Legge sulla privacy (diritto italiano)

Questa pagina sull'argomento diritto sembra trattare lo stesso argomento, o comunque argomenti unificabili, della pagina Normativa italiana sulla privacy informatica. Puoi contribuire unendo i contenuti in una pagina unica. Segui i suggerimenti del progetto di riferimento.

In Italia la produzione normativa riferentesi alla privacy è al momento presente, primariamente, nella Costituzione (articoli 15 e 21), nel Codice penale (Capo III - Sezione IV) e, ovviamente, nel Decreto legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali e noto ai più^[1] anche come Codice della privacy o Testo unico sulla privacy. La precedente legge in tale materia legge 675/96, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, fu a suo tempo introdotta nel nostro ordinamento al fine di rispettare e far applicare gli Accordi di Schengen ed era entrata in vigore nel maggio 1997. Con il tempo, data la tipica stratificazione normativa che si produce nei sistemi a Civil Law (caratteristica ancora più spiccata in Italia) a tale norma si erano affiancate numerose altre disposizioni, concernenti specifici aspetti del trattamento dei dati, che sono state riassunte nel Testo Unico vigente (il quale, per definizione, è un "contenitore", non una fonte del diritto), entrato in vigore il 1º gennaio 2004.

Sulla corretta applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, attuale Presidente Francesco Pizzetti, istituita a suo tempo dalla L. 675/1996 e riproposta in toto dal Testo Unico del 2003.

[modifica] Evoluzione della normativa

Per rispettare gli Accordi di Schengen, primo dei quali firmato il 14 giugno 1985, per dare attuazione alla direttiva 46/95/CE del Parlamento europeo e del Consiglio relativa alla tutela dei dati personali (le direttive hanno bisogno di essere recepite con procedura normativa ad hoc), nonché alla libera circolazione di tali dati, venne emanata la legge del 31 dicembre 1996 numero 675 la quale entrò in vigore nel maggio 1997.

Col passare del tempo a tale norma, ovviamente, si sono affiancate ulteriori diverse leggi, riguardanti singoli e specifici aspetti del trattamento dei dati. La sopravvenuta complessità normativa immancabilmente creatasi in seguito alla emanazione di ulteriori norme, ha reso indifferibile l'emanazione di un Testo Unico, il Decreto legislativo 30 giugno 2003, n. 196, che ha riordinato la materia. La normativa al momento vigente va desunta dal Dlgs. n. 196/2003 intitolato "Codice in materia di protezione dei dati personali" entrato in vigore il 1º gennaio 2004.

NB: Poiché le norme del nuovo Codice sulla protezione dei dati personali sono identiche a quelle contenute nella L. 675/1996 precedentemente in vigore (del resto si ripete il Testo unico è un "contenitore"), nel testo che segue sono citate le norme secondo la numerazione della vecchia 675/96. Per ragioni di continuità, se non indicato diversamente, si fa riferimento alla legge n. 675 del 31 dicembre 1996.

[modifica] Scopi

Gli scopi del d. lgs. 196/03 mirano al riconoscimento del diritto del singolo sui propri dati personali e, conseguentemente, alla disciplina delle diverse operazioni di gestione (tecnicamente "trattamento") dei dati, riguardanti la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi.

All'art.l del testo unico viene riconosciuto il diritto assoluto di ciascuno sui propri dati, in cui si afferma testualmente: "Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale diritto pertiene i diritti della personalità.

Il diritto alla riservatezza è diverso rispetto al diritto sui propri dati perché non riguarda solamente informazioni circa la propria vita privata, ma più in generale ingloba ogni informazione relativa ad una persona, pure se non coperta da riserbo (sono dati personali ad esempio il nome o l'indirizzo della propria abitazione).

Lo scopo della legge è quello di evitare che il trattamento dei dati avvenga senza il consenso dell'avente diritto, ovvero in modo da recargli pregiudizio. Nel Testo Unico, Titolo II articoli da 8 a 10, sono a tal uopo definiti i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

La disciplina complessiva della protezione dei dati personali non viene mutata dal nuovo codice, in quanto la finalità di questo nuovo testo di legge consistono nella razionalizzazione di tutto quel complesso di norme esistenti attraverso lo strumento del testo unico (da sempre utilizzato a tale scopo).

[modifica] Struttura

Il Testo unico sulla privacy si compone di tre parti e tre allegati, secondo il seguente schema:

1. disposizioni generali (artt. 1-45) relativi alle regole "sostanziali" della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche per i trattamenti effettuati da soggetti pubblici o privati (art. 6);
2. disposizioni particolari per specifici trattamenti (artt. 46-140) ad integrazione o eccezione alle disposizioni generali della parte I;
3. le disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio (artt. 141-186).

Al testo seguono tre allegati:

• allegato A, relativo ai codici di condotta;
• allegato B, concernente il disciplinare tecnico in materia di misure minime di sicurezza;
• allegato C, sui trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia.

[modifica] Nozioni e deficienze

Il Testo unico fa chiarezza fornendo precise definizioni all'art. 4:

• trattamento dei dati
• dato personale
• dati identificativi
• dati sensibili
• dati giudiziari
• titolare del trattamento dei dati
• responsabile del trattamento dei dati
• incaricato del trattamento dei dati
• interessati a cui si riferiscono i dati personali
• comunicazione
• diffusione di dati
• dato anonimo
• blocco
• banca dati e conferma la figura del Garante per la protezione dei dati personali.

Si individuano altresì:

• dati sensibili e, solo per deduzione, dati ordinari
• soggetti pubblici
• enti pubblici economici
• soggetti privati
• dati detenuti a fini personali
• altri dati

Non c'è differenza, se non per aspetti tecnici o marginali tra i dati su supporto informatico e quelli su supporto cartaceo e le persone fisiche e quelle persone giuridiche.

Sono trattati a parte in quanto considerati in maniera del tutto diversa (per evidenti motivi) i dati:

• trattati per finalità storiche
• trattati per finalità statistiche o di ricerca scientifica
• sanitari (con le opportune eccezioni per la tutela della salute del soggetto stesso, di eventuali terzi e della collettività)
• giudiziari
• il trattamento dei dati che avviene durante le attività di giornalistiche

[modifica] I diritti riconosciuti dalla legge

L'interessato (ossia il soggetto cui si riferiscono i dati) vede garantito il proprio diritto di accesso a tutte le informazioni pertinenti la sua persona detenute e trattate da terzi. Tutto ciò è garantito dall'art. 7 del d. lgs. 196/03 il quale ricomprende la possibilità di sapere: l'autore del trattamento, come e con quali fini avviene il trattamento, i soggetti a cui detti dati possono essere ceduti (previo consenso preventivo, altrimenti si avrebbe il classico esempio di trattamento scorretto). L'interessato ha facoltà di verificare che i propri dati detenuti da terzi corrispondano al vero in virtù del diritto d'accesso, potendo altresì richiedere l'aggiornamento o la cancellazione a seconda dei casi. Nel caso in cui si accorga che gli stessi sono trattati in maniera difforme dalla legge, l'interessato può chiederne la cancellazione o il blocco.

[modifica] Come tutelare i propri diritti

In caso di lesione nei diritti sui propri dati a mente del d. lgs. 196/03 (ad esempio: raccolta dei dati senza il consenso, consenso acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso) si può ricorrere al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e costi contenuti) o al giudice civile (con costi e tempi maggiori). Se invece si è addirittura subito un danno per trattamento dei dati non conforme alla legge (non necessariamente economico) il risarcimento può essere concesso in via esclusiva solo dalgiudice civile.

[modifica] Materie dibattute

In Italia a partire dal 1997 (con l'emanazione delle norme che facevano riferimento alla protezione dei dati personali) si è sviluppata l'errata consuetudine di etichettare la normativa con la dicitura "legge sulla privacy". Nel rispetto del principio "Vox populi, vox Dei" tale prassi è stata tollerata se non incoraggiata implicitamente dall'allora Presidente dell'autorità Garante Stefano Rodotà. Tale definizione, spesso oggetto di critiche, non dà conto delle finalità reali ed ermeneutiche della normativa che sono quelle ristrette a garantire che il trattamento dei dati personali avvenga secondo certi limiti e non quelle di difendere la sfera complessiva del diritto alla riservatezza del cittadino.

La succitata dicitura "legge sulla privacy" risulta quantomeno impropria, come osservò il Tribunale di Milano - Sez. I civile con il Decreto 27 settembre 1999 decidendo sul caso Olcese vs Corriere della Sera scrisse: "... omissis ... 2. In proposito, occorre innanzitutto affermare, in dissenso con quanto da taluno pure sostenuto in sede di primo commento, che la l. 675/96 - ancorché conclami in preambolo la “finalità” di garantire il “rispetto dei diritti, delle libertà fondamentali nonché della dignità” della persona, “con particolare riguardo alla riservatezza ed all’identità personale” (cfr. il titolo dell’art. 1 ed il contenuto del relativo 1º comma) - non può essere né riguardata alla stregua di un vero e proprio “statuto generale della persona” né ritenuta più accentuatamente rivolta alla tutela della persona che alla disciplina sul trattamento dei dati. Simili impostazioni appaiono, infatti, inficiate da un vizio di prospettiva, giacché confondono aspetti diversi e concettualmente infungibili, quali la ratio della normativa (ruolo, nella specie, testualmente assegnato alla protezione dei fondamentali diritti della persona: cfr. la rubrica ed il 1º comma dell’art. 1) e la sua sfera di operatività (nella specie, univocamente identificabile, alla luce del titolo e della complessiva disciplina della legge, nel fenomeno del “trattamento dei dati personali”); aspetti diversi, che solo complementarmente integrandosi concorrono a definire compiutamente il bene giuridico oggetto della tutela accordata: i diritti fondamentali della persona con specifico, ed esclusivo, riferimento alle implicazioni inerenti all’attività di “trattamento di dati personali”^[2]

[modifica] Rischio sul trattamento?

È oggetto di critica di molti il 1° comma, art. 15 del D.Lgs. n. 196/2003 (Danni cagionati per effetto del trattamento di dati personali), che recita testualmente: Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile. Il richiamato articolo del codice civile (Responsabilità per l'esercizio di attività pericolose) a sua volta stabilisce che: Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno. In questo modo si applica l'inversione dell'onere della prova, poiché chi detiene i dati e non è stato attento deve dimostrare che ha fatto tutto il possibile per evitare il danno, nonostante questo si sia verificato. Appare eccessivo ai molti il riferimento all'art. 2050 del c.c., dato che tale articolo viene pensato piuttosto per coloro che producono esplosivi o trasportano prodotti particolarmente nocivi, e non per qualcosa così innocuo, burocratico e pulito come il trattamento di dati. Ma essendo la sussistenza di un danno (o meglio, il pericolo che un danno si verifichi) elemento centrale per la configurazione della fattispecie, ed essendo certamente ben individuabile l'eventuale danno in queste materie, almeno formalmente si tratta di un riferimento ineccepibile.

L'Analisi economica del diritto dà inoltre un giudizio favorevole al richiamo all'art. 2050, in quanto si è in una tipica situazione nella quale il danneggiato:

• non ha vantaggi dall'attività del danneggiante
• non può far nulla per ridurre il rischio di essere danneggiato
• non ha le informazioni necessarie per dimostrare il comportamento colposo del danneggiante

mentre il danneggiante:

• è l'unico a ricavare dei vantaggi nello svolgere l'attività pericolosa
• è l'unico che può ridurre il rischio
• è l'unico a sapere cosa ha fatto.

Dunque solo e solamente il danneggiante può valutare vantaggi/rischi/costi della sua attività, ma il danneggiato è l'unico a subirne le conseguenze. In questo caso l'EAL ritiene che, tenendo conto di costi e benefici di tutte le parti, una norma come la 2050 ottimizza il rapporto costi-benefici della collettività.

[modifica] Normativa attualmente in vigore

Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali

[modifica] Normativa abrogata

• Legge n. 675 del 1996 (Questa legge è stata abrogata e sostituita dal Dlgs n. 196/2003)

[modifica] Provvedimenti collaterali abrogati

La 675/1996 venne accompagnata da numerose altre leggi, decreti legislativi, decreti del presidente della repubblica e regolamenti:

• Legge 676/1996, 31 dicembre 1996: Legge delega;
• D.L. n.135, 11 maggio 1999: Disposizioni integrative sul trattamento di dati sensibili da parte dei soggetti pubblici;
• D.L. n.281, 30 luglio 1999: Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica;
• D.L. n.282, 30 luglio 1999: Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario;
• D.P.R. n.318, 28 luglio 1999: Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali;
• Provvedimento del Garante per la protezione dei dati personali, n.1/P/2000: Individuazione dei dati sensibili da parte dei soggetti pubblici;

[modifica] Note

1. ^ Vedi sezione Privacy o mera protezione dei dati personali?
2. ^ Tribunale di Milano - Decreto 27 settembre 1999

[modifica] Voci correlate

• Privacy
• CNIL
• Misure minime di sicurezza
• Policy sui dati sensibili

[modifica] Collegamenti esterni

• Sito dell'autorità garante

Portale Diritto: accedi alle voci di Wikipedia che trattano di Diritto