INFORMATIVA SULLA PRIVACY

L’ultima legge sulla privacy in vigore, autorizzazione al trattamento dati

Il 1° gennaio del 2004 è entrata in vigore in Italia una nuova legge chiamata a riordinare e regolare quanto necessario in riferimento alla privacy, ovvero alla protezione dei dati personali. Il testo in questione, passato poi immediatamente alla storia e all’uso comune come “Testo unico sulla privacy” era ed è il “Decreto legislativo 30 giugno 2003, n. 196 Codice in materia di protezione di dati individuali”.

Storia dell’ordinamento legislativo

Prima del “Testo unico sulla privacy” era in vigore in Italia la “Legge 31 dicembre 1996, n. 675 Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali“. Era il testo “primordiale” introdotto nella nostra norma per adempiere a quanto previsto a livello europeo dagli Accordi di Shengen e alla “Direttiva 95/46/CE del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”. Nel 2003 le norme contenute nella legge del 1996 sono state assorbite e riviste e hanno dato vita al Testo unico di cui ora parleremo.

Il Testo unico sulla privacy è tutt’ora in vigore, ha forza e assoluta presenza nell’ordinamento italiano, e sulla propria corretta applicazione vigila l’Autorità Garante per la protezione dei dati personali. Ha subito come di consuetudine e come accade a ogni altra legge nel tempo integrazioni e modifiche, che le hanno permesso di aggiornarsi e di essere al passo con le novità informatiche, con internet, il web. Le ultime integrazioni in ordine cronologico e che citiamo per ovvi motivi di spazio e di tempo sono state la: “Legge 4 novembre 2010, n. 183 – “Deleghe al Governo in materia di lavori usuranti, di riorganizzazione di enti, di congedi, aspettative e permessi, di ammortizzatori sociali, di servizi per l’impiego, di incentivi all’occupazione, di apprendistato, di occupazione femminile, nonchè misure contro il lavoro sommerso e disposizioni in tema di lavoro pubblico e di controversie di lavoro”; “Legge 29 luglio 2010, n. 120 Decreto-Legge 25 settembre 2009, n. 135 Disposizioni urgenti per l’attuazione di obblighi comunitari e per l’esecuzione di sentenze della Corte di giustizia delle Comunità europee”.

Noi presentiamo su queste pagine l’ultima definitiva e contemporanea versione, ospitata e pubblicata sul sito ufficiale del Garante della privacy.

Il decreto ministeriale sulla privacy, la legge attuale

Secco chiaro e inequivocabile l’incipit della norma. L’ “Art. 1. Diritto alla protezione dei dati personali:
1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Dello stesso tono e della stessa sostanza gli articoli 2 e 3:

“Art. 2. Finalità
1. Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

  1. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi disemplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento.

Art. 3. Principio di necessità nel trattamento dei dati
1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”.

Si entra poi nel vivo della norma, nella definizione di indicazioni, obblighi e paletti utili a proteggere la privacy e il rispetto dei dati personali. Primo fra tutti il trattamento dei dati personali, che per le aziende nelle richieste informative, nei contratti, sappiamo quanto sia un passaggio delicato e sul quale non comportarsi con sufficienza.

Per il Testo “1. L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile”, ha poi diritto a conoscerne l’aggiornamento e opporsi al loro trattamento. “Per garantire l’effettivo esercizio dei diritti di cui all’articolo il titolare del trattamento è tenuto ad adottare idonee misure volte, in particolare:

  1. a) Adagevolare l’accesso ai dati personali da parte dell’interessato, anche attraverso l’impiego di appositi programmi per elaboratore finalizzati ad un’accurata selezione dei dati che riguardano singoli interessati identificati o identificabili;
  2. b) asemplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell’ambito di uffici o servizi preposti alle relazioni con il pubblico.

Da ciò discende la necessaria informativa, tramite la quale comunicare alla persona il trattamento dei suoi dati. E “1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile (Art. 2050 Responsabilità per l’esercizio di attività pericolose – Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, e tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno. Il danno non patrimoniale è risarcibile anche in caso di violazione dell’articolo 11”.

Il Testo unico sulla privacy affronta come facile immaginare ogni aspetto riguardante la privacy, dai dati personali a quelli sensibili, e il loro rapporto con la gestione dell’amministrazione pubblica, della sanità nazionale, della giustizia, fino ad arrivare alla deontologia di ordini e professioni. Crediamo sia utile in questa sede illustrarne la parte riguardante la gestione di dati personali possibile per le aziende, per i privati, per imprese che hanno un continuo rapporto commerciale e comunicativo con la clientela e con la potenziale clientela della quale potrebbero trovare a gestire la privacy e il rispetto dei dati.

 

Innanzitutto in ogni ente pubblico deve essere presente un responsabile del trattamento dei dati che sia anche differente dal titolare:

  • “Titolare”, la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”;
  • “Responsabile”,la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
  • “Incaricati”, le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

Soggetti giuridici responsabili in aziende, per il primo dei quali spetta anche, tra le misure minime di sicurezza l’obbligo di stesura del DPS.

Ancora. “Capo III – Regole ulteriori per privati ed enti pubblici economici”:

“Art. 23. Consenso
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato;

  1. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.
  2. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13.
  3. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

 

Il trattamento dei dati può essere effettuato quindi solo tramite esplicito consenso. Gli unici casi nei quali il consenso non è richiesto sono quando:

  1. a) È necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
  2. b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, aspecifiche richieste dell’interessato;
  3. c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
  4. d) riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
  5. e) ènecessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato;
  6. f) con esclusione della diffusione, è necessario ai fini dellosvolgimento delle investigazioni difensivedi cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
  7. g) con esclusione della diffusione, è necessario, neicasi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato;
  8. h) con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per ilperseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13;
  9. i) è necessario, in conformità ai rispettivi codici di deontologia di cui all’allegato A),per esclusivi scopi scientifici o statistici, ovvero peresclusivi scopi storici presso archivi privati dichiarati di notevole interesse storico ai sensi dell’articolo 6, comma 2, del decreto legislativo 29 ottobre 1999, n. 490, di approvazione del testo unico in materia di beni culturali e ambientali o, secondo quanto previsto dai medesimi codici, presso altri archivi privati.

Continuiamo: Art. 25. Divieti di comunicazione e diffusione

“1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria:

  1. a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell’articolo 11, comma 1, lettera e);
  2. b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.
  3. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell’articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

E ancora:

“Art. 26. Garanzie per i dati sensibili
1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti”.

Continuiamo. Il “Titolo VIII della legge 196 del 2003” è chiamato “Lavoro e previdenza sociale”. In esso viene innanzitutto auspicata l’adozione e il rispetto di un “codice di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali effettuato per finalità previdenziali o per la gestione del rapporto di lavoro, prevedendo anche specifiche modalità per l’informativa all’interessato e per l’eventuale prestazione del consenso relativamente alla pubblicazione degli annunci per finalità di occupazione di cui all’articolo 113, comma 3 e alla ricezione di curricula contenenti dati personali anche sensibili”.

Nel caso ancora di annunci di lavoro, o comunque di dati riguardanti persone che già lavorino in azienda, è vietata dalla legge in questione l’indagine sui dati sensibili dei dipendenti o dei candidati. La norma in questione, l’obbligo è mutuato dal Testo unico dalla Legge 20 maggio 1970 n.300 chiamata “Norme sulla tutela della libertà e dignità dei lavoratori, della libertà sindacale e nell’attività sindacale nei luoghi di lavoro e norme sul collocamento”. Un articolo che si esprime in questo modo netto e definitivo: “È fatto divieto al datore di lavoro, ai fini dell’assunzione, come nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore”.

La tutela della privacy del lavoratore va tutelata anche in caso di lavoro a distanza, al tempo già chiamato telelavoro. Anche in tali condizioni infatti il datore di lavoro deve garantire il rispetto della personalità e della libertà morale del dipendente e al contempo però, sarà lo stesso lavoratore domestico a dover mantenere riserbo su quanto riguarda la sua vita familiare. Il datore di lavoro non potrà inoltre controllare e violare la privacy del suo dipendente tramite telecamere o impianti audio.

Per quanto riguarda le banche, gli istituti finanziari, le assicurazioni:

“Art. 117. Affidabilità e puntualità nei pagamenti
1. Il Garante promuove, ai sensi dell’articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato nell’ambito di sistemi informativi di cui sono titolari soggetti privati, utilizzati a fini di concessione di crediti al consumo o comunque riguardanti l’affidabilità e la puntualità nei pagamenti da parte degli interessati, individuando anche specifiche modalità per garantire la comunicazione di dati personali esatti e aggiornati nel rispetto dei diritti dell’interessato.

Art. 118. Informazioni commerciali
1. Il Garante promuove, ai sensi dell’articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale, prevedendo anche, in correlazione con quanto previsto dall’ articolo 13, comma 5, modalità semplificate per l’informativa all’interessato e idonei meccanismi per garantire la qualità e l’esattezza dei dati raccolti e comunicati”.

In caso di controversie ci si può rivolgere sia al Garante della privacy per ottenere tutela alternativa a quella giurisdizionale, quanto all’autorità giudiziaria per una tutela giurisdizionale.

L’interessato può rivolgersi al Garante:

“a) Mediante reclamo circostanziato nei modi previsti dall’articolo 142, per rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali;

  1. b) mediantesegnalazione, se non è possibile presentare un reclamo circostanziato ai sensi della lettera a), al fine di sollecitare un controllo da parte del Garante sulla disciplina medesima;
  2. c) mediantericorso, se intende far valere gli specifici diritti di cui all’articolo 7 secondo le modalità e per conseguire gli effetti previsti nella sezione III del presente capo”.

Il Garante per la privacy è un organo autonomo e collegiale che ha quattro componenti. Due eletti dalla Camera e due dal Senato. Tra questi gli stessi quattro eleggono un presidente e un vice presidente. L’organismo così costituito, che resterà in carica per quattro anni ha piena autonomia di giudizio e valutazione.

Le sentenze e le condanne amministrative e pecuniarie del Garante sono quindi pubblicate su Gazzetta Ufficiale e l’inosservanza dei suoi provvedimenti è punita con la reclusione da tre mesi a due anni.