Ultime Notizie
HomeTutte le agenzieL'industrialeLA LEGGE SULLA PRIVACY AD UN ANNO DALLA SUA EMANAZIONE – Le nuove regole per garantire la riservatezza dei dati “sensibili”

LA LEGGE SULLA PRIVACY AD UN ANNO DALLA SUA EMANAZIONE – Le nuove regole per garantire la riservatezza dei dati “sensibili”

Dopo un anno di gestazione, finalmente diventa operativa la legge sulla tutela dei dati personali e, il 5 marzo, presso l’Unione Industriali dell’Aquila, si è tenuto un seminario (a cura della Texas Instruments di Avezzano, con l’intervento dell’ing. Domenico Calì)  per illustrare problematiche e modalità di applicazione della nuova disciplina.

Brevemente, in questo spazio vogliamo riassumere gli aspetti più salienti della L.675/96 per offrire al lettore  e cittadini) una visione d’insieme della legge e, eventualmente, uno strumento di immediata lettura dei propri doveri (se aziende e professionisti) e diritti (se semplici cittadini) per poter continuare a svolgere la propria attività.

La legge ha introdotto un concetto nuovo di diritto alla riservatezza di tutti i dati personali prendendo in considerazione sia la persona fisica che la persona giuridica (per semplificazione: gli enti) ed ha inteso riconoscere la liceità del “trattamento” dei dati stabilendo una serie di adempimenti formali volti ad impedire l’intrusione di terzi nella vita privata del soggetto (pubblico o privato).

Trattamento, secondo l’articolo 1, comma 2 sub b, è «qualunque operazione o complesso di operazioni svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta , la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati» e deve svolgersi secondo le regole dettate dalla legge, regole che  impongono due tappe fondamentali: l’informativa e la notificazione. Il primo momento attiene all’obbligo di comunicare all’interessato che c’è un trattamento in corso e prevede un consenso, da parte del soggetto, che deve essere espresso: documentato per iscritto (da parte di chi ha materialmente raccolto la dichiarazione orale di consenso), oppure scritto; libero da vizi della volontà e successivo alla informativa ricevuta (l’informativa successiva non libera dagli obblighi imposti e configurerebbe l’ipotesi di illecito trattamento ). In nessun caso potrà essere invocato il consenso implicito che, infatti, volutamente è stato escluso dal legislatore.  L’informativa (art.10), invece, può essere fornita anche oralmente ma di essa il titolare del trattamento (per cui vedi sotto) deve essere in grado di dare adeguata prova con ogni mezzo. Va ricordato, infatti, che il trattamento dei dati è stato equiparato ad attività pericolosa dall’art. 18 che recita:«chiunque cagiona danno ad altri per effetto del trattamento dei dati personali è tenuto al risarcimento ex art. 2050 c.c.», dal che consegue l’inversione dell’onere della prova e il ricorso ai principi del caso fortuito e della forza maggiore come uniche ancore di salvezza.

Ma chi è il titolare  del trattamento? La legge ne istituisce la figura identificandola nella persona fisica (colui che effettua un trattamento «in proprio»), nella persona giuridica, nella pubblica amministrazione e in qualsiasi altro ente, associazione ed organismo cui competono le decisioni in ordine alle finalità e alle modalità del trattamento dei dati, compreso il profilo della sicurezza. In pratica, altri non è che il soggetto collettivo, la società, la struttura nel suo complesso e giammai il suo amministratore. I legali rappresentanti che operano per conto di enti privati e pubblici devono personalmente sottoscrivere la notificazione, di cui diremo appresso, ma non sono fisicamente imputabili sotto il profilo penale e non sono fisicamente responsabili sotto quello civile ed amministrativo: è alla persona giuridica che si imputano gli effetti posti in essere dai propri organi e le persone che ricoprono posizioni di vertice nell’ambito dell’azienda (ministro, amministratore delegato, direttore generale, presidente, legale rappresentante ) possono essere nominate responsabili del trattamento, in presenza dei requisiti di competenza previsti dalla legge. Il responsabile, figura facoltativa, riceve incarico dal titolare che ne individua con esattezza tutti i compiti ed è scelto tra le persone che per esperienza, capacità e affidamento forniscano idonea garanzia del pieno rispetto delle previsioni di legge. Altra figura, che non ha ricevuto l’attenzione che meritava dal legislatore, è quella dell’incaricato: l’art. 8  prevede che debba elaborare i dati personali ai quali ha accesso attenendosi alle istruzioni del titolare o del responsabile (nel caso in cui le due figure siano separate). Se esso vada inteso come persona giuridica o fisica non è dato sapere ma, pare, debba ritenersi persona fisica, non necessariamente dipendente dell’azienda, eventualmente anche soggetto incaricato esterno.

Il secondo momento è quello della notificazione, dichiarazione rivolta al garante con la quale si rappresenta l’esistenza di un trattamento dei dati personali, atto fondamentale di legittimazione della banca dati. Le notificazioni confluiscono in un registro tenuto dal garante e consultabile da chiunque esclusivamnete per finalità di applicazione della normativa sulla protezione dei dati. Una volta effettuata non è soggetta a limiti temporali e va rinnovata soltanto quando muti uno dei suoi elementi necessari, indicati nel modello di notificazione (modello messo a punto dal garante in forma standard, quindi uguale per tutti, per l’evidente esigenza di razionalizzare la procedura e facilitare l’eventuale consultazione dei dati).

Una riflessione merita, infine, il concetto di dati sensibili e dati comuni. Non deve turbare il fatto che la categoria oggetto della tutela non sia stata definita in un rigido elenco ma che, anzi, sia deducibile a contrario dall’analisi dei dati comuni (non tutelabili). Leggendo infatti l’elenco dei casi di esonero (dei dati comuni) dalla notificazione si comprende agevolmente che tutto quanto residua è da ritenersi soggetto alla disciplina e vada, quindi, ritenuto appartenente alla categoria dei dati sensibili di cui alla legge 675. In termini generali, senza voler riportare per intero il risultato della lettura a contrario, si può dire che i dati sensibili sono quelli le cui informazioni rivelano l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute, la vita sessuale.

Particolare previsione è poi riservata ai dati delle iscrizioni del casellario giudiziario per i quali sono state adottate particolari cautele.

Per quanto riguarda i termini della presentazione della notificazione bisogna distinguere fra trattamenti iniziati dopo l’1 gennaio 1998 (per i quali bisogna notificare in qualunque momento, purché prima dell’inizio del trattamento) e trattamenti iniziati prima dell’1 gennaio 1998. Per questi ricorrono tre scadenze: il 31 marzo ’98 per i trattamenti eseguiti anche in parte con l’ausilio di mezzi elettronici o comunque automatizzati e per quelli non automatizzati di dati sensibili o attinenti a determinati provvedimenti giudiziari; il 30 giugno ’98 per i trattamenti non automatizzati di dati diversi da quelli sensibili (se le finalità di questi sono correlate a quelle dei trattamenti di cui sopra, è possibile effettuare un’unica notificazione entro il 31 marzo) e per i trattamenti effettuati da parte di soggetti pubblici per finalità di difesa o di sicurezza dello Stato, di prevenzione, accertamento o repressione dei reati; per ragioni di giustizia (presso gli uffici giudiziari, il C.S.M. e il Ministero di Giustizia), per il servizio del casellario giudiziale, per il servizio carichi pendenti in materia penale.

Da ultimo, un’informazione pratica: il garante può essere contattato per chiarimenti ed informazioni al seguente indirizzo: prof. Rodotà, Ufficio del Garante per la protezione dei dati personali, Palazzo S. Macuto, via del Seminario, 76 (oppure via della Chiesa Nuova, 8) 00186 Roma, tel.06/68892139-40.

Per gli atti del seminario, gli associati possono rivolgersi alla Texas Instruments al tel. 26103.

Print Friendly, PDF & Email

Condividi