2. PRIVACY
E’ un termine inglese che evoca significati a volte mutevoli, sinonimo dei
concetti di «riservatezza», «privatezza». Nella realtà contemporanea, con il
concetto di Privacy non si intende soltanto il diritto di essere lasciati in pace o
di proteggere la propria sfera privata, ma soprattutto il diritto di controllare
l’uso e la circolazione dei propri dati personali che costituiscono il bene
primario dell’attuale società dell’informazione. Il diritto alla privacy e, in
particolare, alla protezione dei dati personali costituisce un diritto
fondamentale delle persone, direttamente collegato alla tutela della dignità
umana, come sancito anche dalla Carta dei diritti fondamentali dell’Unione
Europea.
Glossario sito web Garante – doc. web n. 1663787
3. Da una analisi più puntuale di questa autorevole definizione
possiamo fare alcune considerazioni preliminari…
4. «Significati a volte mutevoli»
L’uso del termine «Privacy» è frequente nel linguaggio corrente, ma è
sicuramente difficile dare una definizione delle tante sfaccettature e sfumature
che il termine può assumere.
Tanto per avere una idea del complesso dibattito, vivo anche sul piano filosofico,
alcune delle definizioni che negli anni sono state date:
«Diritto a essere lasciato solo» - Warren-Brandeis
«Diritto di controllare l’uso che altri fanno delle informazioni che mi riguardano» -
A. Westin
« Diritto di mantenere il controllo sulle proprie informazioni e di determinare le
modalità di costruzione della propria sfera privata» - P.E. Agree e M. Rotenberg
« Libertà di scegliere, di non essere omologati, di non essere controllati, di
esprimere spontaneamente la nostra creatività» - Discorso del presidente A. Soro,
Relazione annuale al Parlamento.
5. «Nella realtà contemporanea»
Il tema è strettamente legato all’evoluzione tecnologica e alla vera e propria
rivoluzione avvenuta negli ultimi decenni: in questo nuovo panorama, è lo
stesso concetto di «sfera privata» ad essere modificato.
Anche in questo caso la dottrina evolve le sue definizioni:
« Cediamo informazioni, lasciamo tracce quando ci vengono forniti beni o
servizi, quando cerchiamo informazioni, quando ci muoviamo nello spazio
reale o virtuale» - S. Rodotà
« Non si ha più una persona virtuale contrapposta alla persona reale, ma un
intreccio che restituisce la persona reale come connotata dal digitale» - S.
Rodotà
6. « L’uso e la circolazione dei propri dati
personali»
Arriviamo al fulcro di tutta la trattazione: il DATO, l’INFORMAZIONE.
«Per dato personale si intende qualunque informazione relativa a persona
fisica, identificata o identificabile, anche indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi compreso un numero di identificazione
personale» - art. 4 lett. b) D.lgs. 30 Giugno 2003 n. 196.
Il dato è da decenni al centro dell’analisi scientifica sia dal punto di vista della
conservazione/custodia delle informazioni in sicurezza, sia dal punto di vista
della tutela della circolazione delle informazioni.
7. « il bene primario dell’attuale società
dell’informazione»
Il dato è stato definito « il nuovo petrolio dell’età moderna»
Nel rapporto Microsoft Digital Trends 2015, studio realizzato in partnership
con Future Laboratory e Research Now è stato evidenziato che: « il 78% degli
intervistati mostra di aver capito che i dati derivanti dalla propria presenza
online sono oro colato per i brand; più della metà di loro ( 61%) si dice
favorevole alla condivisione di informazioni riservate con le aziende, purché
questo avvenga in modo trasparente e porti loro precisi e quantificabili
benefici»
8. «il Bene primario dell’attuale società[…]diritto
fondamentale delle persone»
La stessa definizione accosta due aspetti che possono far nascere
una contrapposizione «esplosiva»: da una parte la salvaguardia e
la tutela della dignità umana, dall’altra il fortissimo valore
commerciale assunto dai DATI.
… e la normativa sulla Privacy a tentare di contemperare le
esigenze, attraverso la tutela della gigantesca mole di dati messa
a disposizione ogni istante…
9. RILEGGENDO LA DEFINIZIONE INIZIALE…
PRIVACY è un termine inglese che evoca significati a volte mutevoli, sinonimo
dei concetti di «riservatezza», «privatezza». Nella realtà contemporanea, con
il concetto di Privacy non si intende soltanto il diritto di essere lasciati in pace
o di proteggere la propria sfera privata, ma soprattutto il diritto di controllare
l’uso e la circolazione dei propri dati personali che costituiscono il bene
primario dell’attuale società dell’informazione. Il diritto alla privacy e, in
particolare, alla protezione dei dati personali costituisce un diritto
fondamentale delle persone, direttamente collegato alla tutela della dignità
umana, come sancito anche dalla Carta dei diritti fondamentali dell’Unione
Europea.
Ecco, quindi, molto sinteticamente, il panorama da tenere in considerazione
quando ci si approccia al tema della Privacy: argomento complesso e
articolato, presente in tutti gli ambiti della vita e del lavoro.
10. Ma prima di entrare nello specifico, ancora due
aspetti connessi con la definizione iniziale:
• L’importanza della legiferazione europea
• Chi è il Garante?
11. L’importanza della legiferazione
europea
Le fonti a cui si ricollega l’intera disciplina italiana hanno derivazione Europea.
Le fonti europee principali sono:
- Carta dei diritti fondamentali dell’Unione Europea;
- Trattato di Lisbona;
- Direttiva 1995/46 ( c.d. Direttiva Madre)
- Direttiva 2002/58
- Direttiva 2009/136
- Dal 24 Maggio 2016: il Regolamento UE n. 679/2016 – Regolamento
Europeo sulla protezione dei dati
12. Il nuovo Regolamento Europeo
Con comunicato stampa del 4 Maggio 2016, il Garante della Privacy informa
che sono stati pubblicati nella Gazzetta Ufficiale dell’Unione europea del 4
Maggio 2016 il regolamento europeo sulla protezione dei dati personali n.
679/2016 e la direttiva n. 680/2016 che regola i trattamenti dei dati nei
settori di prevenzione, contrasto e repressione dei crimini.
Il nuovo regolamento andrà a sostituire la Direttiva 95/46/CE che era stata la
«Direttiva Madre» da cui si era sviluppata la legiferazione Italiana.
Il Garante precisa che le norme del regolamento non trovano immediata
applicazione, tuttavia, dal 24 Maggio 2016 ( 20° gg successivo alla
pubblicazione) inizia a decorrere il termine di 2 anni entro i quali gli Stati
membri devono adeguare le norme nazionali in materia di «privacy» alle
nuove prescrizioni.
13. Il nuovo Regolamento Europeo
Il Regolamento introduce una legislazione in materia di protezione dati
uniforme e valida in tutta Europa, affrontando temi innovativi - come il diritto
alla portabilità dei dati – e stabilendo anche criteri che da una parte
responsabilizzano maggiormente imprese ed enti rispetto alla protezione dei
dati personali e, dall’altra, introducono notevoli semplificazioni e sgravi dagli
adempimenti per chi rispetta le regole.
Novità in vista, dunque, anche per la normativa Italiana: Il regolamento UE n.
679/2016 troverà in ogni caso automatica applicazione dal 25 Maggio 2018
con conseguente disapplicazione di tutte le norme nazionali che fossero in
contrasto con lo stesso.
I principi e le definizioni alla base della normativa sono rimasti comunque
invariati, quindi possiamo affrontare già oggi buona parte degli argomenti,
basandoci sull’attuale Codice della Privacy italiano ( D.lgs. 196/2003).
14. Chi è questo «Garante» di cui si sente
tanto parlare?
Il Garante per la protezione dei dati personali è una Autorità indipendente
che presiede la tutela dei dati personali.
E’ un organo collegiale composto da 4 membri eletti dal Parlamento, istituito
per la tutela dei diritti, delle libertà fondamentali e della dignità delle
persone.
Controlla se il trattamento di dati personali da parte di privati e pubbliche
amministrazioni è lecito e corretto e rilascia le autorizzazioni al trattamento
dei dati sensibili e giudiziari.
Esamina reclami, segnalazioni e ricorsi, svolge accertamenti anche su richiesta
del cittadino, esegue ispezioni e verifiche.
Prescrive modifiche necessarie od opportune per far adeguare i trattamenti
alla disciplina vigente e segnala al Parlamento e al Governo l’opportunità di
interventi normativi per tutelare gli interessati.
15. Chi è questo «Garante» di cui si sente
tanto parlare?
Ogni anno, attraverso il proprio sito web e la sua newsletter, il Garante rende
noto il piano ispettivo previsto per i successivi mesi.
Per le attività ispettive, il Garante si avvale di un reparto speciale della
Guardia di Finanza noto come “Nucleo Speciale Funzione Pubblica e Privacy”
che collabora all'attività ispettiva attraverso indagini conoscitive sullo stato di
attuazione della Legge in settori specifici e la segnalazione all’Autorità di tutte
le situazioni di cui venga a conoscenza nel corso dell’esecuzione delle
ordinarie attività di servizio.
16. Il Garante
(la composizione dal 6 Giugno 2012)
IL COLLEGIO
Antonello Soro
(Presidente)
Augusta Iannini
(vice-presidente)
Giovanna Bianchi
Clerici
(componente)
Licia Califano
(componente)
Il primo presidente dell’Ufficio del Garante ( dal 1997 al 2005), considerato il
«padre fondatore» della Legge, è stato Stefano Rodotà.
17. Passiamo ora ad analizzare la disciplina che
più direttamente influisce sul nostro operato
quotidiano
18. Le norme di Legge
Legge n. 675/1996
La disciplina italiana della protezione dei dati personali parte con la Legge n.
675/1996, attuativa della direttiva 95/46/CEE del 24 ottobre 1995.
La Legge n. 675/1996 ha anche consentito all'Italia di entrare a far parte
dell'Accordo di Schengen, sull'abolizione dei controlli sulle persone alle
frontiere dell'Unione europea.
E’ oggi abrogata.
19. Le norme di Legge
D.lgs n. 196/2003 – Codice della privacy
Il Codice della privacy riunisce in un solo testo, di rango unicamente
legislativo, la L. n. 675/1996, i successivi decreti legislativi correttivi, varie
disposizioni regolamentari approvate in seguito, altre norme rilevanti in tema
di tutela della privacy, nonché alcune importanti disposizioni innovative, che,
in alcuni casi, recepiscono e codificano la giurisprudenza espressa in questi
anni dal Garante.
E’ la norma ad oggi in vigore e rimarrà in vigore fino al recepimento del nuovo
Regolamento Europeo.
20. Gli altri riferimenti di rango primario
Provvedimenti, autorizzazioni e codici deontologici
Il Codice Privacy è la fonte principale, ma il contesto normativo è complesso e
variamente articolato, sia a livello legislativo sia a livello regolamentare.
Infatti il quadro comprende anche provvedimenti generali, autorizzazioni generali
e codici deontologici che disciplinano nel loro ambito, molto spesso con forza e
valore di norma di rango primario ( Legge).
il complesso delle norme sulla protezione dei dati personali deve poi essere anche
coordinato con le altre disposizioni dell'ordinamento italiano, che, pur non
essendo espressamente dedicate alla protezione dei dati personali o alla tutela
della riservatezza, toccano in ambito settoriale temi tipici attinenti tali materie (
es. Statuto dei lavoratori).
21. Gli altri riferimenti di rango inferiore
Linee guida e modelli
Periodicamente il Garante pubblica anche linee guida e modelli di riferimento
per il rispetto degli adempimenti.
Mentre il Codice, gli allegati al codice ed i provvedimenti hanno valore di
legge e sono dunque obbligatori le linee guida ed i modelli sono opzionali.
CAMBIARE
L’IMMAGINE
23. La struttura del decreto
Si compone di 3 parti…
1. Disposizioni generali ( artt.1-45);
2. Disposizioni relative a settori specifici ( artt. 46-140);
3. Tutela dell’interessato e sanzioni ( artt. 141-186);
…a cui seguono 3 categorie di allegati:
1. Codici deontologici;
2. Disciplinare tecnico;
3. Trattamenti non occasionali[…] in ambito giudiziario o per fini di polizia
24. Principi generali
All’interno delle disposizioni generali, parte importante rivestono i
«principi generali» che esprimono i principi base ispiratori di tutta la
disciplina.
Rappresentano lo strumento principale ed indispensabile per
dirimere questioni controverse e valutare l’impatto Privacy di un
qualsiasi progetto.
Soprattutto in conseguenza della rapidissima evoluzione tecnologica,
spesso capita che il Garante debba pronunciarsi su questioni che non
trovano soluzioni in norme ad hoc: in tutti questi casi, viene fatto
riferimento ai principi generali.
25. Principi generali
1. Il diritto alla protezione dei dati personali ( art. 1):
«Chiunque ha diritto alla protezione dei dati personali che lo riguardano»
2. Il principio di finalità ( art. 2 ):
E’ espresso il concetto per cui la protezione dei dati personali viene realizzata
attraverso l’applicazione delle regole indicate nel Codice;
3. Il principio di necessità ( art. 3):
«I sistemi informativi e i programmi informatici siano configurati riducendo al
minimo l'utilizzazione di dati personali e di dati identificativi, in modo da
escluderne il trattamento quando le finalità perseguite nei singoli casi possono
essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità
che permettano di identificare l'interessato solo in caso di necessità».
Ancora la necessità di moderare tra due interessi: l’esigenza di efficienza
amministrativa e la tutela di un diritto della personalità.
26. Principi generali
E poi l’art. 11, che esprime i principi generali ai quali si deve conformare
qualsiasi trattamento di dati personali:
4. Il principio di liceità e correttezza ( art. 11 comma 1 lettera a):
« i dati personali sono trattati in modo lecito e secondo correttezza»… «lecito»
significa conforme alla Legge, «corretto» significa nel rispetto del Codice
Privacy.
5. Il principio di finalità ( art. 11 comma 1 lettera b):
«i dati personali sono raccolti e registrati per scopi determinati, espliciti e
legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili
con tali scopi»…ogni trattamento deve avvenire per legittime, specifiche e
manifeste finalità. E’ uno dei principi cardine, alla base di uno degli
adempimenti operativi principali, ossia l’ «Informativa».
27. Principi generali
6. Il principio di esattezza e aggiornamento ( art. 11 comma 1 lettera c):
Sono richieste misure di monitoraggio periodiche al fine di garantire lo stato
di aggiornamento dei dati.
7. Il principio di pertinenza e non eccedenza ( art. 11 comma 1 lettera d):
E’ richiesta la verifica che TUTTI i dati servano per poter raggiungere la finalità
dichiarata.
8. Il principio di conservazione dei dati o della giusta durata del trattamento
( art. 11 comma 1 lettera e):
I dati vanno conservati per il tempo necessario a realizzare le finalità per i
quali sono stati raccolti.
28. Principi generali
Art. 11 comma 2
«I dati personali trattati in violazione della
disciplina rilevante in materia di trattamento dei
dati personali… ( quindi in violazione dei principi
sopra esposti)… NON possono essere utilizzati.»
29. Trattamento dei dati
Fondamentale, a questo punto, è capire cosa si intende per «trattamento dei
dati» e nel Codice Privacy è contenuta una definizione decisamente ampia.
Art. 4 comma 1 D.lgs. 196/2003:
«qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio
di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione,
la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione, la distruzione di dati, anche se non registrati in una
banca di dati».
Le operazioni indicate possono essere suddivisibili in 4 fasi: una fase preliminare (
raccolta, registrazione), una fase di elaborazione ( organizzazione, elaborazione,
estrazione…), una fase di circolazione ( comunicazione e diffusione), una fase
conclusiva ( cancellazione, blocco, conservazione).
30. Trattamento dei dati
Pertanto, l'operazione sinteticamente definita come trattamento è
intesa dal nostro Legislatore nella accezione più ampia possibile:
l'apparente tassatività dell'elenco contenuto nella legge è, infatti,
compensata dal riferimento iniziale a "qualunque operazione" che
vanifica qualunque tipo di limitazione dell’ambito considerato.
Né il Legislatore ha identificato delle riduzioni relative alla durata
temporale. Il concetto di trattamento di dati non può essere limitato al
concetto di trattamento sistematico o continuativo di informazioni:
anche un trattamento episodico e istantaneo non è escluso dalla
nozione di trattamento.
31. Trattamento dei dati
In realtà, in modo più o meno diretto, la norma offre la possibilità di fare dei
distinguo rispetto al trattamento e di limitare un po’ il campo:
Art. 5 comma 3: «il trattamento di dati personali effettuato da persone fisiche
per fini esclusivamente personali è soggetto all’applicazione del presente
codice solo se i dati sono destinati ad una comunicazione sistematica o alla
diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e
di sicurezza dei dati di cui agli articoli 15 e 31».
Si deve ritenere, pertanto, che tutte le banche dati contenenti contatti
personali, realizzate da persone fisiche, siano fuori dal regime di disciplina del
Codice: la normale vita di relazione tra persone fisiche è dunque
esclusa…anche se non del tutto priva di rischio, visto che eventuali danni
cagionati per effetto del trattamento potrebbero comunque dar vita ad una
risarcimento di danni!!!
32. I dati
Ritorniamo a questo punto al «dato», che, come detto, è il fulcro della
trattazione: il dato è, in ultima analisi, l’oggetto della tutela e deve
necessariamente essere chiaramente identificato.
A questo preciso fine, il Codice Privacy fornisce le definizioni delle
diverse tipologie di dati, facendo dipendere da esse la graduazione
degli adempimenti necessari per un trattamento corretto ed in linea
con la disciplina: identificare le diverse classi di dati è un passo
fondamentale per organizzare il comportamento da mantenere e,
spesso, proprio su questo punto si creano le principali confusioni.
33. Dato personale
Avevamo detto che, ai sensi art. 4 comma 1 :
«Per dato personale si intende qualunque informazione relativa a persona
fisica, identificata o identificabile, anche indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi compreso un numero di identificazione
personale»
Al dato personale si contrappone il «dato anonimo», definito sempre all’art. 4
comma 1 come «il dato che in origine, o a seguito di trattamento, non può
essere associato ad un interessato identificato o identificabile»: il tema è
sicuramente delicato, in quanto, il requisito dell'identificabilità consentita dal
dato non è immune dal creare difficoltà, essendo comunque possibile,
attraverso l'utilizzo di tecniche sofisticate, procedere all'individuazione di un
soggetto anche attraverso un complesso insieme di informazioni anonime.
34. Dato personale
Il dato personale è dunque qualunque informazione, inclusi suoni ed
immagini, che sia tale da consentire di identificare la persona (fisica) sia in
modo diretto che indiretto, ottenuto cioè per connessione con altra
informazione: siamo in presenza di dati identificativi tutte le volte in cui non è
necessario porre in essere particolari operazioni di ricostruzione per
identificare in maniera diretta l’interessato ( es. PIN o USER ID da cui sia
possibile risalire al titolare).
E ancora:
Il dato è anonimo quando da esso sia impossibile risalire all'interessato, e
questa sua caratteristica può tanto essere innata, quanto acquisita a seguito
di trattamento. Solo i dati personali sono oggetto di trattamento rilevante dal
punto di vista del Codice privacy: se, a seguito di trattamento, un dato
personale diviene anonimo ( procedimento di anonimizzazione), allora esce
dalla necessità di tutela.
35. All’interno della macro-area dei dati personali
sono espressamente individuate 2
sottocategorie
1. Dati sensibili;
2. Dati giudiziari;
36. I dati sensibili
Sono quelli che riguardano informazioni concernenti gli aspetti più intimi della
vita di un individuo e sono tassativamente indicati dalla norma.
Art. 4 comma 1 D.lgs. 196/2003:
I dati sensibili sono «i dati personali idonei a rivelare l'origine razziale ed etnica, le
convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la
vita sessuale».
I dati sensibili godono del maggior grado di tutela e le violazioni che causano
danni al dato sensibile sono punite più severamente: molti dei dati elencati tra
quelli sensibili attengono a diritti fondamentali e tutelati dalla Costituzione, e, in
relazione a questo si giustificano strumenti di tutela rafforzati, rispetto alla
disciplina generale, sia sotto il profilo civilistico, sia sotto il profilo penale, nonché
sotto quello amministrativo.
37. I dati sensibili
Sono addirittura definiti «supersensibili» i dati idonei a rilevare lo stato di
salute e la vita sessuale delle persone.
E’ quindi chiaro che è fondamentale una individuazione precisa dei dati
sensibili che possono essere riscontrati e che il trattamento degli stessi
richieda particolare attenzione, perizia e l’adozione di idonee misure di
sicurezza.
Importante è poi l’individuazione della cosiddetta area di sensibilità, intesa
come una valutazione fatta con riferimento al contesto e alla natura stessa
dell’informazione: sempre tenendo a mente che l’identificazione
dell’interessato può essere sia diretta sia indiretta.
38. Il codice Privacy, poi, dà un ruolo a
tutti i «soggetti» che, direttamente o
indirettamente, hanno a che fare
con i dati…
39. Il Titolare del trattamento
Art. 4 comma 1 D.lgs. 196/2003:
«La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro
ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le
decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della sicurezza.»
Garante - Guida pratica e misure di semplificazione per le piccole e medie imprese –
24 Maggio 2007
«Il "titolare del trattamento", è la "[...] entità che esercita un potere decisionale del
tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo
della sicurezza" (art. 28 del Codice).
In particolare, nell'ambito dello svolgimento dell'attività economica, "titolare del
trattamento" può essere la persona fisica (si pensi all'imprenditore individuale) o
giuridica (ad esempio, la società) che tratta i dati (con la raccolta, la registrazione, la
comunicazione o la diffusione).
Il "titolare del trattamento" è chiamato ad attuare gli obblighi in materia e, se ritiene
di designare uno o più responsabili del trattamento, è tenuto a vigilare sulla puntuale
osservanza delle istruzioni da impartire loro.»
40. Il Titolare del trattamento
I tratti distintivi del titolare del trattamento
1. Il potere decisionale: ciò che identifica il titolare è il potere decisionale in
ordine al trattamento dei dati e agli strumenti utilizzati, anche se le
singole operazioni del trattamento vengono svolte da collaboratori,
interni o esterni all'organizzazione del titolare del trattamento.
2. La responsabilità: «è chiamato ad attuare»… « è tenuto a vigilare»…il
titolare del trattamento è il vertice della piramide, il soggetto che, in
ultima analisi, ha la responsabilità di organizzare la struttura affinché la
normativa sulla tutela della riservatezza delle persone sia osservata,
anche istituendo meccanismi di monitoraggio e controllo.
3. Sotto il profilo soggettivo, può essere persona fisica o persona giuridica:
l’aspetto è stato chiaramente definito sia dal Garante, sia dalla Corte di
Cassazione.
41. Il responsabile del trattamento
Art. 4 comma 1 D.lgs. 196/2003:
«E' responsabile la persona fisica, la persona giuridica, la pubblica amministrazione e
qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di
dati personali».
Garante - Guida pratica e misure di semplificazione per le piccole e medie imprese – 24 Maggio
2007:
«Il "responsabile del trattamento" (possono essere più d'uno), è una figura che può essere
designata a propria discrezione dal titolare del trattamento con un atto scritto nel quale vanno
indicati i compiti affidati. Occorre scegliere persone fisiche od organismi che per esperienza,
capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in
materia di trattamento, ivi compreso il profilo relativo alla sicurezza (art. 29 del Codice).
Tale figura, la cui designazione da parte del "titolare del trattamento" è quindi facoltativa, ricorre
frequentemente in presenza di articolazioni interne delle realtà produttive dotate di una certa
autonomia (ad es., possono essere designati responsabili del trattamento i dirigenti di funzioni
aziendali, quali quelle del personale o del settore marketing) o, rispetto a soggetti esterni
all'impresa, per svariate forme di outsourcing che comportino un trattamento di dati personali
(ad es., per i centri di elaborazione dati contabili, per i servizi di postalizzazione, per le società di
recupero crediti , etc.)».
42. Il responsabile del trattamento
I tratti distintivi del responsabile del trattamento
1. E’ facoltativo: La sua designazione si ritiene importante quando la
struttura aziendale abbia dimensioni importanti, ma, da un punto di vista
formale, NON è obbligatoria.
2. La nomina scritta: il responsabile ( o i responsabili) deve essere
formalmente designato per iscritto, con l’individuazione analitica dei
compiti affidati, dei mezzi e delle modalità.
3. Le conoscenze adeguate: il soggetto designato deve avere capacità ed
esperienza in materia di Privacy.
4. La diligenza: il soggetto designato deve attenersi alle istruzioni del
Titolare, il quale, dal canto suo, vigila sulla puntuale osservanza delle
disposizioni.
5. Interno o esterno: Può essere interno alla struttura aziendale, ma anche
esterno.
43. L’incaricato al trattamento
Art. 4 comma 1 D.lgs. 196/2003:
«Le persone fisiche autorizzate a compiere operazioni di trattamento dal
titolare o dal responsabile».
Art. 30 comma 1 D.lgs. 196/2003:
«Le operazioni di trattamento possono essere effettuate solo da incaricati che
operano sotto la diretta autorità del titolare o del responsabile, attenendosi
alle istruzioni impartite».
L'incaricato del trattamento, dunque, non si trova in posizione apicale e non
sovrintende al trattamento: egli compie le operazioni del trattamento, così
come precedentemente definite, attenendosi alle istruzioni impartite.
In pratica, solo chi svolge mere operazioni materiali o chi usa informazioni
anonime non è considerato incaricato del trattamento.
44. L’incaricato al trattamento
I tratti distintivi dell’incaricato al trattamento
1. E’ persona fisica: A differenza del responsabile del trattamento, che può
essere anche un ente collettivo, l'incaricato può essere solo una persona
fisica (Garante 8 giugno 1999).
2. Deve essere designato: la designazione è effettuata per iscritto e individua
puntualmente l'ambito del trattamento consentito. La nomina è pertanto
obbligatoria e permette di capire la natura dei dati personali ai quali
l’incaricato accede e la tipologia di trattamento consentita.
N.B.: è sufficiente la documentata preposizione della persona fisica ad una unità
per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli
addetti all’unità medesima.
La designazione degli incaricati del trattamento, tra le altre cose, permette di
considerare legittimo il flusso delle informazioni personali nell'ambito degli uffici e
tra i dipendenti del titolare del trattamento.
45. L’interessato
Art. 4 comma 1 D.lgs. 196/2003:
«L’interessato è la persona fisica cui si riferiscono i dati
personali»
In pratica, l'interessato è il titolare del diritto alla tutela della propria
riservatezza, formalizzato dal Codice.
L’attuale formulazione è stata modificata dal D.L. 6 Dicembre 2011, n. 201, il
c.d. «Decreto salva Italia», che ha ricondotto la tutela dei diritti e delle libertà
fondamentali alle sole persone fisiche, ridisegnando la disciplina in materia di
protezione dei dati personali nella parte riguardante il trattamento di dati
relativo a persone giuridiche, enti o associazioni.
46. L’esclusione delle persone giuridiche
Obiettivo dell’intervento è stata una riduzione degli oneri in materia di privacy
gravanti sulle imprese: è chiaro che questa misura esenta le imprese da ogni
adempimento previsto dalla normativa SOLO quando il trattamento di dati non
riguarda persone fisiche e quindi ha una portata necessariamente limitata.
D’altra parte, l’intervento, in un certo senso, determina l’azzeramento della tutela
delle persone giuridiche rispetto al trattamento dei dati che le riguardano,
comportando l’impossibilità per le stesse di usufruire degli strumenti che il Codice
prevede.
Ancora una volta due importanti esigenze di cui tenere conto: lo snellimento degli
adempimenti burocratici e la tutela della Privacy. Probabilmente, però, non era
ancora chiaro ( come comincia invece ad esserlo oggi), che Privacy, anche per le
aziende, significa rispetto per la dignità altrui, ma anche tutela delle informazioni
necessarie al proprio business, salvaguardia del proprio Know-how e protezione
della propria clientela.
47. I diritti dell’interessato
• Diritto di accesso ai dati e altri diritti connessi;
• Diritto all’identità personale;
• Diritto all’oblio;
48. Diritto di accesso ai dati personali
Costituisce il principale diritto dell’interessato ed è disciplinato dagli artt. 7-10 del
Codice
«L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati
personali che lo riguardano, anche se non ancora registrati, e la loro
comunicazione in forma intelligibile».
La richiesta di accesso ai propri dati personali è formulata liberamente e senza
costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con
intervallo non minore di novanta giorni.
Quando chiede di accedere ai dati personali che lo riguardano, l'interessato non è
tenuto ad indicare specificamente in quali atti o documenti essi sono contenuti:
chi gestisce la banca dati deve comunicare tutte le informazioni in suo possesso
(Garante - newsletter n. 254 del 2-8 maggio 2005).
49. Diritto di accesso ai dati personali
Diritto di conoscere e di avere comunicazione
Nel diritto di accesso sono compresi il diritto di ottenere conoscenza:
a) dell'origine dei dati personali (quindi come i propri dati sono stati ottenuti
dal titolare);
b) delle finalità e modalità del trattamento ( per quale scopo sono trattati)
c) della logica applicata in caso di trattamento effettuato con l'ausilio di
strumenti elettronici ( con quali modalità/metodo sono trattati)
d) degli estremi identificativi del titolare, dei responsabili e del
rappresentante in Italia del titolare di trattamento stabilito in paese
extracomunitario ( chi all’interno dell’organizzazione tratta/viene a contatto
con i dati)
e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono
essere comunicati o che possono venirne a conoscenza in qualità di
rappresentanti designati nel territorio dello Stato, di responsabili o incaricati (
N.B.: ricordiamoci della differenza tra «comunicazione», ossia dare
conoscenza a uno o più soggetti determinati e «diffusione», ossia dare
conoscenza a soggetti indeterminati).
50. Diritto di accesso ai dati personali e
altri diritti connessi
Diritto di intervenire
Ai sensi art. 7 comma 3 del Codice, l'interessato ha anche altri diritti e, in
particolare, il diritto di ottenere:
a) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione
dei dati;
b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati
in violazione di legge, compresi quelli di cui non è necessaria la conservazione in
relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
c) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela
impossibile o comporta un impiego di mezzi manifestamente sproporzionato
rispetto al diritto tutelato.
51. Diritto di accesso ai dati personali e
altri diritti connessi
Diritto di contrastare il trattamento
Infine l'interessato ha diritto di opporsi, in tutto o in parte:
a) per motivi legittimi al trattamento dei dati personali che lo riguardano,
ancorché pertinenti allo scopo della raccolta;
b) al trattamento di dati personali che lo riguardano a fini di invio di materiale
pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o
di comunicazione commerciale.
Vita quotidiana:
Dal 1° febbraio 2011, gli abbonati i cui nominativi e numeri siano pubblicati
negli elenchi telefonici e che non desiderino ricevere telefonate pubblicitarie
con operatore, devono iscriversi al Registro Pubblico delle opposizioni.
52. Diritto di accesso ai dati personali e
altri diritti connessi
Riscontro all’interessato
Il titolare del trattamento è tenuto ad agevolare l’accesso ai dati personali, a
semplificare le modalità e a ridurre i tempi.
In merito alla modalità di comunicazione richiesta dall'interessato, il titolare è
tenuto a rendere noti, in forma intelligibile e anche oralmente, i dati personali
presenti nei suoi archivi, ma non a esibire o rilasciare copia di atti o documenti
che li contengono. Questa ultima ipotesi è prevista solo quando l'estrapolazione
dei dati da tali documenti risulti particolarmente difficoltosa, e comunque,
omettendo i dati riferiti a terzi.
Quando, a seguito della richiesta, non risulta confermata l’esistenza di dati che
riguardano l’interessato, può essere chiesto un contributo spese non eccedente i
costi effettivamente sopportati per la specifica ricerca.
53. Diritto all’identità personale
Sostenuto da provvedimenti del Garante e dalla giurisprudenza.
Il diritto alla privacy è diventato anche strumento di tutela del diritto
all'identità personale, cioè all'esatta ricostruzione della personalità
dell'individuo: trattare in maniera esatta i dati personali dell'individuo
significa tratteggiarne in maniera esatta la sua personalità.
Esempio
Ricorso presentato in via d'urgenza da una donna per lamentare l'uso illecito di
una sua immagine fotografica da parte di un partito politico per i manifesti
pubblicitari della campagna di tesseramento 2006 e accolto dal Garante: la foto
risaliva a circa 18 anni prima e ritraeva la donna mentre partecipava ad una
manifestazione pubblica. Secondo la donna l'associazione della sua immagine con
la campagna pubblicitaria del partito l'avrebbe esposta ad un giudizio pubblico
lesivo della sua identità personale attribuendole una fede politica che non sua.
54. Diritto all’oblio
Sostenuto fino ad oggi da provvedimenti del Garante, è divenuto uno dei «nuovi»
diritti sanciti dal Regolamento Europeo.
Garante (newsletter n. 249 del 21-27 marzo 2005):
-Le notizie negative sul conto delle persone non devono essere
indiscriminatamente e sempre essere disponibili su internet tramite i motori di
ricerca.
- E' legittimo pubblicare nella rete la notizia di una sanzione, una condanna o un
altro precedente pregiudizievole lontani nel tempo, senza omissione del
nominativo dell'interessato; ma non è legittimo che siano per sempre disponibili a
tutti e a chiunque in internet tramite i comuni motori di ricerca.
Nuovo Regolamento Europeo
Sancito il diritto che l'interessato ha di ottenere dal titolare del trattamento la
cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo.
55. Le ultime 2 figure rappresentative
Ultime in senso cronologico rispetto alla loro introduzione e,
peraltro, non disciplinate all’interno del Codice Privacy,
rimangono da definire ancora 2 figure attive nell’ambito della
tutela dei dati:
1. L’amministratore di sistema;
2. Il «Data Protection Officer»;
56. L’amministratore di sistema
Introdotto nell’ordinamento con Provvedimento del Garante del 27
novembre 2008:
«Con la definizione di Amministratori di sistema, si individuano, generalmente,
figure professionali finalizzate alla gestione e alla manutenzione di un impianto di
elaborazione o di sue componenti. Ai fini del presente provvedimento vengono,
però, considerate tali anche altre figure equiparabili dal punto di vista dei rischi
relativi alla protezione dei dati».
L’ A.d.s non è dunque il semplice manutentore della struttura informatica, ma è il
«garante informatico» della protezione delle informazioni personali unitamente al
Titolare.
Nelle ipotesi in cui la normativa o l’interesse della azienda prevedano questa
nomina, il Titolare del trattamento deve individuare persona affidabile e
competente, designarla per iscritto e predisporre idonee attività di verifica e di
registrazione degli accessi.
57. Il «data protection officer»
Introdotto dal nuovo Regolamento Europeo del 4 Maggio 2016, è una figura che, al
momento, pare obbligatoria solo per alcuni ambiti:
«Devono nominare obbligatoriamente un Responsabile della protezione dei dati
personali (il c.d. data protection officer) tutte le pubbliche amministrazioni ed enti
pubblici, eccetto le autorità giudiziarie. L'obbligo riguarda anche tutti i soggetti (enti e
imprese) che trattano su larga scala dati sensibili, relativi alla salute o alla vita
sessuale, genetici, giudiziari e biometrici, oppure che svolgono attività in cui i
trattamenti richiedono il controllo regolare e sistematico degli interessati».
«Il Responsabile della protezione dei dati personali ha il compito di informare e
consigliare il titolare o il responsabile del trattamento da lui preposto, nonché i
dipendenti, in merito agli obblighi derivanti dal Regolamento Europeo e dalle altre
disposizioni dell'UE o delle normative locali degli Stati membri relative alla protezione
dei dati. Dovrà poi verificare che la normativa vigente e le policy interne del titolare
siano correttamente attuate ed applicate, incluse le attribuzioni delle responsabilità, la
sensibilizzazione e la formazione del personale, ed i relativi audit.»
58. A questo punto, conosciuto l’oggetto della tutela ( il dato),
l’elemento che fa nascere l’esigenza della tutela ( il
trattamento) e le figure che rivestono un ruolo attivo
nell’esercizio della tutela stessa, arriviamo a passare in
rassegna gli adempimenti che devono essere messi in atto
perché gli obiettivo fissati dagli artt.1 e 2 del Codice Privacy
(«Chiunque ha diritto alla protezione dei dati personali che
lo riguardano») possano essere concretamente realizzati.
59. I principali adempimenti
I principali adempimenti possono essere
raggruppati in 3 gruppi:
• Adempimenti verso l’autorità Garante;
• Adempimenti verso gli interessati;
• Adempimenti organizzativi di sicurezza;
61. Adempimenti verso l’autorità Garante
I principali sono 2:
1. La notificazione del trattamento;
2. La richiesta di autorizzazione;
62. La notificazione
La notificazione è l'atto con il quale il titolare di trattamento
si presenta al Garante, che è tenuto a censire particolari
categorie.
Una sorta di autodichiarazione con la quale si comunicano
al Garante i dati salienti sulla impresa - titolare di
trattamento - e sui trattamenti effettuati dalla stessa.
Diversamente dall’impostazione della normativa
precedente, con il Codice Privacy devono essere notificati al
Garante soltanto alcuni trattamenti, mentre tutti gli altri
sono esenti.
63. La notificazione
Art. 37 D.lgs. 196/2003:
Il titolare notifica al Garante il trattamento di dati personali cui intende procedere solo se il trattamento
riguarda:
a) Dati genetici , dati biometrici o dati che indicano posizione geografica di persone od oggetti mediante
una rete di comunicazione elettronica.
b) Dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita,
prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini
epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi
e tessuti e monitoraggio della spesa sanitaria.
c) Dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza
scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale.
d) Dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità
dell'interessato, o ad analizzare abitudini o scelte di consumo ( c.d. profilazione), ovvero a monitorare
l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti.
e) Dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati
sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie.
f) Dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla
solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a
comportamenti illeciti o fraudolenti..
Ciascuno di questi ambiti è poi stato meglio definito da Comunicazioni e Provvedimenti del
Garante.
64. La richiesta di autorizzazione
Art. 26 D.lgs. 196/2003:
« i dati sensibili possono essere oggetto di trattamento solo con il
consenso scritto dell’interessato e previa autorizzazione del Garante».
Art. 27 D.lgs. 196/2003:
« Il trattamento di dati giudiziari….è consentito soltanto se autorizzato
da espressa disposizione di legge o provvedimento del Garante».
Come già visto, i dati sensibili e giudiziari godono di una più
intensa protezione in ragione della loro particolare natura: per
poter trattare queste categorie di dati, il Codice Privacy, prevede
che, di regola, occorra non solo il consenso scritto
dell'interessato, ma anche la previa autorizzazione del Garante.
65. La richiesta di autorizzazione
Art. 40 D.lgs. 196/2003:
« Le disposizioni….che prevedono una autorizzazione del
Garante sono applicate anche mediante il rilascio di
autorizzazioni relative a determinate categorie di titolari o di
trattamenti…».
Ai sensi dell’art. 40 del Codice, dunque, il trattamento dei dati
sensibili può essere autorizzato dal Garante anche d’ufficio,
con provvedimenti di carattere generale, relativi a
determinate categorie di titolari e trattamenti: la
autorizzazioni generali prescrivono dunque misure uniformi a
garanzia degli interessati, rendendo superflua la richiesta di
singole autorizzazioni.
66. La richiesta di autorizzazione
L’ultimo rinnovo della autorizzazioni generali da parte del Garante ha previsto le
seguenti autorizzazioni, pubblicate in Gazzetta Ufficiale:
• Autorizzazione generale n. 1/2016 al trattamento dei dati sensibili nei rapporti di lavoro
• Autorizzazione generale n. 2/2016 al trattamento dei dati idonei a rivelare lo stato di salute e la vita
sessuale
• Autorizzazione generale n. 3/2016 al trattamento dei dati sensibili da parte degli organismi di tipo
associativo e delle fondazioni
• Autorizzazione generale n. 4/2016 al trattamento dei dati sensibili da parte dei liberi professionisti
• Autorizzazione generale n. 5/2016 al trattamento dei dati sensibili da parte di diverse categorie di
titolari
• Autorizzazione generale n. 6/2016 al trattamento dei dati sensibili da parte degli investigatori
privati
• Autorizzazione generale n. 7/2016 al trattamento dei dati a carattere giudiziario da parte di privati,
di enti pubblici economici e di soggetti pubblici
• Autorizzazione generale n. 8/2016 al trattamento dei dati genetici
• Autorizzazione generale n. 9/2016 al trattamento dei dati personali effettuato per scopi di ricerca
scientifica
Come si può vedere, sono diversi gli ambiti disciplinati dalle autorizzazioni generali.
68. Adempimenti verso gli interessati
I principali sono 2:
1. L’informativa;
2. Il consenso;
69. L’informativa
L'informativa è il mezzo attraverso il quale si realizza la
trasparenza del trattamento e si concretizza il diritto
dell'interessato di conoscere una serie di informazioni
che riguardano il titolare del trattamento (privato o
pubblico) e la sua organizzazione, il trattamento e i suoi
diritti.
L’informativa deve essere resa per i dati raccolti presso
l’interessato e per quelli reperiti presso terzi.
70. COSA CONTIENE FAC SIMILE INFORMATIVA PER I CLIENTI
• Ai sensi dell'articolo 13 del Codice in materia di dati personali si
informa che il trattamento dei dati personali, anche sensibili,
forniti, finalizzati unicamente ad eseguire gli obblighi
contrattuali e ad adempiere a Sue specifiche richieste, avverrà
presso ...................... ..................... ................... ...................
...................... ...................... .................... ............... (indicare
nome e recapito del titolare del trattamento) con l'utilizzo di
procedure anche informatizzate, nei modi e nei limiti necessari
per perseguire le predette finalità.
• I dati potranno essere comunicati a ................. .................
.................... ................ .............. (ad esempio altre società del
gruppo, Enti ........... ........);
• Dei dati potranno venire a conoscenza i seguenti responsabili o
incaricati del trattamento .............. ..................... .............
............ (dipendenti della nostra società, ecc.).
• Il conferimento dei dati è facoltativo/obbligatorio/necessario
per esatta esecuzione degli obblighi contrattuali e
precontrattuali, ecc. e la loro mancata indicazione comporta
l'impossibilità di portare a termine in maniera esatta
l'adempimento delle obbligazioni contrattuali a nostro carico.
• Agli interessati sono riconosciuti i diritti di cui all'articolo 7 del
citato Codice e in particolare il diritto di accedere ai propri dati
personali, di chiederne la rettifica, l'aggiornamento e la
cancellazione, se incompleti, erronei o raccolti in violazione
della legge, nonché di opporsi al loro trattamento per motivi
legittimi, rivolgendo le richieste al ................ ..................
................. ................ (precisare identificativo e recapiti del
titolare e del responsabile del trattamento; eventualmente il
responsabile per il riscontro all'interessato in caso di esercizio
dei diritti, se nominato);
-1-
Le finalità e le modalità del trattamento cui sono
destinati i dati
-2-
La natura obbligatoria o facoltativa del conferimento
dei dati
-3-
Le conseguenze di un eventuale rifiuto di rispondere
-4-
I soggetti o le categorie di soggetti ai quali i dati
personali possono essere comunicati o che possono
venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi
-5-
I diritti di cui all'articolo 7 ( diritti dell’interessato)
-6-
Gli estremi identificativi del titolare e, se designati,
del rappresentante nel territorio dello Stato ai sensi
dell'articolo 5 e del responsabile.
71. L’informativa
QUANDO
• In caso di dati raccolti presso
l’interessato, l’informativa
deve essere resa prima delle
operazioni del trattamento;
• In caso di dati raccolti presso
terzi, l’informativa deve essere
resa al momento della
registrazione dei dati o
comunque non oltre la prima
comunicazione, se prevista.
• Non è necessario ripeterla in
occasione di ogni contatto
COME
• La forma dell’informativa è
LIBERA;
• Può essere resa in forma orale
o scritta. Per i dati sensibili
DEVE essere scritta;
• Deve essere CHIARA e Idonea
allo scopo: non deve seguire
particolari formalità, ma deve
dare le informazioni
necessarie.