Trattamento dei dati personali

Da Wikipedia, l'enciclopedia libera.

Per trattamento dei dati personali si intende qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. Rispetto alla definizione accolta dalla previgente L. 675/96, è stato precisato espressamente che nella nozione di trattamento devono essere fatte rientrare anche le operazioni relative a dati non registrati in una banca dati.

Il titolo III della parte I del D.Lgs. 196/03 ("Codice della privacy") detta le regole generali per il trattamento dei dati, distinguendo tra regole per tutti i trattamenti (capo I), regole ulteriori per i soggetti pubblici (capo II), regole ulteriori per privati ed enti pubblici economici (capo III).

Modalità del trattamento e requisiti dei dati[modifica | modifica wikitesto]

Il Codice della privacy disciplina i casi in cui la gestione dei dati personali è autorizzata, quali sono le misure di sicurezza ed i codici deontologici da osservare. Il Regolamento disciplina altresì i tipi di dati trattabili e le operazioni eseguibili per ciascuna delle attività previste ed assicura a tutti i soggetti che concedono informazioni e dati personali opportune garanzie in ordine al trattamento degli stessi da parte degli operatori dell’Amministrazione Pubblica, di Enti privati e di altri soggetti che per loro li trattino. Il codice, essendo un testo unico, abolisce l'impianto legislativo precedente (fondamentalmente la 675/96).

La legge sulla privacy fino al 1996 non si limitava a disciplinare le banche di dati, intese - ai sensi dell’art. 1 comma 2 lett. a – come <<qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento>>, ma regolava anche operazioni singole compiute su dati personali, intesi come <<qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale>>. In base alla normativa di cui agli artt. 20, comma 2, e 21, comma 2, del d.lg. 30 giugno 2003, n. 196, i sistemi informativi ed i programmi informatici dovranno essere predisposti in modo da assicurare che i dati sensibili (o personali) siano utilizzati esclusivamente nella misura necessaria per il raggiungimento delle specifiche finalità che il titolare si prefigge (espressamente elencate nel d.lg. n. 196/2003 artt. 59, 60, 62-73, 86, 95, 98 e 112). In caso contrario sarà necessario utilizzare dati in forma anonima o adottare modalità che permettano di identificare l’interessato solo in stretto caso di necessità.

Con riguardo alle regole valide per tutti i trattamenti contenute nel Codice della privacy, l’art. 11 del citato provvedimento stabilisce innanzitutto che i dati personali oggetto di trattamento sono:

  1. trattati in modo lecito e secondo correttezza;
  2. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
  3. esatti e, se necessario, aggiornati;
  4. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  5. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Il medesimo articolo 11 introduce inoltre il divieto di utilizzare, in qualsiasi modo, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali.

Il Titolare, unitamente al Responsabile dei sistemi informativi, deve quindi preventivamente adottare procedure organizzative, informatiche e materiali che permettano al singolo incaricato l’accesso nel database ai soli dati necessari alle sue specifiche mansioni. Tale accesso è consentito, oltre al titolare ed al responsabile, soltanto ad incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di convalida relativa ad uno specifico trattamento o ad un insieme di trattamenti.

Il Codice della privacy stabilisce che ogni Titolare debba eseguire vari adempimenti che consentano al Garante e ai terzi di conoscere esattamente se, perché e come una determinata azienda o ente gestisca dati sensibili. Il Garante, per non sovraccaricare di adempimenti i settori nei quali la gestione di dati sensibili è obbligatoria per legge (ad esempio i dati dei lavoratori dipendenti), emana delle Autorizzazioni Generali che ogni anno sono rinnovate. Tali provvedimenti sollevano il titolare del trattamento dall'obbligo di notificazione all'Autorità Garante, ferma restando l'autorizzazione dietro fornitura di una informativa sul trattamento, da parte dell'interessato.

I dati personali così individuati sono trattati previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie nel caso in cui la raccolta non avvenga presso l'interessato. Le operazioni di interconnessione, raffronto, comunicazione e diffusione sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati personali, nonché degli altri limiti stabiliti dalla legge e dai regolamenti.

Gli adempimenti principali che consentano al Garante e ai terzi di conoscere esattamente se, perché e come una determinata azienda o ente gestisca dati sensibili sono:

  • la notificazione all’Autorità Garante;
  • l’informativa all’interessato;
  • la raccolta dei consensi;
  • la suddivisione dei compiti con l’attribuzione delle relative responsabilità all’interno dell’organizzazione del Titolare;
  • l’adozione delle misure di sicurezza.

Notificazione all’Autorità Garante[modifica | modifica wikitesto]

La notificazione (artt. 37-38 Codice) consiste in una comunicazione ufficiale che il Titolare rivolge al Garante per la Protezione dei Dati Personali circa il/i trattamento/i svolto/i con la quale si comunica al Garante l'esistenza di un'attività di raccolta e di utilizzazione di dati personali. Secondo quanto stabilito dalla nuova disciplina, è tenuto alla Notificazione il Titolare che esegue il trattamento di:

  1. dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
  2. dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
  3. dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
  4. dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
  5. dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. (Art. 37, comma I)

Secondo il Codice è obbligatorio inviare la Notificazione esclusivamente per via telematica, utilizzando l’apposito modello messo a disposizione dal Garante. Il Garante, inoltre, può individuare, con proprio provvedimento, altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione della natura dei dati personali o delle modalità di raccolta e trattamento.


Informativa sul trattamento all’interessato[modifica | modifica wikitesto]

È la comunicazione con la quale il Titolare (ai sensi dell’art 13 del Codice) informa l’interessato del trattamento svolto e può essere fornita oralmente o per iscritto. Il Titolare pertanto illustra ai soggetti ai quali i dati raccolti si riferiscono (interessati):

  1. le finalità e le modalità del trattamento svolto,
  2. la natura obbligatoria o facoltativa del conferimento dei dati,
  3. le conseguenze dell’eventuale rifiuto del conferimento,
  4. l’ambito di comunicazione e diffusione dei dati,
  5. l’eventuale trasferimento dei dati all’estero,
  6. i diritti dell’interessato,
  7. l’indicazione del Titolare,
  8. l’indicazione del Responsabile individuato o di quello designato per l’esercizio dei diritti dell’interessato,
  9. l’indicazione degli Incaricati che compiono le operazioni di trattamento (ovviamente non è necessario indicare i nomi e i cognomi dei singoli ma sarà sufficiente indicare l’area di appartenenza).

Tutte queste informazioni devono essere contenute nell’informativa che va resa all’interessato al momento della raccolta dei suoi dati e, in caso di raccolta di dati presso terzi, non oltre la registrazione dei dati o la prima comunicazione degli stessi a terzi. Pertanto il Titolare non può utilizzare un unico modello di informativa, ma è tenuto a fornire informative differenziate per le diverse categorie di interessati: un’informativa insufficiente (carente anche di uno solo degli elementi indicati) potrebbe dare luogo all’applicazione di sanzioni.

La raccolta dei consensi[modifica | modifica wikitesto]

Ai sensi degli artt. 23-24 il Codice prevede che il trattamento dei dati personali avvenga esclusivamente con il consenso espresso dell’interessato che deve essere preventivo, esplicito e libero in modo da essere inequivocabile. Il silenzio, pertanto, non può essere considerato una forma di consenso. La normativa prevede l'informativa ed il consenso anche in forma orale, ma solo per i dati personali di tipo non sensibile; per quest'ultima tipologia è invece necessaria la forma scritta.

Con il consenso l’interessato esprime di fatto la propria autorizzazione in senso generale al trattamento dei suoi dati personali.

La mancanza del consenso, dove previsto, comporta sanzioni penali e amministrative, ferma restando la responsabilità civile del Titolare in caso di accertamento del danno derivante da illecito trattamento (art. 2055 del Codice Civile).

I casi nei quali è possibile effettuare il trattamento senza consenso sono riuniti all'interno dell'art. 24, secondo cui:

  • Il consenso non è richiesto quando il trattamento è necessario all’esecuzione del contratto o per adempiere, anche prima della conclusione del contratto, a specifiche richieste dell’interessato. Per quanto concerne lo svolgimento di attività economiche si deve far riferimento all’attività svolta dall’interessato e non a quella svolta dal Titolare. Ciò significa ad esempio che il Titolare non deve richiedere il consenso al suo fornitore per trattare il dato necessario allo svolgimento dell’attività economica di quest’ultimo (si pensi alla partita IVA dovuta ai fini di fatturazione).
  • Il consenso non è richiesto nei casi individuati dal Garante per perseguire un legittimo interesse del Titolare o di un terzo destinatario dei dati, anche in riferimento a gruppi bancari e a società collegate o controllate, qualora su tale legittimo interesse non prevalgano i diritti dell’interessato (principio del bilanciamento di interessi).
  • Il consenso non è richiesto quando la sua esclusione è prevista da codici di deontologia relativi agli specifici settori (tali codici, una volta emanati, verranno allegati al Codice, al fine di realizzare un vero e proprio corpo organico di regole in materia di protezione dei dati personali).
  • Il consenso non è richiesto quando i dati provengano da pubblici registri o siano relativi allo svolgimento di attività economiche.

In base al principio di necessità secondo il quale bisogna ridurre al minimo l’utilizzo di dati identificativi, facendo uso di forme anonime o che riconducano all’interessato solo in caso di necessità, il consenso deve essere richiesto solo quando sia effettivamente necessario secondo il Codice: un consenso non indispensabile può comportare la revoca di un’autorizzazione che non avrebbe dovuto essere prestata.

Trattamento dei dati da parte del datore di lavoro[modifica | modifica wikitesto]

Il consenso per il trattamento dei dati sensibili dei dipendenti (o parasubordinati o collaboratori in varia forma) nell’ambito del rapporto di lavoro, quando le finalità di questi trattamenti sono la gestione del rapporto e gli altri adempimenti previsti dalla legge, non è necessario limitatamente ai dati riguardanti l'adesione ad associazioni di tipo sindacale; negli altri casi (stato di salute, religione, etc.) il consenso è invece necessario. Gli artt. 20, 22, 26 del Codice introducono una novità fondamentale per il trattamento di questi dati è quella concernente l’esenzione dal consenso per il trattamento dei dati sensibili da parte del datore di lavoro, quando il trattamento è necessario per adempiere a specifici obblighi o compiti previsti da norme di legge per la gestione del rapporto di lavoro (anche in materia di igiene e sicurezza, previdenza ed assistenza, ferme restando le disposizioni del codice di deontologia e di buona condotta che dovrà essere prossimamente emanato in materia). Anche in caso di esenzione del consenso per il trattamento dei dati sensibili, è necessaria la preventiva autorizzazione del Garante.

Trattamento dei dati relativi a studenti[modifica | modifica wikitesto]

L'art. 96 si dedica alla gestione dei dati relativi agli esiti del percorso scolastico di ciascuno studente, alle inclinazioni personali e culturali di ognuno, finalizzata all'orientamento degli stessi verso il corso di studi successivo per il quale siano maggiormente portati. I dati degli studenti possono essere trasmessi da soggetti pubblici a soggetti privati, secondo le modalità già previste dall'art.27 comma 3, l 675/96, e <<decorsi 30 giorni dalla notizia che le scuole e gli istituti scolastici, ovvero il Ministero della pubblica istruzione, rendono nota mediante annunci al pubblico >>(d.lgs. 30 luglio 1999, n. 281, art. 17) qualora l'iniziativa sia rivolta a favorire l'aggiornamento e la riqualificazione degli studenti e dei lavoratori.

Trattamento dei dati da parte di soggetti privati[modifica | modifica wikitesto]

Il Codice della privacy stabilisce che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali senza richiedere il consenso dell’interessato, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.[1]

La lettera di informativa e consenso[modifica | modifica wikitesto]

La legge prevede che l’ottenimento del consenso non sia valido, se non viene preceduto o accompagnato da una corretta informativa. Di conseguenza, per quanto possibile, l’informativa e la richiesta di consenso devono stare insieme, non solo per esigenze di razionalizzazione dei costi, ma anche per evitare ai soggetti interessati confusione sui due diversi adempimenti. Il consenso deve seguire l’informativa e deve essere richiesto esclusivamente quando non ci si trovi nei casi di deroga previsti dalla legge.

Secondo il Codice sulla protezione dei dati personali l’informativa va data all’interessato cui i dati si riferiscono, secondo le modalità di cui all’art. 13 del Codice. Il titolare deve fare in modo che la struttura preveda un modello standard di informativa da aggiungere alla modulistica attraverso cui i dati personali vengono materialmente raccolti.

L’informativa deve essere completa e contenere, sia pure in modo sintetico, tutte le notizie previste dal Codice:

  • le finalità del trattamento;
  • le modalità del trattamento (strumenti elettronici o manuali, modalità di organizzazione o di raffronto ed elaborazione particolari, creazione di profili per età, professione o altro);
  • se il conferimento dei dati richiesti è obbligatorio o facoltativo relativamente agli scopi dichiarati;
  • le conseguenze di un eventuale rifiuto a fornire i dati;
  • se i dati possono essere ceduti a terzi, in tal caso identificandoli o quanto meno individuando le categorie dei soggetti destinatari;
  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
  • i diritti di cui all’articolo 7 del Codice;
  • i dati identificativi del titolare del trattamento;
  • i dati identificativi del responsabile del trattamento.

Nel caso di trattamento di dati sensibili, l’informativa deve inoltre fare espresso riferimento alla normativa che prevede gli obblighi o i compiti in base ai quali è effettuato il trattamento.

Ai sensi dell’art. 48 del d. P. R. 28 dicembre 2000, n. 445 (Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa), è obbligatorio inserire l’informativa nella modulistica per la presentazione delle dichiarazioni sostitutive di certificazione e di atto notorio.

A volte[2], nell'informativa e soprattutto nella richiesta di consenso, compare ancora il riferimento dell'abrogata legge 675/96: chiaramente si tratta di un grave errore documentale, ma, praticamente, il consenso risulta valido dato che varrebbe il principio della prevalenza sostanziale su quella formale. Ad ogni modo è legittimo richiedere la modifica e aggiornamento del riferimento legislativo (196/03).

Misure di sicurezza[modifica | modifica wikitesto]

In base all’ Art. 31 i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Misure minime[modifica | modifica wikitesto]

L'art. 33 introduce le misure minime di sicurezza obbligatorie: <<nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali>>.

Unico soggetto responsabile è il titolare del trattamento, si applica inoltre una netta distinzione tra trattamenti effettuati con strumenti elettronici e strumenti cartacei ai fini delle misure minime necessarie.

Art. 34 - Trattamenti con strumenti elettronici[modifica | modifica wikitesto]

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

a) autenticazione informatica;

b) adozione di procedure di gestione delle credenziali di autenticazione;

c) utilizzazione di un sistema di autorizzazione;

d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;

e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;

f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;

g) tenuta di un aggiornato documento programmatico sulla sicurezza; DPS

h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Il titolare è pertanto obbligato ad adottare particolari misure che riguardano prevalentemente le modalità di accesso, in modo da poter verificare, in caso di illeciti connessi all'utilizzo dello strumento informatico, l'identità dell'autore dell'illecito o il responsabile dell'accesso abusivo dall'esterno: le credenziali di autenticazione (login) consistono in un codice per l'identificazione dell'incaricato (user-id) associato a una parola riservata (password) conosciuta esclusivamente dal possessore, oppure in un dispositivo di autenticazione ad uso esclusivo dell'incaricato (dispositivo di firma elettronica), ad un codice identificativo o in una caratteristica biometrica.

In caso di trattamento di dati sensibili o giudiziari la password è modificata almeno ogni tre mesi.

Agli incaricati devono essere fornite dal titolare anche le prescrizioni in merito all'adozione delle necessarie cautele per assicurare la segretezza della password e la diligente custodia dei dispositivi di smart-card, che dovranno essere uniche e non cedute ad altri incaricati e aggiornate almeno una volta all'anno.

Il legislatore prevede l'effettuazione di copie di back-up degli archivi con frequenza settimanale.

Art. 35 - Trattamenti senza l'ausilio di strumenti elettronici[modifica | modifica wikitesto]

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;

b) previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;

c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Chi si serve di strumenti non automatizzati per la raccolta e la gestione di dati personali deve individuare gli incaricati del trattamento, con documento di scadenza annuale, ed impartire istruzioni scritte relative alla gestione dei dati e alla loro custodia.

Quando i documenti contenenti dati sensibili sono affidati agli incaricati della gestione per lo svolgimento dei relativi compiti, gli stessi documenti sono controllati e custoditi dagli incaricati fino alla restituzione, in modo da impedirne l'accesso a persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

L'accesso agli archivi contenenti dati sensibili deve essere controllato e le persone ammesse, a qualunque titolo, devono essere identificate e registrate, sia controllandone l'identità che il tempo di permanenza all'interno del locale.

Quando gli archivi non sono dotati di strumenti elettronici che gestiscono il controllo degli accessi o di addetti alla vigilanza, coloro che vi accedono sono preventivamente autorizzate.

Le autorizzazioni[modifica | modifica wikitesto]

Le autorizzazioni del Garante possono essere:

  • Generali (art. 40 Testo Unico): il Garante acconsente ad operazioni di trattamento di dati sensibili a determinate condizioni e per determinati fini; stabilisce prescrizioni uniformi per settori omogenei di attività (rapporto di lavoro, sanità, professionisti, assicurazioni, investigazioni ecc.), snellisce l'attività burocratica gravante sull'ufficio del Garante ed alleggerisce gli adempimenti del titolare individuandone l’ambito e le modalità di trattamento. Pertanto è possibile la gestione dei dati sensibili entro i limiti prescritti senza richiedere specifica ed individuale autorizzazione al Garante.
  • Specifiche o individuali (art. 41 T.U.) nel caso in cui un trattamento non sia previsto e acconsentito nell’ambito delle autorizzazioni generali. Le richieste individuali di autorizzazione devono essere sottoposte dal Titolare al Garante con una specifica richiesta, utilizzando il modello messo a disposizione dal Garante, che deve essere preventiva all'inizio del trattamento che si intende effettuare.

Al Garante sono concessi da 30 a 45 giorni dalla data della richiesta per comunicare la decisione adottata, scaduto tale termine la mancata pronuncia equivale a rigetto (art. 26 comma 2).

Note[modifica | modifica wikitesto]

  1. ^ Cfr. art. 167 comma 1 D.Lgs. n. 196/2003, “Codice della privacy”.
  2. ^ Tipicamente nella modulistica emessa da enti della PA
diritto Portale Diritto: accedi alle voci di Wikipedia che trattano di diritto