Il Codice Privacy Le norme contenute nel Decreto Legislativo n. 196/2003 “Codice in materia di protezione dei dati personali”, il c.d. “Codice Privacy”, intendono garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali dell’individuo, nonché della dignità delle persone fisiche, con particolare riferimento al diritto alla riservatezza e all'identità personale. La “riservatezza” in pratica I dati personali devono essere: •trattati in modo lecito e corretto; •raccolti e registrati per scopi determinati, espliciti e legittimi; •esatti e, se necessario, aggiornati; •pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati; •conservati per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati. Il soggetto (azienda, pubblica amministrazione, professionista) che per qualsiasi motivo raccoglie dati personali, è obbligato a rispettare le norme sulla privacy. Non ricade nell’ambito di applicazione della legge solo il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali (agende, elenchi, raccolte). Gli adempimenti per l’adeguamento a quanto stabilito dal Codice Privacy sono relativi essenzialmente a 4 ambiti: 1) DATI E TRATTAMENTI: individuazione delle tipologie di dati trattati e di finalità e modalità del trattamento; eventuali notificazioni al garante. 2) SOGGETTI: individuazione dei soggetti che effettuano il trattamento dei dati (titolare, responsabile, incaricati) e loro nomina e formazione. 3) TUTELA DEGLI INTERESSATI: informativa ai soggetti i cui dati si vogliono raccogliere; raccolta del consenso degli interessati; garanzia del diritto di accesso per gli interessati. 4) SICUREZZA: adozione di misure di sicurezza per la tutela dei dati personali. Per prima cosa occorre individuare: * tipologie di dati trattati; * modalità e finalità del trattamento. I “dati personali” sono tutte le informazioni relative a persone fisiche, identificabili direttamente o indirettamente, anche mediante riferimento a qualsiasi altra informazione. Ad esempio, sono dati personali ai sensi del Codice Privacy anche le immagini, i suoni e i codici identificativi riconducibili a un individuo. Dati Sensibili e Giudiziari Esistono inoltre, due categorie di dati personali per i quali la legge prevede una tutela più forte rispetto agli altri: •dati sensibili - attinenti alla sfera più personale ed intima dei singoli (opinioni religiose, filosofiche, politiche; adesione a partiti, sindacati; stato di salute e abitudini sessuali, etc.) • dati giudiziari. Trattamento Per “trattamento dei dati personali” si intende qualunque operazione, svolta con o senza l'ausilio di strumenti elettronici, concernenti le attività di: raccolta dei dati, registrazione, organizzazione, conservazione, consultazione, elaborazione, blocco, modificazione, utilizzo, interconnessione, comunicazione, diffusione, cancellazione, distruzione, selezione, estrazione, raffronto. Modalità e Finalità Ai fini di determinare la necessità di specifici adempimenti è necessario individuare: •le modalità del trattamento, ad es. con strumenti cartacei o elettronici, l’eventuale comunicazione a terzi o diffusione, il trasferimento all’estero; •le finalità, ad es. la geolocalizzazione, la profilazione, sondaggi o ricerche di mercato. 2 - Soggetti I soggetti che effettuano il trattamento dei dati personali sono: * Titolare * Responsabile * Incaricato Il Titolare del trattamento è la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni circa le finalità e le modalità del trattamento di dati personali, ivi compresa la sicurezza dei dati. Il Responsabile del trattamento è la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo eventualmente preposti dal titolare al trattamento di dati personali. La nomina del Responsabile (che può essere interno o esterno) è facoltativa; se effettuata deve essere scritta e corredata di adeguate istruzioni. Solo gli addetti che sono stati nominati Incaricati sono legittimati a trattare i dati personali. La nomina deve essere specifica per le funzioni svolte dall’Incaricato (o dal reparto di appartenenza) e corredata di adeguate istruzioni. La formazione deve essere: •specifica per ciascun ruolo e funzione; •ripetuta ed aggiornata. L'interessato è la persona a cui si riferiscono i dati personali e che gode di particolari diritti sui dati che lo riguardano: * Informativa * Consenso * Accesso ai dati L’art. 13 prevede che il soggetto interessato deve essere preventivamente informato per iscritto circa: •le finalità e le modalità del trattamento cui sono destinati i dati; •l'obbligo o la facoltà di conferire i dati; •le conseguenze del rifiuto a rispondere; •i soggetti a cui i dati possono essere comunicati; •l'ambito di diffusione dei dati personali; •i diritti spettanti al soggetto interessato come specificati all’art. 7 del Codice; •gli estremi identificativi del titolare del trattamento, del responsabile del trattamento, se designato, o le modalità tramite cui reperire l’elenco completo ed aggiornato di tutti i responsabili del trattamento. L’art. 23 prevede che il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso espresso dell'interessato. Il consenso è validamente prestato soltanto se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato e se è documentato per iscritto. Il consenso per il trattamento dei dati comuni può anche essere orale, purché documentato per iscritto, mentre quello per i dati sensibili deve essere prestato esclusivamente in forma scritta. Il consenso deve inoltre essere informato, cioè presuppone che siano state rese all’interessato le informazioni di cui all’art. 13 (informativa). Sono tuttavia previsti dei casi nei quali il trattamento può essere effettuato senza il consenso dell’interessato (art. 24). L’art. 7 prevede che l'interessato abbia diritto, circa i suoi dati personali: •di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano e la loro comunicazione in forma intelligibile; •di essere informato dal titolare circa le finalità e le modalità del trattamento; •di ottenere dal titolare la conferma, l'aggiornamento, la cancellazione, la rettifica dei dati trattati, o la loro trasformazione in forma anonima; •di opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati che lo riguardino. •di chiedere il blocco dei dati trattati in violazione di legge. L'interessato, dopo aver fatto valere i suoi diritti nei confronti del titolare del trattamento, in mancanza di soddisfazione della richiesta, può far valere i propri diritti dinanzi all'Autorità giudiziaria o proporre ricorso al Garante. I soggetti che trattano dati personali devono provvedere ad adottare misure di sicurezza volte ad evitare che i dati raccolti possano essere conosciuti da terzi non legittimati o possano comunque andare dispersi. La legge distingue in due categorie le misure di sicurezza da adottare: le misure di sicurezza minime e le misure di sicurezza idonee. La distinzione ha rilevanza ai fini sanzionatori, in quanto l’inosservanza delle misure minime comporta una sanzione di natura penale, mentre l’inosservanza delle misure idonee non comporta sanzioni, ma espone ad eventuali azioni dei soggetti lesi per il risarcimento del danno. Nel quadro generale degli obblighi di sicurezza, la norma individua alcune misure di sicurezza ritenute indispensabili alla tutela dei dati personali, le cosiddette misure minime di sicurezza, di cui agli artt. 34 e 35 del Codice e specificate nell’Allegato B (disciplinare tecnico). Le misure minime di sicurezza sono differenziate a seconda delle modalità di trattamento dei dati: •Dati trattati senza l’ausilio di strumenti elettronici; •Dati trattati con l’ausilio di strumenti elettronici. L’obbligo di adottare le misure di sicurezza idonee si sostanzia in un obbligo generico di predisporre qualunque precauzione necessaria alla tutela dei Dati, per evitare il rischio di distruzione o dispersione anche accidentale degli stessi ovvero di conoscenza da parte di terzi non autorizzati. L’art. 31 del Codice prevede infatti che “I dati personali oggetto di trattamento sono custoditi e controllati, … in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.” Vale in questo contesto l’inversione dell’onere della prova, ovvero sarà il Titolare a dover dimostrare di avere adottato misure adeguate. |
Perché la Privacy >