati, ma anche dalle modalità con cui viene effettuato il trattamento e dagli effetti che il trattamento può cagionare all'interessato. Per il trattamento di questi dati, oltre ai principi generali fissati dal Codice, si applicano misure ed accorgimenti ulteriori, ove prescritti (p. es. il codice deontologico sul funzionamento dei sistemi informativi creditizi).
Si tenga ben presente - e lo specificheremo anche più avanti - che il trattamento di dati sensibili e giudiziari da parte di privati e di enti pubblici economici (nonché di soggetti pubblici, per i soli dati giudiziari) dovrà attenersi anche alle prescrizioni fissate nelle c.d. Autorizzazioni Generali al trattamento del Garante. Dette autorizzazioni sono: 1) autorizzazione n. 1 del 2005 al trattamento dei dati sensibili nei rapporti di lavoro; 2) autorizzazione n. 2 del 2005 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale; 3) autorizzazione n. 3 del 2005 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni; 4) autorizzazione n. 4 del 2005 al trattamento dei dati sensibili da parte dei liberi professionisti; 5) autorizzazione n. 5 del 2005 al trattamento dei dati sensibili da parte di diverse categorie di titolari; 6) autorizzazione n. 6 del 2005 al trattamento di dati sensibili da parte degli investigatori privati; 7) autorizzazione n. 7 del 2005 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici.
3. SOGGETTI CHE EFFETTUANO IL TRATTAMENTO.
Il riferimento è a: a) titolare del trattamento; b) responsabile
del trattamento; c) incaricati del trattamento.
Titolare
del trattamento. E’ considerato tale
la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo cui competono le decisioni e
le responsabilità in ordine alle finalità, alle modalità del trattamento di
dati personali ed agli strumenti utilizzati, ivi compreso il profilo della
sicurezza.
Il titolare del trattamento non è soggetto ad alcun atto di nomina.
Ad esso spetta il compito di vigilare sulla corretta attuazione delle norme previste dal codice della privacy.
Inoltre, gli altri adempimenti che lo riguardano sono: a) curare la notificazione al Garante, se obbligatoria ai sensi degli artt. 37 e 38 del Codice; b) procedere mediante atto scritto alla nomina del responsabile del trattamento (se il titolare intende procedere a tale nomina, che è facoltativa e non rappresenta un obbligo) e sovrintendere al suo operato; c) rendere le informative agli interessati in ordine alle finalità ed alle modalità del trattamento e raccogliere (ove necessario) il loro consenso al trattamento ed alle comunicazioni/diffusioni (se previste) dei dati personali che li riguardano; d) predisporre le misure di sicurezza tecniche, informatiche, organizzative, logistiche e procedurali di cui agli artt. 31-36 del Codice ed al Disciplinare Tecnico allegato "B" al Codice.
Il titolare dovrà anche procedere al monitoraggio periodico di come le istruzioni sul trattamento vengano eseguite dal responsabile e dagli incaricati e sarà tenuto ad organizzare in favore di questi iniziative periodiche di aggiornamento, formazione ed informazione sugli obblighi e sulla normativa privacy ( a tal uopo, nel DPS dovrà documentare detti interventi formativi).
Occorre precisare che quando il trattamento è effettuato da una
persona giuridica, da una pubblica amministrazione o da un qualsiasi altro
ente, associazione od organismo, titolare del trattamento è l’entità nel
suo complesso o l’unità od organismo periferico che esercita un potere
decisionale del tutto autonomo sulle finalità e modalità del trattamento,
ivi compreso il profilo della sicurezza.
Infine, si ricordi che quando il titolare del trattamento risiede all'estero, egli deve nominare un rappresentante che sia stabilito nel territorio dello Stato italiano.
Responsabile
del trattamento. E’ la persona
fisica, la persona giuridica, la p.a. e qualsiasi altro ente, associazione od
organismo concretamente preposti dal titolare al trattamento dei dati
personali.
Il responsabile è, dunque, designato dal titolare.
Tuttavia,
quest’ultimo non è tenuto a tale designazione, che, dunque, è solo
facoltativa.
La designazione, se avviene all'interno della struttura titolare del trattamento (p. es. nei confronti di un dipendente), può essere definita come un atto unilaterale recettizio e non necessita di un'accettazione da parte del designato.
Se essa, invece, avviene all'esterno, può definirsi come una proposta contrattuale (mandato con rappresentanza) che, dunque, dovrà essere accettata dal destinatario, il quale avrà diritto ad una specifica retribuzione economica e dovrà redigere una apposita e periodica relazione sulle attività svolte per conto del titolare.
Se il titolare nomina il responsabile, la nomina stessa, gli ambiti
del trattamento a lui assegnati, le istruzioni ed i compiti affidati
dal titolare al responsabile sono analiticamente specificati per iscritto.
Il titolare può anche designare più responsabili, anche
suddividendo i loro compiti.
La scelta del responsabile deve avvenire tra soggetti che, per
esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno
rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il
profilo relativo alla sicurezza.
Il responsabile effettua il trattamento attenendosi alle istruzioni
impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila
sulla puntuale osservanza da parte del responsabile delle disposizioni vigenti
in materia di trattamento di dati personali e delle proprie disposizioni.
Incaricati
del trattamento. Sono le persone
fisiche autorizzate dal titolare o dal
responsabile a compiere le operazioni
materiali di trattamento dei dati personali.
Le operazioni di trattamento possono essere effettuate solo da
incaricati che operano sotto la diretta autorità del titolare o del
responsabile, attenendosi alle istruzioni impartite da questi.
La designazione è effettuata per iscritto ed individua
puntualmente l’ambito del trattamento consentito, le finalità di esso e le istruzioni per la
corretta gestione dei dati trattati.
Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima.
Ciò significa che se, per esempio, in una azienda, per quel dato settore di essa (p. es. l'ufficio contabilità), esiste un documento (p. es. l'organigramma aziendale) che individua per iscritto l'ambito dei trattamenti dei dati personali consentiti in quello stesso ufficio (p. es. trattamenti finalizzati alla compilazione delle buste paga, alla corresponsione degli stipendi, ecc...), non sarà necessario procedere a singole nomine per gli incaricati del trattamento in quel settore.
3bis. RIPARTIZIONE DELLE RESPONSABILITA' TRA TITOLARE E RESPONSABILE.
Se il responsabile del trattamento viola il Codice della privacy e le istruzioni del titolare, chi sarà responsabile verso l'interessato?
La risposta dipende, in primo luogo, dal tipo di violazione commessa.
Se la violazione è di tipo penale, per il principio in base al quale la responsabilità penale è sempre personale sarà perseguibile il solo responsabile (ovviamente laddove siano esclusi comportamenti del titolare che integrino fattispecie di correità).
Se la violazione sarà di tipo civilistico (es. danno contrattuale o extracontrattuale arrecato a terzi nel trattamento dei loro dati personali), occorre distinguere diverse ipotesi.
Laddove il titolare del trattamento abbia impartito al responsabile precise istruzioni sui trattamenti, che siano conformi alla legge, abbia periodicamente vigilato sul rispetto di dette istruzioni e della legge da parte sua ed abbia scelto come responsabile un soggetto adeguato, capace, competente ed affidabile, allora potrà evitare una sua responsabilità o corresponsabilità civile verso terzi.
Qualora, invece, non abbia ottemperato ad una sola di queste regole, perché non ha scelto un soggetto idoneo ed affidabile (c.d. "culpa in eligendo") ovvero perché ha omesso di vigilare sul rispetto da parte del titolare delle istruzioni impartitegli o della legge (c.d. "culpa in vigilando"), allora potrà aversi in capo al titolare una connessa e distinta responsabilità verso terzi unitamente a quella del responsabile.
Lo stesso riteniamo si possa dire in merito alla ripartizione delle responsabilità tra gli incaricati di uno più trattamenti e chi li ha scelti e deve vigilere su di essi.
4. REGOLE GENERALI PER IL TRATTAMENTO DEI DATI.
Chiunque (soggetto pubblico o privato che sia ovvero soggetto
individuale o collettivo) opera con i dati personali di un individuo deve
attenersi a dei principi fondamentali.
Essi sono: a) il già citato principio di necessità nel trattamento dei dati personali (v. paragrafo 1); b) il principio della liceità e correttezza nel trattamento; c) il principio della chiarezza, predeterminazione, legittimità e trasparenza delle finalità perseguite nel trattamento; d) il principio della chiarezza, legittimità, liceità, trasparenza, correlazione e compatibilità delle finalità perseguite nei trattamenti connessi necessari e non previsti e/o non informati; e) il principio della rispondenza dei dati trattati all'identità o al profilo dell'interessato; f) il principio dell'aggiornamento dei dati, ove necessario; g) il principio di causalità tra i dati raccolti e le finalità del trattamento perseguite; h) il principio della completezza dei dati trattati; i) il principio di proporzionalità o di "stretta necessità e sufficienza" nella raccolta dei dati e nel rispetto delle finalità per le quali sono raccolti o successivamente trattati; l) il principio di rispetto del diritto all'oblio dell'interessato; m) il principio della valenza normativa dei codici deontologici; n) il principio del rispetto delle Autorizzazioni Generali al trattamento dei dati sensibili e giudiziari; o) il principio del divieto di impiegare processi o sistemi di trattamento dei dati completamente automatizzati, che determinino una definizione o una valutazione del profilo o della personalità dell'interessato, al fine di giungere all'emissione di un atto o provvedimento giudiziario o amministrativo; p) il principio della cessione dei dati personali alla fine del trattamento solo per trattamenti per fini compatibili ovvero per scopi storici, statistici o scientifici; q) il principio della verifica preliminare al trattamento e dell'interpello dell'interessato in caso di trattamento di dati non sensibili o giudiziari che, comunque, presenti rischi per la dignità, i diritti e le libertà fondamentali dell'interessato.
Questi principi sono stabiliti: a) in generale, nel codice della privacy
(v. gli artt. 11 e 14);
b) in particolare, in codici deontologici settoriali (ne fa menzione l’art.
12 del codice: si tratta di codici sottoscritti nell’ambito delle categorie
interessate, che vengono pubblicati sulla Gazzetta Ufficiale a cura del
Garante e, una volta adottati con decreto del Ministro della Giustizia, sono
riportati nell’apposito allegato A del Codice della privacy - sinora
sono cinque i codici deontologici sottoscritti: provvedimento del 29.07.1998
codice deontologico attività giornalistica; provvedimento del 14.03.2001
codice deontologico per scopi storici; provvedimento del 31.07.2002 codice
deontologico per scopi statistici e di ricerca scientifica nell’ambito del
sistema statistico nazionale; provvedimento del 16.06.2004 relativo ai
trattamenti di dati personali per scopi statistici e scientifici nel settore
privato; provvedimento del 23.12.2004, relativo al trattamento di dati
personali svolti nell'ambito di sistemi formativi di cui sono titolari
soggetti privati, utilizzati a fini di concessione di crediti al consumo o
comunque riguardanti l'affidabilità e la puntualità nei pagamenti); c) ovvero - ma solo in caso di trattamento che
presenta rischi specifici per i diritti, le libertà fondamentali e la dignità
dell’interessato - direttamente dal Garante, eventualmente anche a seguito
di interpello del titolare.
In particolare, i principi generali sanciti dal Codice (ripresi
dallo stesso in attuazione della direttiva 95/46/CE, punto n. 28 della stessa)
da seguire nel trattamento dei dati personali (pena la inutilizzabilità dei
dati stessi) sono:
-
liceità
e correttezza nel trattamento;
-
specificità delle finalità del trattamento;
-
conformità fra trattamento e scopi;
-
esattezza;
-
aggiornamento;
-
conservazione limitata con riferimento agli scopi;
-
informativa;
-
risarcibilità degli illeciti nel trattamento.
Quest’ultimo
punto vuol dire che se il trattamento si rivela illecito e ne è derivato
danno all’interessato, l’autore del danno è tenuto al risarcimento ai
sensi dell’art. 2050 c.c. e può essere risarcito il danno morale.
In caso di cessazione, per qualsiasi causa, di un trattamento, i
dati sono:
a) distrutti;
b) ceduti ad altro titolare (purché l’ulteriore trattamento
risulti compatibile con gli scopi per i quali i dati erano stati raccolti);
c) conservati per fini esclusivamente personali;
d) ceduti ad altro titolare per scopi scientifici, statistici o
storici.
5. IL CONSENSO
DELL’INTERESSATO.
In alcuni casi per poter procedere
legittimamente al trattamento dei dati personali di un soggetto occorre
munirsi del suo consenso.
Detto obbligo riguarda tutti i titolari
di trattamento privati e gli enti pubblici economici.
Non è, invece, richiesto per le
pubbliche amministrazioni.
L’art. 18 del Codice, infatti, prevede
che, salvo quanto previsto per gli esercenti le professioni sanitarie, i
soggetti pubblici non devono richiedere il consenso dell’interessato.
Comunque, se le p.p.a.a. chiedono
ugualmente il consenso all’interessato, poco importa, perché il “di più”
non vizia.
Il consenso deve essere libero e
specifico e deve essere dato dall’interessato una volta che a questi sia
stata fornita l’informativa (c.d. consenso informato).
Con riferimento ai privati ed agli enti pubblici economici, occorre distinguere: A) il consenso al trattamento dei dati personali comuni e non sensibili, che può essere dato anche oralmente, alla condizione che sia documentato per iscritto; B) dal consenso al trattamento dei dati sensibili (cioè i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale), il quale è concesso, di regola, per iscritto dall’interessato e la gestione dei dati deve avvenire nel rispetto di quanto disposto dalla legge, dal Codice, dai regolamenti, nonché dalle autorizzazioni Generali del Garante (per esse v. paragrafo 2, alla fine); C) ed il consenso al trattamento dei dati giudiziari (cioé quelli idonei a rivelare il coinvolgimento di una persona in procedimenti esclusivamente di natura penale), per il quale non è necessario il previo consenso al trattamento da parte dell'interessato, anche se il trattamento stesso deve essere comunque autorizzato da espressa disposizione di legge o da provvedimento del garante, i quali devono specificare: 1) le finalità di interesse pubblico del trattamento; 2) i tipi di dati trattabili; 3) i tipi di operazioni eseguibili.
A)
Per quanto riguarda la prima ipotesi (dati personali comuni e non sensibili), l’art. 24 del Codice e la Parte II di
esso individuano tutta
una serie di casi in cui si può fare a meno del consenso. Ebbene, il consenso
non è richiesto quando il trattamento: 1) è
necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento
o dalla normativa comunitaria; 2) è necessario per eseguire obblighi
derivanti da un contratto del quale è parte l'interessato o per adempiere,
prima della conclusione del contratto, a specifiche richieste
dell'interessato; 3) riguarda dati provenienti da pubblici registri, elenchi,
atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità
che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la
conoscibilità e pubblicità dei dati; 4) riguarda dati relativi allo
svolgimento di attività economiche, trattati nel rispetto della vigente
normativa in materia di segreto aziendale e industriale; 5) è necessario per
la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la
medesima finalità riguarda l'interessato e quest'ultimo non può prestare il
proprio consenso per impossibilità fisica, per incapacità di agire o per
incapacità di intendere o di volere, il consenso è manifestato da chi
esercita legalmente la potestà, ovvero da un prossimo congiunto, da un
familiare, da un convivente o, in loro assenza, dal responsabile della
struttura presso cui dimora l'interessato. Si applica la disposizione di cui
all'articolo 82, comma 2; 6) con esclusione della diffusione, è necessario ai
fini dello svolgimento delle investigazioni difensive di cui alla legge 7
dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in
sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario al loro perseguimento, nel
rispetto della vigente normativa in materia di segreto aziendale e
industriale; 7) con esclusione della diffusione, è necessario, nei casi
individuati dal Garante sulla base dei principi sanciti dalla legge, per
perseguire un legittimo interesse del titolare o di un terzo destinatario dei
dati, anche in riferimento all'attività di gruppi bancari e di società
controllate o collegate, qualora non prevalgano i diritti e le libertà
fondamentali, la dignità o un legittimo interesse dell'interessato; 8) con
esclusione della comunicazione all'esterno e della diffusione, è effettuato
da associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o
ad aderenti, per il perseguimento di scopi determinati e legittimi individuati
dall'atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità
di utilizzo previste espressamente con determinazione resa nota agli
interessati all'atto dell'informativa ai sensi dell'articolo 13; 9) è
necessario, in conformità ai rispettivi codici di deontologia di cui
all'allegato A), per esclusivi scopi scientifici o statistici, ovvero per
esclusivi scopi storici presso archivi privati dichiarati di notevole
interesse storico ai sensi dell'articolo 6, comma 2, del decreto legislativo
29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni
culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso
altri archivi privati.
10) è svolto nell'esercizio
di un'attività giornalistica e nel rispetto di certi limiti e condizioni.
B) Per quanto riguarda il consenso al trattamento dei dati sensibili (il quale - come detto – è, di regola, fornito per iscritto dall’interessato) il comma 4° dell’art. 26 del Codice esclude, tuttavia, questa rigorosa disciplina (che comunque continua a prevedere la conformità del trattamento alle Autorizzazioni Generali al trattamento del Garante): a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, ente od organismo, sempre che i dati non siano comunicati all'esterno o diffusi e l'ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all'atto dell'informativa ai sensi dell'articolo 13; b) quando il trattamento è necessario per la salvaguardia della vita o dell'incolumità fisica di un terzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato. Si applica la disposizione di cui all'articolo 82, comma 2; c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall'autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 111.
Il trattamento dei dati sensibili non necessita né del consenso dell'interessato né della osservanza delle Autorizzazioni Generali del Garante, se riguarda (art. 26, comma 3°): a) dati sensibili relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante; b) dati sensibili riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.
C) Quanto, infine, ai dati giudiziari, come detto, non è necessario il previo consenso al trattamento da parte dell'interessato, anche se il trattamento stesso deve essere comunque autorizzato da espressa disposizione di legge o da provvedimento del garante, i quali devono specificare: 1) le finalità di interesse pubblico del trattamento; 2) i tipi di dati trattabili; 3) i tipi di operazioni eseguibili.
Si ribadisce, inoltre ed in conclusione, che in tutti e tre i casi (sub A, B e C), se il titolare del trattamento è un soggetto pubblico (tranne i c.d. enti pubblici economici), il consenso non deve essere richiesto.
6. DIRITTI
DELL’INTERESSATO.
Qualunque operazione concernente i dati personali di un soggetto
(il c.d. “trattamento” di cui
sinora) è operazione da ritenersi delicata secondo il Codice della privacy.
Ovviamente, deve trattarsi di operazioni che comprendono in sé la comunicazione sistematica o la diffusione dei dati personali, dal momento che il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali e di non divulgazione è da ritenersi irrilevante (in altri termini, il codice della privacy non si occupa della rubrica telefonica del Sig. Rossi, ma di ben altre banche dati).
Questo è ribadito dalla direttiva 95/46/CE, cui il D.Lgs.vo n.
196/2003 ha dato attuazione (v. § 1), secondo la quale (punto n. 12) dal
punto di vista del diritto comunitario non rientra in un discorso di privacy
“il trattamento di dati effettuato da una persona fisica nell’esercizio
di attività a carattere esclusivamente personale o domestico, quali la
corrispondenza e la compilazione di elenchi di indirizzi”.
Ebbene, chi opera ad un certo livello con i dati personali di una di una moltitudine di soggetti oggi deve fare i conti con i diritti che la nuova legge sulla privacy riconosce a questi ultimi, salve le eccezioni di cui all'art. 8, comma 2° (trattamenti di dati personali effettuati: a) in base alla normativa anti-riciclaggio; b) in base alla normativa anti-usura; c) da Commissioni parlamentari d'inchiesta istituite ex art. 82 Cost.; d) da soggetto pubblico, per esclusiva finalità inerente alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutle della loro stabilità; e) ai fini dello svolgimento delle investigazioni difensive ex L. n. 397/2000, salvo la diffusione).
1) Approccio.
L'interessato ha diritto di ottenere dal titolare (o dal responsabile, se designato) la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati e la loro comunicazione in forma intellegibile.
Altresì, l'interessato ha diritto di ottenere l'indicazione: a) di come le informazioni che lo riguardano sono state acquisite dal titolare del trattamento; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d) degli estremi identificativi del titolare (e/o del responsabile, se designato e/o del rappresentante del titolare estero nel territorio dello Stato, ove ricorra tale figura); e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili e/o di incaricati e/o di rappresentante del titolare estero nel territorio dello Stato.
Dette richieste possono essere formulate liberamente dall'interessato e possono essere rinnovate con l'intervallo non minore di novanta giorni.
2) Informativa.
Con particolare riferimento alla informativa, vanno rimarcati
alcuni concetti.
Chi gestisce dei dati personali è tenuto a contattare il soggetto
cui quei dati si riferiscono (l’interessato, appunto) per informarlo circa
le sue intenzioni e circa altri aspetti, in modo da renderlo pienamente
consapevole.
Ciò avviene sempre obbligatoriamente, anche nei casi in cui non è necessario acquisire il consenso dell'interessato, salvo limitatissime ipotesi in cui l'informativa non è dovuta (è il caso in cui il Garante esonera esplicitamente il titolare perché l'informativa comporta un impiego di mezzi manifestamente sproporzionato ovvero essa è impossibile) ovvero in quei casi in cui l'informativa può essere fornita in maniera semplificata (p. es.: quando è resa nei call-center; quando è resa nell'ambito di operazioni di cartolarizzazione dei crediti; quando è resa da organismi sanitari pubblici o privati ovvero da esercenti le professioni sanitarie; quando è resa da componenti di servizi o strutture di soggetti pubblici operanti in ambito sanitario o della prevenzione e sicurezza del lavoro).
A tal proposito ed in particolare, è previsto dal codice
l’obbligo specifico a carico del titolare di un trattamento di dati di
informare l’interessato circa:
a)
le finalità cui sono destinati i suoi dati;
b)
le modalità di trattamento degli stessi;
c)
la natura obbligatoria o facoltativa del conferimento dei dati da
parte dell’interessato;
d)
le conseguenze di un suo eventuale rifiuto di rispondere;
e)
i suoi diritti di cui all’art. 7 del Codice e l'eventuale
responsabile destinato al riscontro di detti diritti;
f)
gli estremi identificativi del titolare del trattamento e, se
designato, del responsabile (se i responsabili sono più di uno, è possibile
indicare nell'informativa uno solo di essi, insieme al sito web o ad altre
modalità con cui si possono rinvenire i nominativi di tutti questi);
g)
gli estremi identificativi dei collaboratori del titolare che potrebbero venire a conoscenza dei dati;
h)
gli altri soggetti ai quali i dati potrebbero essere comunicati;
i)
l’ambito di diffusione dei dati;
j)
eventuali elementi specifici individuati dal codice.
L'informativa può essere resa all'interessato in forma scritta o equivalente (p. es. pubblicazione del suo testo su un sito web).
Come accennato più sopra, il Garante per la protezione dei dati personali può individuare
modalità semplificate per l’informativa da fornire da parte di chi opera in
determinati settori (es.: servizi telefonici di assistenza).
L’informativa all’interessato viene data prima del conferimento dei dati da parte sua.
In caso di raccolta dei dati da terzi, viene data all’atto della
registrazione dei dati negli archivi o, qualora sia prevista la loro
comunicazione, non oltre la prima comunicazione.
Questo limite non vale in alcuni casi particolari indicati al comma
5° dell’art. 13.
L’obbligo della informativa è a carico sia di soggetti privati,
sia di soggetti pubblici.
Il Garante nella sua giurisprudenza ha individuato alcuni principi
in materia di informativa.
Essa, infatti, secondo il Garante:
-
deve essere comprensibile e sintetica;
-
può essere anche orale (in questo caso è consigliabile per il
titolare di documentare in forma scritta che l'informativa è stata resa);
-
è dovuta anche quando ricorre una causa di esonero dall’obbligo
di acquisire il consenso;
-
non può essere lacunosa o contenuta in documenti non facilmente
disponibili.