|
|
|
|
|
Tutela dei dati personali - Legge 675/96
Dati personali: che cosa cambia dal 1. gennaio
di Monica Gobbato da Interlex- 19.12.03
Il "codice in materia di protezione dei dati personali"
(DLgv 30 giugno 2003, n. 196), pubblicato in GU IL 29
luglio, presenta novità importanti soprattutto sotto un
profilo di sicurezza. Una di queste è rappresentata
proprio dall'introduzione del "principio di necessità",
secondo il quale i sistemi informativi e i programmi
informatici dovranno essere configurati riducendo al
minimo l'utilizzazione di dati personali/dati
identificativi in modo da escluderne il trattamento
quando le finalità perseguite nei singoli casi possono
essere realizzate mediante, 1) dati anonimi od 2)
opportune modalità che permettano di identificare
l'interessato solo in caso di necessità (art. 3).
Significa che il titolare, unitamente all'amministratore
di sistema (figura non più prevista tra le misure
minime, ma estremamente importante nella definizione dei
ruoli), dovrà preventivamente adottare delle procedure
organizzative/informatiche che permettano all'utente
l'accesso ai soli file necessari alla propria attività
lavorativa. Non solo, il Garante vuole di più e cioè
vuole escludere il trattamento di dati identificativi a
quelle persone che non abbiano necessità di vederle in
chiaro. Per attuare questo principio occorrerà che il
titolare all'inizio di ogni anno stabilisca delle
puntuali politiche di sicurezza in base allo stato
dell'arte e all'evoluzione tecnologica. Tali politiche
dovranno essere multidisciplinari e cioè dovranno
prevedere l'implementazione di nuove tecnologie, la
definizione dei ruoli chiave opportuni e la
predisposizione delle procedure di sicurezza richieste
dal codice.
A conferma di questa affermazione si osserva che nelle
definizioni è scritto che al titolare competono "anche
unitamente ad altro titolare" le decisioni in ordine
alle finalità, alle modalità del trattamento di dati
personali e agli strumenti utilizzati, ivi compreso il
profilo della sicurezza. Da ciò deriva che il titolare è
tenuto a decidere quali strumenti utilizzare per
effettuare il trattamento e quindi nel caso degli
strumenti elettronici è tenuto ad adottare i migliori
sul mercato, allo scopo di ridurre al minimo qualsiasi
rischio sul dato personale. Si precisa che il principio
di necessità costituisce un importante potenziamento di
un principio già esistente nella 675, che è quello di
pertinenza.
E'stata poi ampliata la definizione di dati giudiziari
che ora comprende anche i dati personali idonei a
rivelare gli eventuali carichi pendenti, la qualità di
imputato o di indagato ed anche la soccombenza ad
eventuali sanzioni amministrative dipendenti da reato.
E'stata introdotta quindi una nuova categoria di dati
"semi-sensibili".
L'ambito di applicazione subisce un cambiamento
importante. In pratica il nuovo codice si applica al
trattamento di dati personali anche detenuti all'estero,
effettuato "da chiunque è stabilito nel territorio dello
Stato"(art. 5,1) invece che "a qualunque trattamento
effettuato nello Stato". Come si comprende, grazie ad un
concetto già noto alle ultime direttive europee, che è
quello del luogo di stabilimento del titolare, ossia il
luogo in cui il titolare stabilisce la sua attività
economica, l'ambito di applicazione della legge si
restringe, necessitando di una stabile organizzazione.
Per quei trattamenti che vengono effettuati al di fuori
della UE, ma che impiegano strumenti anche non
elettronici situati in Italia, si applica la legge
italiana. Il titolare "extra UE" sarà tenuto a designare
un rappresentante in Italia. L'unica eccezione è il puro
transito. In tal caso la legge italiana non si applica.
Tra le regole generali per tutti i trattamenti
osserviamo l'art. 11, che è dedicato alle modalità del
trattamento e ai requisiti dei dati, il quale aggiunge
alle tradizionali modalità di trattamento, (liceità e
correttezza, pertinenza con gli scopi dichiarati,
conservazione coerente con le finalità della raccolta)
un interessante secondo comma, che sancisce
l'inutilizzabilità dei dati personali trattati in
violazione del codice. Ciò significa che un
provvedimento del Garante o dell'autorità giudiziaria
che dichiari una violazione qualsiasi del codice potrà
portare come conseguenza l'inutilizzabilità dei dati
anche se non espressamente disposta. Si tratta
sostanzialmente di un blocco dei dati.
Un intero articolo è dedicato ai "Codici di deontologia
e buona condotta" (art. 12) che sono promossi dal
Garante nell'ambito delle categorie interessate e quindi
diversi per settori. Tra gli adempimenti obbligatori si
segnala l'inserimento di modalità semplificate per
l'informativa e il consenso.
La responsabilità civile per i danni cagionati per
effetto del trattamento è prevista anche dal nuovo
codice e comporta un risarcimento del danno dovuto
all'esercizio di attività pericolose ai sensi dell'art.
2050 del codice civile (art. 15). In base a questa norma
il titolare sarà tenuto a risarcire i danni a meno che
non provi di aver adottato le misure "idonee"
(attenzione non le "minime") per evitare il danno. La
novità è nel secondo comma, secondo il quale il danno
non patrimoniale è risarcibile anche in caso di
violazione delle norme attinenti alle modalità del
trattamento comprendenti anche le regole sulla
conservazione.
Tra le regole ulteriori figura all'art. 23
l'importantissima norma sul consenso che, a differenza
della legge 675/96 non è stata posta immediatamente dopo
a quella sull'informativa. La spiegazione potrebbe
essere che il consenso non sia più da considerarsi
generalizzato salvo deroghe, come nel precedente testo,
ma che sia necessario solo per i titolari cosiddetti
privati e per gli enti pubblici economici. Al secondo
comma si stabilisce che il consenso può riguardare
l'intero trattamento o una o più operazioni dello
stesso. Tale concetto esisteva già nella 675. Ora però
il concetto di consenso specifico viene maggiormente
evidenziato, nel senso che è più chiaro rispetto a prima
che il consenso deve essere fornito in riferimento ad un
trattamento chiaramente individuato significando che
ogni tipo di singolo trattamento necessiterebbe, salvo i
casi di esenzione, di un consenso specifico, come ad
esempio nel caso di comunicazione di dati a terzi,
individuati singolarmente o per categoria.
Si avverte immediatamente un contrasto tra il secondo e
il terzo comma dell'articolo in commento. Non si
comprende infatti come può il consenso riguardare tutto
il trattamento e allo stesso tempo essere validamente
prestato solo se specificamente riferito ad un
trattamento individuato. La seconda condizione
annullerebbe di fatto la prima.
Si deve però ammettere che l'articolo ha finalmente
chiarito che il consenso per i dati comuni deve essere
documentato per iscritto mentre quello per i sensibili
deve essere scritto.
Novità importante riguarda l'esenzione dal consenso per
il trattamento dei dati sensibili da parte del datore di
lavoro. Infatti, quando il trattamento è necessario per
adempiere a specifici obblighi o compiti previsti dalla
legge, da un regolamento o dalla normativa comunitaria
per la gestione del rapporto di lavoro, anche in materia
di igiene e sicurezza del lavoro e della popolazione e
di previdenza e assistenza, nei limiti previsti
dall'autorizzazione, e ferme restando le disposizioni
del codice di deontologia e di buona condotta che dovrà
essere emanato a breve, il consenso non è più richiesto.
Per quanto riguarda la nomina del responsabile, il
codice all'art. 29 chiarisce definitivamente che questa
è assolutamente facoltativa. Tale concetto si deduceva
anche dal testo della 675 il quale prevedeva degli
adempimenti a carico del responsabile solo "se"
designato. Il responsabile resta vincolato come prima
a quanto impartito dal titolare.
Gli incaricati vengono inseriti nel Titolo IV che
riguarda i soggetti, all'art. 30 e assumono un ruolo ben
preciso. Infatti devono essere designati per iscritto e
deve essere individuato puntualmente l'ambito del
trattamento loro consentito. Il codice considera tale
anche la documentata preposizione della persona fisica
ad una unità per la quale è individuato, per iscritto,
l'ambito del trattamento consentito agli addetti
all'unità medesima. Il che significa che il tipo di
documento contenente la nomina non ha nessuna importanza
essendo sufficiente che il soggetto sia individuato per
iscritto e sia definito il suo ambito di trattamento.
Il nuovo codice ripropone la distinzione tra misure di
sicurezza idonee e misure di sicurezza minime con le
medesime conseguenze previste dalla 675. Responsabilità
civile in caso di violazione delle misure idonee;
responsabilità penale (art. 169) nel caso delle minime.
Il legislatore si attende una maggior sicurezza e per
questo chiarisce che occorre un livello minimo di
sicurezza che può essere garantito solo mediante
l'applicazione delle misure minime che sono esplicitate
in un allegato del codice.
Il documento programmatico per le misure di sicurezza
diventa obbligatorio per tutti i titolari che trattino
dati sensibili e giudiziari tramite elaboratori, a
differenza di prima in cui era necessario solo per i
trattamenti svolti mediante una rete disponibile al
pubblico (art. 34 e allegato B).
La notificazione del trattamento (art. 37) subisce un
importante cambiamento, essendo definitivamente
eliminato l'obbligo generalizzato di effettuarla. I casi
di obbligo di notificazione sono indicati chiaramente
nel nuovo codice. Come, ad esempio, nel caso di
trattamenti di dati genetici, biometrici o di dati che
indicano la posizione geografica di persone od oggetti
mediante una rete di comunicazione elettronica; o ancora
nel caso di dati idonei a rivelare lo stato di salute e
la vita sessuale, trattati a fini di procreazione
assistita, prestazione di servizi sanitari per via
telematica relativi a banche di dati o alla fornitura di
beni, indagini epidemiologiche, rilevazione di malattie
mentali, infettive e diffusive, sieropositività, ecc.
Per quel che concerne il profilo sanzionatorio
estremamente importante è anche che tra i "provvedimenti
a seguito del ricorso" il Garante può disporre in via
provvisoria il blocco in tutto o in parte di taluno dei
dati, ovvero l'immediata sospensione di una o più
operazioni del trattamento. Il provvedimento può essere
adottato anche prima della comunicazione del ricorso
(art. 150).
Le sanzioni amministrative sono raddoppiate rispetto la
675.
La norma sul trattamento illecito dei dati ha subito
modifiche principalmente a causa dell'aggiunta di
illeciti precedentemente non previsti, come quelli
relativi alla violazione delle norme sui dati di
traffico o sui dati di ubicazione. Ciò che è rimasto
invariato sono le violazioni sul consenso e la necessità
del dolo specifico affinché il reato si concretizzi.
L'occasione per regolamentare una fattispecie nuova,
concernente la raccolta occulta dei dati mediante gli
strumenti informatici, è andata persa, per i dati dei
lavoratori raccolti mediante monitoraggio dei sistemi
informatici, avendo il legislatore scelto fare un
semplice rinvio alle vecchie e non puntuali norme sul
controllo a distanza contenute nello statuto dei
lavoratori del 1970.
In conclusione, quello che si evince tra le righe del
nuovo testo è che diventa sempre più necessario non
assolvere solo a dei meri oneri burocratici, ma
soprattutto creare una reale cultura della privacy
attraverso degli strumenti più complessi delle semplici
informative e richieste di consenso.
Mi riferisco alla creazione di strutture dedicate
(uffici di sicurezza, nomine di responsabili interni ed
esterni); all'elaborazione di procedure e manuali di
sicurezza efficaci; all'elaborazione di contratti di
outsourcing che prevedano la nomina del fornitore
responsabile e apposite clausole a tutela delle
informazioni; ai nuovi obblighi di dichiarazione di
conformità da parte dei fornitori di servizi
informatici; ai più stringenti obblighi di formazione e
all'obbligo di allegare ai bilanci delle società di
capitale l'avvenuta predisposizione del documento
programmatico per la sicurezza.
 
|
|
|
![]() |
