I nuovi problemi giuridici L’utilizzazione sempre più diffusa dell’informatica nel corso degli anni ha investito tutti gli ambiti della vita sociale. La raccolta, l’elaborazione e la trasmissione dei dati e delle informazioni tramite elaboratore elettronico sono attività ormai consolidate; questo fenomeno è destinato ad accentuarsi. In questa situazione è facile comprendere che come anche il diritto venga a trovarsi in una relazione con l’informatica. Così una serie di problemi giuridici del tutto nuovi necessitano di un adeguata soluzione. Le Banche Dati e la raccolta di informazioni I moderni elaboratori elettronici consentono di raccogliere un numero praticamente illimitato di dati ed informazioni. Tutti i dati e le informazioni raccolte possono essere memorizzati dall’elaboratore in archivi elettronici ai quali viene attribuito il nome di Banche Dati. Quest’ultima può raccogliere informazioni di qualunque natura: economica, medica,industriale,politica. Può così accadere che in essa vengano memorizzati anche dati concernenti aspetti della persona che dovrebbero restare riservati. Che cos’è una Banca Dati? ► Banca Dati: qualsiasi complesso di dati personali, ripartito in una o più unità dislocate, in uno o più siti, organizzato secondo una pluralità di criteri determinati, tali da facilitarne il trattamento. Che cos’è il Trattamento? ► Trattamento: qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati. Ricerche incrociate di Dati I dati personali possono essere raccolti da Banche Dati, tra di loro diverse, ma collegate o collegabili, il che rende possibile anche ricerche incrociate. Collegando tra loro molte Banche Dati, si potrebbe ottenere un quadro piuttosto completo della personalità di una certa persona, ed una buona conoscenza di aspetti della sua vita che essa presumibilmente preferirebbe tenere riservati. Che cos’è un Dato Personale? ► Dato Personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale La tutela rispetto al trattamento dei dati personali Con l’uso sempre più intenso e diffuso delle banche elettroniche di dati personali, il diritto alla riservatezza corre maggiori rischi di essere frequentemente leso, con conseguenze gravi, e in tutti i Paesi è sorto il problema di identificare e disciplinare mezzi efficaci di tutela della Privacy delle persone rispetto al trattamento di dati. Che cos’è la Privacy? ► Privacy è termine inglese traducibile all'incirca con riservatezza, è il diritto alla riservatezza delle informazioni personali e della propria vita privata: the right to be let alone (lett. "il diritto di essere lasciati in pace"). Legislazione sulla Privacy La legislazione sulla Privacy in Italia è attualmente contenuta nella Costituzione (articoli 15 e 21), nel Codice Penale (Capo III – Sezione IV) e parzialmente nel Decreto legislativo 30 giugno 2003, n. 196 intitolato Codice in materia di protezione dei dati personali. Sull’applicazione della normativa vigila L’Autorità Garante per la protezione dei dati personali. L’evoluzione della normativa Legge n. 675/1996 Inizialmente venne introdotta la legge n. 675/1996 (tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) per rispettare gli accordi di Schengen e per dare attuazione alla direttiva 46/95 del Parlamento Europeo e del Consiglio relativa alla tutela dei dati personali, nonché alla libera circolazione di tali dati. L’evoluzione della normativa Dlgs. n. 196/2003 Con il tempo a tale norma si sono affiancate ulteriori leggi, riguardanti singoli specifici aspetti del trattamento dei dati. La complessità della situazione ha reso indispensabile provvedere all’emanazione di un Testo Unico, il Decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) che ha riordinato la normativa, abrogando la Legge n. 675/1996. Il Testo Unico Vigente è entrato in vigore il 1° gennaio 2004. Le finalità della legge La legge nelle sue finalità intende garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché nella dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale, garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione. I dati personali oggetti di trattamento Devono essere: Trattati in modo lecito e secondo correttezza; Raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; Esatti e, se necessario, aggiornati; Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; Conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. Chi è l’Interessato? ► Interessato: è la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali. L’interessato Deve essere informato preventivamente per iscritto circa: Le finalità e le modalità del trattamento cui sono destinati i dati; La natura obbligatoria o facoltativa del conferimento dei dati; I soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi Il Consenso Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dall’interessato. Il consenso può riguardare l’intero trattamento, ovvero una o più operazioni dello stesso. Il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documenta per iscritto, e se sono state rese all’interessato le informazioni elencate in precedenza Casi in cui non è richiesto il consenso dell’Interessato Ciò accade quando il trattamento: Riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; È necessario per l’esecuzione di obblighi derivanti da un contratto dal quale è parte l’interessato o per l’acquisizione di informative precontrattuali attivate su richiesta di quest’ultimo, o per l’adempimento di obbligo legale; Riguarda dati provenienti da pubblici registri, elenchi, atti, o documenti conoscibili da chiunque; È finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratti di dati anonimi; È effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità nel rispetto del codice di deontologia; Altri casi in cui non è richiesto il consenso dell’Interessato Riguarda dati relativi allo svolgimento di attività economiche raccolti nel rispetto della vigente normativa in materia di segreto aziendale e industriale; È necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere e di volere; È necessario ai fini dello svolgimento delle investigazioni secondo le norme di attuazione, di coordinamento e transitorie del codice di procedura penale, oppure per far valere o difendere un diritto in sede giudiziaria. Diritti dell’Interessato L’interessato a cui si riferiscono i dati personali a diritto di: Conoscere l’esistenza di dati che possono riguardarlo; Di ottenere l’aggiornamento e la rettifica dei dati raccolti; Di opporsi per motivi legittimi al trattamento dei dati personali, anche se pertinenti allo scopo della raccolta. Diritto alla Riservatezza Il diritto alla riservatezza, non riguarda solamente informazioni interenti la propria vita privata, ma si estende in generale a qualunque informazione relativa ad una persona, anche se non coperta da riserbo (ad esempio il nome o l’indirizzo della propria abitazione) Diritto di Accesso ll soggetto cui si riferiscono i dati ha il diritto di accesso alle informazioni che lo riguardino da altri detenute. Tale diritto gli è riconosciuto dall'art. 7 del dlgs. 196/03 e comprende la facoltà di conoscere: quali dati vengono trattati, come e con quali fini avviene il trattamento, l'autore del trattamento, i soggetti a cui questi dati possono essere comunicati. I Dati corrispondono al vero? In ragione del diritto d'accesso l'interessato può poi chiedere che i dati da altri detenuti corrispondano al vero, pretendendone l'aggiornamento o la cancellazione a seconda dei casi. Se poi i dati sono trattati in maniera difforme dalla legge, l'interessato può chiedere la cancellazione degli stessi o il blocco del trattamento. Documento programmatico sulla sicurezza L'adozione di un documento programmatico sulla sicurezza (DPS) è un obbligo previsto dal Dlgs. 196/2003. L'obbligo esiste per tutte le aziende, liberi professionisti, enti o associazioni che trattano i dati personali, anche sensibili con strumenti elettronici. Il documento va predisposto ed aggiornato annualmente entro il 31 marzo successivo, affinché si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e deve soddisfare anche determinati obblighi di legge, se previsti (se ne deve dare comunicazione nella relazione allegata al Bilancio d'esercizio). I contenuti del DPS I contenuti del documento sono elencati al punto 19 del Disciplinare Tecnico in materia di misure minime di sicurezza e sono: 1. Elenco di trattamenti di dati personali (regola 19.1), 2. Distribuzione dei compiti e delle responsabilità (regola 19.2), 3. Analisi dei rischi che incombono sui dati (regola 19.3) , 4. Le misure da adottare per garantire l’integrità e la disponibilità dei dati (regola 19.4), 5. Criteri e modalità di ripristino della responsabilità dei dati (regola 19.5), 6. Pianificazione degli interventi formativi previsti (regola 19.6), 7. Trattamenti affidati all’esterno (regola 19.7) , 8. Cifratura dei dati o separazione dei dati identificativi (regola 19.8). Tabelle del DPS Per ciascuna regola sono riportate una o più tabelle. Per ciascuna tabella può essere indicata facoltativamente anche la data di compilazione, che può rivelarsi utile qualora la tabella sia compilata in data significativamente diversa (antecedente) rispetto alla redazione finale del DPS. Tabella 1.1 - Elenco dei trattamenti: informazioni essenziali Tabella 1.2 - Elenco dei trattamenti: ulteriori elementi per descrivere gli strumenti Tabella 2 – Competenze e responsabilità delle strutture preposte ai trattamenti Tabella 3.1 – Analisi dei rischi Tabella 3.2 – Analisi dei rischi Tabella 3.3 – Analisi dei rischi Tabella 4.1 – Le misure di sicurezza adottate o da adottare Tabella 4.2 – Scheda descrittiva delle misure adottate Tabella 5.1 – Criteri e procedure per il ripristino della disponibilità dei dati Ripristino Tabella 5.2 – Criteri e procedure per il salvataggio dei dati Salvataggio Tabella 6 – Pianificazione degli interventi formativi previsti Tabella 7 – Trattamenti affidati all’esterno Tabella 8 – Cifratura dei dati o separazione dei dati identificativi (solo per organismi sanitari ed esercenti professioni sanitarie) Tutela dei diritti Chi sia leso nei diritti sui propri dati riconosciuti dal dlgs. 196/03 (raccolta dei dati senza il consenso, consenso acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso) può ricorrere al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e costi contenuti) o al giudice civile (con costi e tempi maggiori). Se invece a seguito del trattamento dei dati non conforme alla legge si è subito un danno (non necessariamente economico, dunque anche consistente nel disagio arrecato dal fatto) il risarcimento può essere concesso solamente dal giudice civile. Il Risarcimento L'art. 15 del Dlgs. n. 196/2003 (Danni cagionati per effetto del trattamento di dati personali) dice che: Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile.