I nuovi problemi giuridici
L’utilizzazione sempre più diffusa dell’informatica nel corso degli anni
ha investito tutti gli ambiti della vita sociale. La raccolta, l’elaborazione
e la trasmissione dei dati e delle informazioni tramite elaboratore
elettronico sono attività ormai consolidate; questo fenomeno è
destinato ad accentuarsi. In questa situazione è facile comprendere
che come anche il diritto venga a trovarsi in una relazione con
l’informatica. Così una serie di problemi giuridici del tutto nuovi
necessitano di un adeguata soluzione.
Le Banche Dati e la raccolta di
informazioni
I moderni elaboratori elettronici consentono di raccogliere un numero
praticamente illimitato di dati ed informazioni. Tutti i dati e le
informazioni raccolte possono essere memorizzati dall’elaboratore in
archivi elettronici ai quali viene attribuito il nome di Banche Dati.
Quest’ultima può raccogliere informazioni di qualunque natura:
economica, medica,industriale,politica. Può così accadere che in essa
vengano memorizzati anche dati concernenti aspetti della persona che
dovrebbero restare riservati.
Che cos’è una Banca Dati?
►
Banca Dati: qualsiasi complesso di dati personali, ripartito in una o
più unità dislocate, in uno o più siti, organizzato secondo una pluralità
di criteri determinati, tali da facilitarne il trattamento.
Che cos’è il Trattamento?
►
Trattamento: qualunque operazione o complesso di operazioni, svolti con o
senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la
raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la
modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il
blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.
Ricerche incrociate di Dati
I dati personali possono essere raccolti da Banche Dati, tra di loro
diverse, ma collegate o collegabili, il che rende possibile anche ricerche
incrociate. Collegando tra loro molte Banche Dati, si potrebbe ottenere
un quadro piuttosto completo della personalità di una certa persona,
ed una buona conoscenza di aspetti della sua vita che essa
presumibilmente preferirebbe tenere riservati.
Che cos’è un Dato Personale?
►
Dato Personale: qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o identificabili,
anche indirettamente, mediante riferimento a qualsiasi altra
informazione, ivi compreso un numero di identificazione personale
La tutela rispetto al trattamento dei
dati personali
Con l’uso sempre più intenso e diffuso delle banche
elettroniche di dati personali, il diritto alla riservatezza
corre maggiori rischi di essere frequentemente leso, con
conseguenze gravi, e in tutti i Paesi è sorto il problema di
identificare e disciplinare mezzi efficaci di tutela della
Privacy delle persone rispetto al trattamento di dati.
Che cos’è la Privacy?
►
Privacy è termine inglese traducibile all'incirca con riservatezza, è il
diritto alla riservatezza delle informazioni personali e della propria vita
privata: the right to be let alone (lett. "il diritto di essere lasciati in
pace").
Legislazione sulla Privacy
La legislazione sulla Privacy in Italia è attualmente contenuta nella
Costituzione (articoli 15 e 21), nel Codice Penale (Capo III – Sezione
IV) e parzialmente nel Decreto legislativo 30 giugno 2003, n. 196
intitolato Codice in materia di protezione dei dati personali.
Sull’applicazione della normativa vigila L’Autorità Garante per la
protezione dei dati personali.
L’evoluzione della normativa
Legge n. 675/1996
Inizialmente venne introdotta la legge n. 675/1996 (tutela
delle persone e di altri soggetti rispetto al trattamento dei
dati personali) per rispettare gli accordi di Schengen e per
dare attuazione alla direttiva 46/95 del Parlamento Europeo
e del Consiglio relativa alla tutela dei dati personali, nonché
alla libera circolazione di tali dati.
L’evoluzione della normativa
Dlgs. n. 196/2003
Con il tempo a tale norma si sono affiancate ulteriori leggi, riguardanti
singoli specifici aspetti del trattamento dei dati. La complessità della
situazione ha reso indispensabile provvedere all’emanazione di un
Testo Unico, il Decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali) che ha riordinato la normativa,
abrogando la Legge n. 675/1996. Il Testo Unico Vigente è entrato in
vigore il 1° gennaio 2004.
Le finalità della legge
La legge nelle sue finalità intende garantire che il trattamento dei dati
personali si svolga nel rispetto dei diritti, delle libertà fondamentali,
nonché nella dignità delle persone fisiche, con particolare riferimento
alla riservatezza e all’identità personale, garantisce altresì i diritti delle
persone giuridiche e di ogni altro ente o associazione.
I dati personali oggetti di
trattamento
Devono essere:





Trattati in modo lecito e secondo correttezza;
Raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in
altre operazioni del trattamento in termini non incompatibili con tali scopi;
Esatti e, se necessario, aggiornati;
Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati;
Conservati in una forma che consenta l’identificazione dell’interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i quali essi
sono stati raccolti o successivamente trattati.
Chi è l’Interessato?
►
Interessato: è la persona fisica, la persona giuridica,
l’ente o l’associazione cui si riferiscono i dati personali.
L’interessato
Deve essere informato preventivamente per iscritto circa:



Le finalità e le modalità del trattamento cui sono destinati i dati;
La natura obbligatoria o facoltativa del conferimento dei dati;
I soggetti o le categorie di soggetti ai quali i dati possono essere
comunicati e l’ambito di diffusione dei dati medesimi
Il Consenso
Il trattamento di dati personali da parte di privati o di enti pubblici
economici è ammesso solo con il consenso espresso dall’interessato. Il
consenso può riguardare l’intero trattamento, ovvero una o più
operazioni dello stesso. Il consenso è validamente prestato solo se è
espresso liberamente, in forma specifica e documenta per iscritto, e se
sono state rese all’interessato le informazioni elencate in precedenza
Casi in cui non è richiesto il consenso
dell’Interessato
Ciò accade quando il trattamento:





Riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
È necessario per l’esecuzione di obblighi derivanti da un contratto dal quale è parte
l’interessato o per l’acquisizione di informative precontrattuali attivate su richiesta di
quest’ultimo, o per l’adempimento di obbligo legale;
Riguarda dati provenienti da pubblici registri, elenchi, atti, o documenti conoscibili da
chiunque;
È finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratti di dati
anonimi;
È effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento
delle relative finalità nel rispetto del codice di deontologia;
Altri casi in cui non è richiesto il
consenso dell’Interessato
Riguarda dati relativi allo svolgimento di attività economiche raccolti nel
rispetto della vigente normativa in materia di segreto aziendale e industriale;
 È necessario per la salvaguardia della vita o dell’incolumità fisica
dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il
proprio consenso per impossibilità fisica, per incapacità di agire o per
incapacità di intendere e di volere;
 È necessario ai fini dello svolgimento delle investigazioni secondo le norme di
attuazione, di coordinamento e transitorie del codice di procedura penale,
oppure per far valere o difendere un diritto in sede giudiziaria.

Diritti dell’Interessato
L’interessato a cui si riferiscono i dati personali a diritto di:



Conoscere l’esistenza di dati che possono riguardarlo;
Di ottenere l’aggiornamento e la rettifica dei dati raccolti;
Di opporsi per motivi legittimi al trattamento dei dati personali, anche
se pertinenti allo scopo della raccolta.
Diritto alla Riservatezza
Il diritto alla riservatezza, non riguarda solamente
informazioni interenti la propria vita privata, ma si estende
in generale a qualunque informazione relativa ad una
persona, anche se non coperta da riserbo (ad esempio il
nome o l’indirizzo della propria abitazione)
Diritto di Accesso
ll soggetto cui si riferiscono i dati ha il diritto di accesso alle
informazioni che lo riguardino da altri detenute. Tale diritto gli è
riconosciuto dall'art. 7 del dlgs. 196/03 e comprende la facoltà di
conoscere: quali dati vengono trattati, come e con quali fini avviene il
trattamento, l'autore del trattamento, i soggetti a cui questi dati
possono essere comunicati.
I Dati corrispondono al vero?
In ragione del diritto d'accesso l'interessato può poi chiedere che i dati
da altri detenuti corrispondano al vero, pretendendone l'aggiornamento
o la cancellazione a seconda dei casi. Se poi i dati sono trattati in
maniera difforme dalla legge, l'interessato può chiedere la cancellazione
degli stessi o il blocco del trattamento.
Documento programmatico sulla
sicurezza
L'adozione di un documento programmatico sulla sicurezza (DPS) è un obbligo
previsto dal Dlgs. 196/2003. L'obbligo esiste per tutte le aziende, liberi professionisti, enti o
associazioni che trattano i dati personali, anche sensibili con strumenti elettronici. Il
documento va predisposto ed aggiornato annualmente entro il 31 marzo successivo, affinché
si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati
personali e deve soddisfare anche determinati obblighi di legge, se previsti (se ne deve dare
comunicazione nella relazione allegata al Bilancio d'esercizio).
I contenuti del DPS
I contenuti del documento sono elencati al punto 19 del Disciplinare Tecnico in
materia di misure minime di sicurezza e sono:
1.
Elenco di trattamenti di dati personali (regola 19.1),
2.
Distribuzione dei compiti e delle responsabilità (regola 19.2),
3.
Analisi dei rischi che incombono sui dati (regola 19.3) ,
4.
Le misure da adottare per garantire l’integrità e la disponibilità dei dati (regola 19.4),
5.
Criteri e modalità di ripristino della responsabilità dei dati (regola 19.5),
6.
Pianificazione degli interventi formativi previsti (regola 19.6),
7.
Trattamenti affidati all’esterno (regola 19.7) ,
8.
Cifratura dei dati o separazione dei dati identificativi (regola 19.8).
Tabelle del DPS
Per ciascuna regola sono riportate una o più tabelle. Per ciascuna
tabella può essere indicata facoltativamente anche la data di
compilazione, che può rivelarsi utile qualora la tabella sia compilata in
data significativamente diversa (antecedente) rispetto alla redazione
finale del DPS.
Tabella 1.1 - Elenco dei trattamenti:
informazioni essenziali
Tabella 1.2 - Elenco dei trattamenti: ulteriori
elementi per descrivere gli strumenti
Tabella 2 – Competenze e responsabilità delle
strutture preposte ai trattamenti
Tabella 3.1 – Analisi dei rischi
Tabella 3.2 – Analisi dei rischi
Tabella 3.3 – Analisi dei rischi
Tabella 4.1 – Le misure di sicurezza adottate o
da adottare
Tabella 4.2 – Scheda descrittiva delle misure
adottate
Tabella 5.1 – Criteri e procedure per il
ripristino della disponibilità dei dati
Ripristino
Tabella 5.2 – Criteri e procedure per il
salvataggio dei dati
Salvataggio
Tabella 6 – Pianificazione degli interventi
formativi previsti
Tabella 7 – Trattamenti affidati all’esterno
Tabella 8 – Cifratura dei dati o separazione dei dati
identificativi (solo per organismi sanitari ed esercenti professioni sanitarie)
Tutela dei diritti
Chi sia leso nei diritti sui propri dati riconosciuti dal dlgs. 196/03 (raccolta dei dati
senza il consenso, consenso acquisito senza fornire la preventiva informativa di
legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione
al diritto di accesso) può ricorrere al Garante per la protezione dei dati
personali (con una procedura piuttosto rapida e costi contenuti) o al giudice civile
(con costi e tempi maggiori). Se invece a seguito del trattamento dei dati
non conforme alla legge si è subito un danno (non necessariamente economico,
dunque anche consistente nel disagio arrecato dal fatto) il risarcimento può
essere concesso solamente dal giudice civile.
Il Risarcimento
L'art. 15 del Dlgs. n. 196/2003 (Danni cagionati per effetto del trattamento di
dati personali) dice che:

Chiunque cagiona danno ad altri per effetto del trattamento di dati
personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice
civile.