Legge sulla privacy

Da Wikipedia, l'enciclopedia libera.

(Reindirizzamento da Codice della privacy)

In questa voce o sezione gli argomenti sono trattati in un'ottica geopolitica limitata.

Contribuisci ad ampliarla o proponi le modifiche in discussione.
Se la voce è approfondita, verifica anche se sia preferibile renderla una voce secondaria, dipendente da una più generale.

Questa voce di diritto sembra trattare lo stesso argomento, o comunque argomenti unificabili, della voce Normativa italiana sulla privacy informatica.

Puoi contribuire unendo i contenuti in una pagina unica seguendo le linee guida.

La legislazione sulla privacy in Italia è attualmente contenuta nella Costituzione (articoli 15 e 21), nel Codice penale (Capo III - Sezione IV) e - parzialmente - nel Decreto legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali e noto impropriamente ^[1] anche come Testo unico sulla privacy.

Il D.Lgs 196/2003 abroga la precedente legge 675/96, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, che era stata introdotta per rispettare gli Accordi di Schengen ed era entrata in vigore nel maggio 1997. Con il tempo a tale norma si erano affiancate ulteriori diverse disposizioni, riguardanti singoli specifici aspetti del trattamento dei dati, che sono state riassunte nel Testo Unico vigente, entrato in vigore il 1º gennaio 2004.

Sull'applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, istituita dalla L. 675/1996 e confermata dal Testo Unico del 2003.

Indice

1 L'evoluzione della normativa
2 Diritti riconosciuti dalla legge
- 2.1 Tutela dei diritti
3 Aspetti controversi
- 3.1 Privacy o mera protezione dei dati personali?
- 3.2 Il trattamento di dati è attività pericolosa?
4 Normativa attualmente in vigore
5 Normativa abrogata
- 5.1 Provvedimenti collaterali abrogati
6 Note e riferimenti
7 Voci correlate
8 Collegamenti esterni

[modifica] L'evoluzione della normativa

La legge n. 675/1996 venne introdotta per rispettare gli Accordi di Schengen e per dare attuazione alla direttiva 46/95/CE del Parlamento europeo e del Consiglio relativa alla tutela dei dati personali, nonché alla libera circolazione di tali dati. Entrò in vigore nel maggio 1997.

Con il tempo a tale norma si sono affiancate ulteriori diverse leggi, riguardanti singoli specifici aspetti del trattamento dei dati. La complessità della situazione normativa venutasi a creare in seguito alla emanazione di norme integrative ha reso indispensabile provvedere alla emanazione di un Testo Unico, il Decreto legislativo 30 giugno 2003, n. 196, che ha riordinato la normativa, abrogando la L. n. 675/1996. La normativa vigente va quindi desunta dal Dlgs. n. 196/2003 intitolato "Codice in materia di protezione dei dati personali" entrato in vigore il 1º gennaio 2004.

NB: Poiché moltissime norme del nuovo Codice sulla protezione dei dati personali sono identiche a quelle contenute nella L. 675/1996 precedentemente in vigore, nel testo che segue vi possono essere citazioni alle norme secondo la numerazione della L. 675. Per ragioni di continuità con la normativa in vigore sino al 2004, se non indicato diversamente, si fa riferimento alla legge n. 675 del 31 dicembre 1996.

[modifica] Finalità

Le finalità del d. lgs. 196/03 consistono nel riconoscimento del diritto del singolo sui propri dati personali e, conseguentemente, nella disciplina delle diverse operazioni di gestione (tecnicamente "trattamento") dei dati, riguardanti la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi.

Il diritto assoluto di ciascuno sui propri dati è esplicitamente riconosciuto dall'art. 1 del testo unico, in cui si afferma: "Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale diritto appartiene alla categoria dei diritti della personalità.

Il diritto sui propri dati è differente dal diritto alla riservatezza, in quanto non riguarda solamente informazioni inerenti la propria vita privata, ma si estende in generale a qualunque informazione relativa ad una persona, anche se non coperta da riserbo (sono dati personali ad esempio il nome o l'indirizzo della propria abitazione).

Lo scopo della legge non è quello di impedire il trattamento dei dati, ma di evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Infatti il testo unico definisce i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

Il nuovo codice non muta la disciplina complessiva della protezione dei dati personali, in quanto la finalità di questo nuovo testo di legge è quella di razionalizzare il complesso di norme esistenti attraverso lo strumento del testo unico.

[modifica] Struttura

Il Testo unico sulla privacy si compone di tre parti, che contengono, rispettivamente:

I) le disposizioni generali (artt. 1-45) riguardanti le regole "sostanziali" della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche per i trattamenti effettuati da soggetti pubblici o privati (art. 6);

II) disposizioni particolari per specifici trattamenti (artt. 46-140) ad integrazione o eccezione alle disposizioni generali della parte I;

III) le disposizioni relative alle azioni di tutela dell’ interessato e al sistema sanzionatorio (artt. 141-186).

Completano il testo normativo una serie di allegati:

- allegato A, relativo ai codici di condotta;

- allegato B, recante il disciplinare tecnico in materia di misure minime di sicurezza;

- allegato C, relativo ai trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia (peraltro non ancora pubblicato).

[modifica] Concetti e definizioni

La norma introduce o perlomeno definisce alcuni termini, quali:

banca dati
trattamento dei dati
dato personale
dato anonimo
dati sensibili (artt. 4, 22, 26)
titolare del trattamento dei dati
responsabile del trattamento dei dati
incaricato del trattamento dei dati
interessati a cui si riferiscono i dati personali
comunicazione e diffusione di dati
misure minime di sicurezza

e introduce la figura del Garante per la protezione dei dati personali.

La legge considera in modo diverso:

dati sensibili e (per deduzione) dati ordinari
soggetti pubblici (esclusi enti pubblici economici) e soggetti privati
dati detenuti a fini personali e ... gli altri

Mentre non distingue (se non per aspetti tecnici o marginali) tra

dati su supporto informatico e dati su supporto cartaceo
persone fisiche e persone giuridiche

Vengono considerati in modo particolare e trattati a parte:

dati trattati per finalità storiche
dati trattati per finalità statistiche o di ricerca scientifica
dati sanitari
dati giudiziari
trattamento dei dati per attività giornalistiche

[modifica] Diritti riconosciuti dalla legge

Il soggetto cui si riferiscono i dati ha il diritto di accesso alle informazioni che lo riguardino da altri detenute. Tale diritto gli è riconosciuto dall'art. 7 del d. lgs. 196/03 e comprende la facoltà di conoscere: quali dati vengono trattati, come e con quali fini avviene il trattamento, l'autore del trattamento, i soggetti a cui detti dati possono essere comunicati.

In ragione del diritto d'accesso l'interessato può poi chiedere che i dati da altri detenuti corrispondano al vero, pretendendone l'aggiornamento o la cancellazione a seconda dei casi. Se poi i dati sono trattati in maniera difforme dalla legge, l'interessato può chiedere la cancellazione degli stessi o il blocco del trattamento.

[modifica] Tutela dei diritti

Chi sia leso nei diritti sui propri dati riconosciuti dal d. lgs. 196/03 (raccolta dei dati senza il consenso, consenso acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso) può ricorrere al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e costi contenuti) o al giudice civile (con costi e tempi maggiori). Se invece a seguito del trattamento dei dati non conforme alla legge si è subito un danno (non necessariamente economico, dunque anche consistente nel disagio arrecato dal fatto) il risarcimento può essere concesso solamente dal giudice civile.

[modifica] Aspetti controversi

[modifica] Privacy o mera protezione dei dati personali?

La denominazione ufficiale delle norme che sono state in vigore in Italia a partire dal 1997 (che facevano tutte riferimento alla protezione dei dati personali) è apparsa palesemente in contrasto con la consuetudine invalsa nel linguaggio comune di definire questa normativa come "legge sulla privacy". Questa consuetudine è stata tacitamente incoraggiata da Stefano Rodotà che ha ricoperto l'incarico di Presidente del Garante della Privacy un lungo periodo, ma è oggetto di critiche perché non rende conto delle finalità effettive della normativa che non sono quelle di difendere la sfera complessiva del diritto alla riservatezza del cittadino, ma quelle più ristrette di garantire che i trattamenti di dati personali, che non esauriscono le attività che possono ledere la privacy, avvengano secondo certi limiti.

La dicitura "legge sulla privacy" è però quantomeno impropria, come ebbe già a rilevare il Tribunale di Milano - Sez. I civile che con il Decreto 27 settembre 1999 decidendo sul caso Olcese vs Corriere della Sera scrisse: "... omissis ... 2. In proposito, occorre innanzitutto affermare, in dissenso con quanto da taluno pure sostenuto in sede di primo commento, che la l. 675/96 - ancorché conclami in preambolo la “finalità” di garantire il “rispetto dei diritti, delle libertà fondamentali nonché della dignità” della persona, “con particolare riguardo alla riservatezza ed all’identità personale” (cfr. il titolo dell’art. 1 ed il contenuto del relativo 1° comma) - non può essere né riguardata alla stregua di un vero e proprio “statuto generale della persona” né ritenuta più accentuatamente rivolta alla tutela della persona che alla disciplina sul trattamento dei dati. Simili impostazioni appaiono, infatti, inficiate da un vizio di prospettiva, giacché confondono aspetti diversi e concettualmente infungibili, quali la ratio della normativa (ruolo, nella specie, testualmente assegnato alla protezione dei fondamentali diritti della persona: cfr. la rubrica ed il 1° comma dell’art. 1) e la sua sfera di operatività (nella specie, univocamente identificabile, alla luce del titolo e della complessiva disciplina della legge, nel fenomeno del “trattamento dei dati personali”); aspetti diversi, che solo complementarmente integrandosi concorrono a definire compiutamente il bene giuridico oggetto della tutela accordata: i diritti fondamentali della persona con specifico, ed esclusivo, riferimento alle implicazioni inerenti all’attività di “trattamento di dati personali”^[2]

[modifica] Il trattamento di dati è attività pericolosa?

L'art. 15 del Dlgs. n. 196/2003 (Danni cagionati per effetto del trattamento di dati personali) dice che:

1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile

Il citato articolo del codice civile (Responsabilità per l'esercizio di attività pericolose) a sua volta dice che: Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno. In pratica vi è un'inversione dell'onere della prova, in quanto non è il danneggiato a dover dimostrare che chi deteneva i dati non è stato attento, ma è quest'ultimo a dover dimostrare che ha fatto tutto il possibile per evitare il danno, il quale però evidentemente si è verificato! Questo riferimento all'art. 2050 del c.c. viene considerato da alcuni eccessivo, in quanto tale articolo viene pensato piuttosto per coloro che producono esplosivi o trasportano prodotti particolarmente nocivi, e non per qualcosa cosí innocuo, burocratico e pulito come il trattamento di dati. Ma essendo la sussistenza di un danno (o meglio, il pericolo che un danno si verifichi) elemento centrale per la configurazione della fattispecie, ed essendo certamente ben individuabile l'eventuale danno in queste materie, almeno formalmente si tratta di un riferimento ineccepibile. L'Analisi economica del diritto (EAL=Economic Analysis of Law) dà inoltre un giudizio favorevole al richiamo all'art. 2050, in quanto si è in una tipica situazione:

il danneggiato non ha vantaggi dall'attività del danneggiante
il danneggiato non può far nulla per ridurre il rischio di essere danneggiato
il danneggiato non ha le informazioni necessarie per dimostrare il comportamento colposo del danneggiante
il danneggiante è l'unico a ricavare dei vantaggi nello svolgere l'attività pericolosa
il danneggiante è l'unico che può ridurre il rischio
il danneggiante è l'unico a sapere cosa ha fatto

Dunque è il danneggiante che può soppesare vantaggi/rischi/costi della sua attività, ma solo il danneggiato a subirne le conseguenze. In questo caso l'EAL ritiene che, tenendo conto di costi e benefici di tutte le parti, una norma come la 2050 ottimizza il rapporto costi-benefici della collettività.

[modifica] Normativa attualmente in vigore

Codice sulla protezione dei dati personali
Codice sulla protezione dei dati personali link esterno al sito del Garante

[modifica] Normativa abrogata

Legge n. 675 del 1996 (Questa legge è stata abrogata e sostituita dal Dlgs n. 196/2003)

[modifica] Provvedimenti collaterali abrogati

La 675/1996 venne accompagnata da numerose altre leggi, decreti legislativi, decreti del presidente della repubblica e regolamenti:

Legge 676/1996, 31 dicembre 1996: Legge delega;
D.L. n.135, 11 maggio 1999: Disposizioni integrative sul trattamento di dati sensibili da parte dei soggetti pubblici;
D.L. n.281, 30 luglio 1999: Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica;
D.L. n.282, 30 luglio 1999: Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario;
D.P.R. n.318, 28 luglio 1999: Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali;
Provvedimento del Garante per la protezione dei dati personali, n.1/P/2000: Individuazione dei dati sensibili da parte dei soggetti pubblici;

[modifica] Note e riferimenti

^ Vedi sezione Privacy o mera protezione dei dati personali?
^ Tribunale di Milano - Decreto 27 settembre 1999

[modifica] Voci correlate

[modifica] Collegamenti esterni

Sito dell'autorità garante

Portale Diritto: accedi alle voci di Wikipedia che trattano di Diritto

[0] Vedi sezione Privacy o mera protezione dei dati personali?

[1] Tribunale di Milano - Decreto 27 settembre 1999

[1]

[2]