Codice in materia di protezione dei dati personali

Da Wikipedia, l'enciclopedia libera.

Il codice per la protezione dei dati personali (comunemente noto anche come codice della privacy) è una norma della Repubblica Italiana, emanata con il Decreto legislativo 30 giugno 2003, n. 196, in vigore dal 1º gennaio 2004.

Il Testo Unico, perché riunisce la normativa vigente in materia accumulatosi dal 1996, è ispirato all'introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione degli adempimenti e sostituisce la precedente normativa (legge 31 dicembre 1996, n. 675).

Contesto[modifica | modifica wikitesto]

Il settore dell'informazione è un settore interessato da una continua evoluzione e da una rilevante importanza sociale. Basta pensare alla quantità e qualità delle informazioni sotto forma di dati personali, abitudini e consumi dei clienti, che posseggono le aziende. La tutela dei dati personali risulta essere argomento di controversia, tra quelli che vorrebbero un libero scambio delle informazioni e quelli che vorrebbero delle limitazioni attraverso la tutela e il controllo. Oltre alla tutela dei dati personali e sensibili di clienti, fornitori e dipendenti, le aziende hanno la necessita' di tutelare la proprieta' intellettuale, i brevetti e il know-how interno.

Tali diritti vengono bilanciati con altri diritti di pari rango, contemplati in Costituzione, quali il diritto a un'equa retribuzione (art. 36), e il diritto di difesa (art. 24). L'effettività di questi diritti richiede la possibilita' di accesso e di consultazione dei documenti aziendali, per produrre le prova necessarie ad esempio a dimostrare la qualità e quantità del lavoro svolto, ovvero la propria estraneità ai fatti imputati. In questo senso, il principio del pari rango regolamenta la stessa problematica di accesso e consultazione, nel settore pubblico. Essendo il datore di lavoro l'unico soggetto avente titolo, in quanto proprietario e gestore dei sistemi informatici e di archiviazione, esiste l'eventualita' concreta di creazione, eliminazione o modifica senza traccia di informazioni e azioni dell'utente sul sistema prima della loro acquisizione in sede processuale, e la difficolta' di una loro ricostruzione ex-post.

Prima di una specifica normativa, l'unica tutela era fornita dalla giurisprudenza della Suprema Corte di Cassazione. Alla fine del XX secolo per rispettare gli Accordi di Schengen e per dare attuazione alla direttiva europea 95/46/CE del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali venne emanata la legge 31 dicembre 1996 n. 675, che entrò in vigore nel maggio 1997.

Col passare del tempo, a tale norma si erano affiancate ulteriori leggi, riguardanti singoli e specifici aspetti del trattamento dei dati. La sopravvenuta complessità normativa creatasi in seguito all'approvazione di diverse disposizioni portò all'emanazione del d.lgs 30 giugno 2003, n. 196 che ha riordinato interamente la materia. Nel 2011 e 2012 altre disposizioni hanno emendato il codice del 2003, in particolare abolendo alcuni passaggi burocratici (tipo il DPS) oppure le regole per le informazioni sensibili fornite spontaneamente mediante il proprio CV.

In data 25 gennaio 2012 la Commissione Europea ha approvato la proposta di un regolamento sulla protezione dei dati personali,[1] in sostituzione della direttiva 95/46/CE. Il 4 maggio 2016 è stato poi emanato il regolamento dell'Unione Europea n. 2016/679 (direttamente applicabile senza necessità di una legge di trasposizione), la cui entrata in vigore è prevista per il 2018.

Contenuto[modifica | modifica wikitesto]

Il D.Lgs 196/2003 abroga la precedente legge 675/96, che era stata introdotta per rispettare gli Accordi di Schengen ed era entrata in vigore nel maggio 1997. Con il tempo, data la tipica stratificazione normativa che si produce nei sistemi giuridici a tradizione civilista (tra cui quello italiano), a tale norma si erano affiancate numerose altre disposizioni concernenti specifici aspetti del trattamento dei dati, che sono state conglobate nel Testo Unico vigente, entrato in vigore il 1º gennaio 2004.

Sull'applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, istituita sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003. Il decreto tutela il diritto del singolo sui propri dati personali e, conseguentemente, alla disciplina delle diverse operazioni di gestione (tecnicamente "trattamento") dei dati, riguardanti la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi.

All'art.l del testo unico viene riconosciuto il diritto assoluto di ciascuno sui propri dati, in cui si afferma testualmente: "Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale diritto pertiene i diritti della personalità.

Il diritto alla riservatezza è diverso rispetto al diritto sui propri dati perché non riguarda solamente informazioni circa la propria vita privata, ma più in generale ingloba ogni informazione relativa ad una persona, pure se non coperta da riserbo (sono dati personali ad esempio il nome o l'indirizzo della propria abitazione).

Lo scopo della normativa è quello di evitare che il trattamento dei dati avvenga senza il consenso dell'avente diritto, ovvero in modo da recargli pregiudizio. Nel Testo Unico, Titolo II articoli da 8 a 10, sono a tal scopo definiti i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

La disciplina complessiva della protezione dei dati personali non viene mutata dal nuovo codice, in quanto la finalità di questo nuovo testo di legge consistono nella razionalizzazione di tutto quel complesso di norme esistenti attraverso lo strumento del testo unico (da sempre utilizzato a tale scopo).

Nozioni e deficienze[modifica | modifica wikitesto]

Il Testo unico fa chiarezza fornendo precise definizioni all'art. 4:

e conferma la figura del Garante per la protezione dei dati personali.

Si individuano altresì:

Non c'è differenza, se non per aspetti tecnici o marginali tra i dati su supporto informatico e quelli su supporto cartaceo, tra le persone fisiche e quelle giuridiche.

Sono trattati a parte in quanto considerati in maniera del tutto diversa (per evidenti motivi) i dati:

  • trattati per finalità storiche
  • trattati per finalità statistiche o di ricerca scientifica
  • sanitari (con le opportune eccezioni per la tutela della salute del soggetto stesso, di eventuali terzi e della collettività)
  • giudiziari
  • il trattamento dei dati che avviene durante le attività giornalistiche

I diritti riconosciuti[modifica | modifica wikitesto]

L'interessato (ossia il soggetto cui si riferiscono i dati) vede garantito il proprio diritto di accesso a tutte le informazioni pertinenti la sua persona detenute e trattate da terzi. Tutto ciò è garantito dall'art. 7 del d. lgs. 196/03 il quale ricomprende la possibilità di sapere: l'autore del trattamento, come e con quali fini avviene il trattamento, i soggetti a cui detti dati possono essere ceduti (previo consenso preventivo, altrimenti si avrebbe un esempio di trattamento scorretto).

L'interessato ha facoltà di verificare che i propri dati detenuti da terzi corrispondano al vero in virtù del diritto d'accesso e verificare gli usi che si intendono fare dei dati stessi. Inoltre l'interessato ha anche il diritto di modifica, ovvero ha diritto ad aggiornare, rettificare e modificare i termini d'uso dei propri dati personali, il diritto di interruzione, può cancellare i propri dati personali per interrompere il servizio e il diritto di opposizione, potendo quindi opporsi per motivi legittimi al trattamento di dati personali per interrompere il servizio.

La tutela[modifica | modifica wikitesto]

In caso di lesione nei diritti sui propri dati a mente del d. lgs. 196/03 (ad esempio: raccolta dei dati senza il consenso, acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso) si può ricorrere al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e costi contenuti) o al giudice civile (con costi e tempi maggiori). Se invece si è addirittura subito un danno per trattamento dei dati non conforme alla legge (non necessariamente economico) il risarcimento può essere concesso in via esclusiva solo dal giudice civile.

Sanzioni[modifica | modifica wikitesto]

Possono essere:

  • Civili (ai sensi dell'Art 15): Chiunque fa danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Vale anche per i danni non patrimoniali
  • Penali: che si differenziano in Misure minime (Art.169) e Trattamento Illecito (Art. 167) . Nel primo caso chi omette di adottare le misure minime previsto dall'Art. 33 è punito con l'arresto fino a 2 anni mentre nel secondo caso chi, avendo il fine di trarre per sé profitto, procede al trattamento di dati personali in violazione di alcuni articoli è punito con la reclusione da 6 a 18 mesi oppure, se il fatto è avvenuto nell'ambito della comunicazione o diffusione, con la reclusione da 6 a 24 mesi.
  • Amministrative (Art.161): il trattamento dei dati personali senza aver dato informativa costituisce illecito amministrativo da 6000 a 36000 euro

Analisi[modifica | modifica wikitesto]

Il testo normativo introdotto è sicuramente un'innovazione giuridica a livello europeo. Con il nuovo testo il legislatore si è orientato verso un'ottica di circolazione dei dati e si prefigge l'obbiettivo di raggiungere il generale bilanciamento di interessi tra titolare, ovvero colui che ha un interesse a ricevere e a trattare i dati, e l'interessato, ovvero colui che mette a disposizione del titolare i propri dati. Con questo semplice ma determinante principio il diritto alla privacy transita da una precedente visione di diritto ad essere lasciati soli ad una visione totalmente innovativa. Il Codice ha ricevuto una semplificazione e un'armonizzazione per non aggravare le aziende e le persone fisiche di vincoli burocratici molto forti. I primi tre articoli sono altamente innovativi da questo punto di vista. Il terzo principio in particolare, risulta rivoluzionario.

« I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente dati anonimi od opportune modalità che permettono di identificare l'interessato solo in caso di necessità. »

(Codice privacy, d.lgs 196., Articolo 3)

La caratteristica principale dell'intero dettato normativo è quello descritta all'Articolo 11

« I dati personali oggetto di trattamento sono: Trattati in modo lecito e corretto. »

(Codice privacy, d.lgs 196., Articolo 11)

L'apparente ambivalenza lessicale dei termini liceità e correttezza è invece manifestazione di una chiara differenza. Per liceità si intende una verifica a priori ovvero un controllo dell'adeguamento del Trattamento ai canoni fissati dalla normativa stessa; con il termine correttezza invece si è introdotta una verifica a posteriori, in questa seconda fase del giudizio, infatti, il caso in esame viene adattato alla fattispecie concreta verificando che il generale bilanciamento di interessi tra Titolare del trattamento e interessato sia stato raggiunto.

Il Codice prevede, per chi intende trattare dati, una serie di obblighi e di diritti. Infatti chiunque voglia utilizzare i dati personali di un soggetto deve informarlo, preventivamente, indicando con chiarezza le finalità per cui prevede di utilizzare tali dati e le relative modalità di utilizzo. Inoltre deve avere il consenso da parte del soggetto interessato; solo in alcuni casi, come cita l'art. 24, questo non è necessario. Una disciplina particolare riguarda i dati sensibili, quelli più delicati, e che quindi richiedono una maggiore attenzione da parte del legislatore.

I cinque soggetti che guardano da vicino il trattamento dei dati personali sono: Titolare, Responsabile, Incaricati, Interessato, Garante. Il Titolare è il soggetto che tratta i dati e cui competono, in prima istanza, gli obblighi di legge: è quindi lui che dovrà operare e fare operare in modo che la legge sia applicata. Il Responsabile e poi gli Incaricati sono le figure che operano per conto del Titolare, e seguono le sue istruzioni. Queste tre figure costituiscono un tutt'uno, una organizzazione. Il Soggetto interessato, invece è colui a cui si riferiscono i dati. Rilevante importanza ricopre il Garante, un'autorità pubblica autonoma ed indipendente, istituita nel 1996, che ha il compito di verificare e controllare il trattamento dei dati da parte del Responsabile o Titolare, disponendo sanzioni amministrative, ove necessario. Inoltre come specificato nell'art. 143, prescrive al Titolare le misure opportune per rendere il trattamento conforme alle disposizioni vigenti.

Il dibattito[modifica | modifica wikitesto]

La giurisprudenza[modifica | modifica wikitesto]

In Italia a partire dal 1997 (con l'emanazione delle norme che facevano riferimento alla protezione dei dati personali) si è sviluppata l'errata consuetudine di etichettare la normativa con la dicitura "legge sulla privacy". Nel rispetto del principio "Vox populi, vox Dei" tale prassi è stata tollerata se non incoraggiata implicitamente dall'allora Presidente dell'autorità Garante Stefano Rodotà. Tale definizione, spesso oggetto di critiche, non dà conto delle finalità reali ed ermeneutiche della normativa che sono quelle ristrette a garantire che il trattamento dei dati personali avvenga secondo certi limiti e non quelle di difendere la sfera complessiva del diritto alla riservatezza del cittadino.[senza fonte]

La succitata dicitura "legge sulla privacy" risulta quantomeno impropria, come osservò il Tribunale di Milano - Sez. I civile con il Decreto 27 settembre 1999 decidendo sul caso Olcese vs Corriere della Sera scrisse: "... omissis ... 2. In proposito, occorre innanzitutto affermare, in dissenso con quanto da taluno pure sostenuto in sede di primo commento, che la l. 675/96 - ancorché conclami in preambolo la “finalità” di garantire il “rispetto dei diritti, delle libertà fondamentali nonché della dignità” della persona, “con particolare riguardo alla riservatezza ed all'identità personale” (cfr. il titolo dell'art. 1 ed il contenuto del relativo 1º comma) - non può essere né riguardata alla stregua di un vero e proprio “statuto generale della persona” né ritenuta più accentuatamente rivolta alla tutela della persona che alla disciplina sul trattamento dei dati. Simili impostazioni appaiono, infatti, inficiate da un vizio di prospettiva, giacché confondono aspetti diversi e concettualmente infungibili, quali la ratio della normativa (ruolo, nella specie, testualmente assegnato alla protezione dei fondamentali diritti della persona: cfr. la rubrica ed il 1º comma dell'art. 1) e la sua sfera di operatività (nella specie, univocamente identificabile, alla luce del titolo e della complessiva disciplina della legge, nel fenomeno del “trattamento dei dati personali”); aspetti diversi, che solo complementarmente integrandosi concorrono a definire compiutamente il bene giuridico oggetto della tutela accordata: i diritti fondamentali della persona con specifico, ed esclusivo, riferimento alle implicazioni inerenti all'attività di “trattamento di dati personali”[2]

Il rischio del trattamento[modifica | modifica wikitesto]

È oggetto di critica di molti[senza fonte] il 1° comma, art. 15 del D.Lgs. n. 196/2003 (Danni cagionati per effetto del trattamento di dati personali), che recita testualmente: Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile. Il richiamato articolo del codice civile (Responsabilità per l'esercizio di attività pericolose) a sua volta stabilisce che: Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno. In questo modo si applica l'inversione dell'onere della prova, poiché chi detiene i dati e non è stato attento deve dimostrare che ha fatto tutto il possibile per evitare il danno, nonostante questo si sia verificato. Appare eccessivo ai molti il riferimento all'art. 2050 del c.c., dato che tale articolo viene pensato piuttosto per coloro che producono esplosivi o trasportano prodotti particolarmente nocivi, e non per qualcosa così innocuo, burocratico e pulito come il trattamento di dati. Ma essendo la sussistenza di un danno (o meglio, il pericolo che un danno si verifichi) elemento centrale per la configurazione della fattispecie, ed essendo certamente ben individuabile l'eventuale danno in queste materie, almeno formalmente si tratta di un riferimento ineccepibile.

L'Analisi economica del diritto dà inoltre un giudizio favorevole al richiamo all'art. 2050, in quanto si è in una tipica situazione nella quale il danneggiato:

  • non ha vantaggi dall'attività del danneggiante
  • non può far nulla per ridurre il rischio di essere danneggiato
  • non ha le informazioni necessarie per dimostrare il comportamento colposo del danneggiante

mentre il danneggiante:

  • è l'unico a ricavare dei vantaggi nello svolgere l'attività pericolosa
  • è l'unico che può ridurre il rischio
  • è l'unico a sapere cosa ha fatto...

Dunque solo e solamente il danneggiante può valutare vantaggi/rischi/costi della sua attività, ma il danneggiato è l'unico a subirne le conseguenze. In questo caso l'EAL ritiene che, tenendo conto di costi e benefici di tutte le parti, una norma come la 2050 ottimizza il rapporto costi-benefici della collettività.[senza fonte]

Struttura[modifica | modifica wikitesto]

Il Testo unico sulla privacy si compone di tre parti e tre allegati, secondo il seguente schema:

  1. disposizioni generali (art. 1-45) relativi alle regole "sostanziali" della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche per i trattamenti effettuati da soggetti pubblici o privati (art. 6);
  2. disposizioni particolari per specifici trattamenti (art. 46-140) ad integrazione o eccezione alle disposizioni generali della parte I;
  3. le disposizioni relative alle azioni di tutela dell'interessato e al sistema sanzionatorio (artt. 141-186).

Al testo seguono tre allegati:

  • allegato A, relativo ai codici di condotta;
  • allegato B, concernente il disciplinare tecnico in materia di [misure minime di sicurezza];
  • allegato C, sui trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia.

Normativa abrogata[modifica | modifica wikitesto]

La 675/1996 venne accompagnata da numerose altre leggi, decreti legislativi, decreti del presidente della repubblica e regolamenti:

  • Legge 676/1996, 31 dicembre 1996: Legge delega;
  • D.L. n.135, 11 maggio 1999: Disposizioni integrative sul trattamento di dati sensibili da parte dei soggetti pubblici;
  • D.L. n.281, 30 luglio 1999: Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica;
  • D.L. n.282, 30 luglio 1999: Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario;
  • D.P.R. n.318, 28 luglio 1999: Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali;
  • Provvedimento del Garante per la protezione dei dati personali, n.1/P/2000: Individuazione dei dati sensibili da parte dei soggetti pubblici.

Evoluzione normativa[modifica | modifica wikitesto]

Il 15 dicembre 2015, la Commissione Europea ha trovato l'accordo col Parlamento e col Consiglio UE per un testo unico sulla privacy che armonizza le normative degli Stati membri. L'accordo è composto da:

  • una Direttiva sulla Protezione dei Dati (Data Protection Directive) per le forze di polizia e la magistratura;
  • un Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR), immediatamente esecutivo in tutta l'Unione Europea. È istituita un'unica autorità di vigilanza europea, si applica anche alle imprese con sede estera e operanti nell'Unione Europea, è previsto un tempo di adeguamento di due anni, e per le imprese non conformi sanzioni dal 2 al 4% del fatturato annuo.

Il Regolamento introduce il diritto all'oblio, il diritto alla portabilità dei dati fra diversi Service Provider, il diritto alla notifica dell'accesso abusivo di terzi a dati personali e sensibili particolarmente importanti.

Le piccole e medie imprese (SME) non hanno più l'obbligo del responsabile della protezione dei dati (data protection officer), né l'obbligo di effettuare la valutazione dell'impatto (privacy impact assessment), a meno che non esista un rischio operativo non trascurabile.

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation- Regolamento UE 2016/679), che è applicato definitivamente a decorrere dal 25 maggio 2018.

Note[modifica | modifica wikitesto]

Voci correlate[modifica | modifica wikitesto]

Collegamenti esterni[modifica | modifica wikitesto]