privacy

INFORMAZIONI SULLA PRIVACY

Oggi la Privacy non significa soltanto essere lasciati in pace o proteggere la sfera privata, ma anche il diritto di controllare l’uso e la circolazione dei propri dati personali, che costituiscono il bene primario dell’attuale società dell’informazione. Il diritto alla privacy ed in particolare alla protezione dei dati personali costituisce un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana come sancito anche dalla carta dei diritti fondamentali dell’Unione Europea.

E’ stato pubblicato sulla Gazzetta Ufficiale il 29 luglio 2003 il nuovo codice in materia di dati personali. Il provvedimento riunisce in un unico testo la legge 675/96 e altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni e contiene anche importanti innovazioni tenendo conto della giurisprudenza del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Il nuovo Codice entra in vigore il 1° gennaio 2004 e sostituisce la Legge 675/96 e molte disposizioni di legge e regolamenti.

La Legge sulla Privacy si applica ad ogni trattamento di informazioni relativi alle persone, anche a prescindere dall’esistenza di archivi o banche dati indipendentemente dal fatto che siano effettuati con l’ausilio di strumenti elettronici o comunque automatizzati.

La legge non si applica ai trattamenti esclusivamente personali con ad esempio la propria agenda elettronica, rubrica o la propria posta elettronica personale.

COME CI SI METTE IN REGOLA

Il nuovo Testo Unico prevede una serie di adempimenti da adottare da chi effettua trattamento di dati:

- nomina le figure richieste dalla legge (Titolare, Responsabile e incaricato) con una lettera di incarico che specifica per ognuno compiti e funzioni;

- pianificazione della formazione per il personale incaricato del trattamento dei dati personali;

- analisi dei dati e le banche dati che vengono trattate;

- assegnazione di criteri e permessi di accesso ai dati personali;

- protezione degli elaboratori contro il rischio di intrusione dei virus;

- adozione di misure fisiche di protezione (allarmi, stabilizzatori di corrente, armadi chiusi a chiave ed ignifughi, accesso selezionato ai locali..);

- elenco delle procedure da seguire e soprattutto redigere il Documento Programmatico sulla Sicurezza (DPSS).

DATI PERSONALI E DATI SENSIBILI

I dati personali sono informazioni relativi a persone società enti associazione identificati o che possono essere identificati anche attraverso altre informazioni, come ad esempio un numero o un codice identificativo.

I dati sensibili sono dati volti ad individuare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti o sindacati nonché dati idonei a rivelare lo stato di salute e la vita sessuale.

INTERESSATO E SUOI DIRITTI

L’interessato è la persona fisica società o ente a cui si riferiscono i dati e ad esso il nuovo Testo Unico riconosce una serie di diritti per quanto riguarda il trattamento dei propri dati:

- di avere informazioni sui dati trattati

- il diritto di conoscenza dei propri dati in archivio

- ad ottenere la cancellazione e/o blocco all’utilizzo dei dati

- di aggiornare correggere o integrare i propri dati

- di opporsi agli illeciti utilizzi dei propri dati

CONSENSO

Il consenso è la libera manifestazione di volontà dell’interessato con cui questo accetta espressamente un determinato trattamento dei suoi dati personali, sul quale è stato preventivamente informato da chi li gestisce. E’ sufficiente che il consenso sia documentato in forma scritta quando riguarda dati personali non sensibili (ossia annotato trascritto riportato dal titolare, dal responsabile o dagli incaricati al trattamento, su un atto). Quando invece si tratta di dati sensibili il consenso deve essere manifestato per iscritto dall’interessato, ossia con la sua sottoscrizione.

Il consenso per il trattamento dei dati non sensibili non è necessario nei casi in cui:

- i dati sono raccolti o conservati perché così prescrive la legge, un regolamento o una norma comunitaria

- il trattamento dei dati è necessario per adempiere ad obblighi contrattuali

- i dati sono ricavati da pubblici registri atti o documenti che chiunque può conoscere

- il trattamento ha scopi scientifici o statistici e rispetta il relativo codice di deontologia

- il trattamento è effettuato per scopi giornalistici

- i dati riguardano lo svolgimento di attività economiche e non si violano eventuali segreti aziendali o industriali

- occorre salvaguardare l’incolumità fisica o la vita dell’interessato che non è in grado di dare il consenso

- il trattamento è necessario per far valere o difendere un diritto in sede giudiziaria

I soggetti pubblici non devono raccogliere il consenso degli interessati in quanto la legge consente loro di effettuare il trattamento soltanto per lo svolgimento di compiti istituzionali.

INFORMATIVA

L’informativa raccoglie una serie di informazioni che il Titolare del trattamento deve dare all’interessato verbalmente o per iscritto quando i dati sono raccolti presso l’interessato o presso terzi e deve contenere:

- gli scopi e le modalità del trattamento

- se l’interessato è obbligato o no a fornire i dati

- quali sono le conseguenze se i dati non vengono forniti

- a chi possono essere comunicati o diffusi i dati

- quali sono i diritti riconosciuti all’interessato

- chi sono il Titolare, il responsabile e gli incaricati al trattamento nominalmente

Si può fare a meno dell’informativa quando:

- le informazioni sono già state fornite all’interessato

- le informazioni possono ostacolare le attività di ispezione o controllo per la prevenzione o repressione dei reati

- i dati non sono stati raccolti presso l’interessato e non sia possibile inviare l’informativa

- il trattamento previsto da norme di legge o di regolamento sia necessario per la difesa dei propri diritti in sede giudiziaria

TITOLARE, RESPONSABILE E INCARICATO

Il Titolare del trattamento è la persona, società o ente a cui fa capo effettivamente il trattamento di dati personali al quale spetta assumere decisioni fondamentali sugli scopi e le modalità di trattamento. Nel caso in cui il trattamento sia svolto da società o ente, il titolare è l’entità nel suo complesso e non l’individuo o l’organo che l’amministra o la rappresenta.

Il Responsabile è la persona, società od ente che è designato dal titolare per gestire e controllare il trattamento dei dati.

Gli Incaricati sono le persone fisiche autorizzate dal Titolare o dal Responsabile a compiere il trattamento dei dati.

NOTIFICA AL GARANTE

La notifica è una comunicazione che il Titolare deve effettuare una tantum, utilizzando un apposito modello da inviare per via telematica al Garante, in cui vengono descritte le principali caratteristiche del trattamento e cioè la descrizione degli archivi e delle banche dati; deve essere effettuata prima dell’inizio del trattamento e non va ripetuta se non ci sono modifiche.

In origine con la Legge 675/96 venivano indicati solo pochi casi in cui non si doveva fare la notifica mentre con il nuovo Testo Unico la disposizione è rovesciata e vengono indicati solo i pochi casi nei quali la notifica va effettuata. Il Titolare del trattamento di dati deve preventivamente notificarsi al Garante seguendo determinate modalità nei casi di trattamento di dati sensibili (specialmente dati sanitari), nonché nei casi di trattamenti dati in relazione a procedure di ricerche di personale per conto terzi, ricerche di marketing nonché in ipotesi di gestione di informazioni commerciali e informazioni relative alla solvibilità o capacità patrimoniale.

MISURE MINIME DI SICUREZZA

Le misure minime di sicurezza sono i dispositivi e gli accorgimenti da adottare per garantire che, i dati non vadano distrutti o persi, non siano effettuati trattamenti contrari alle norme di legge o diversi da quelli per cui i dati erano stati raccolti ed inoltre che solo le persone autorizzate possano averne accesso.

Nel Disciplinare Tecnico in materia di misure minime di sicurezza sono fissati criteri ed accorgimenti che i Titolari devono adottare a seconda che il trattamento riguardi dati sensibili o non e se effettuato manualmente o con elaboratori.

Il trattamento dei dati con elaboratori è consentito agli incaricati dotati di credenziali di autenticazione che permettono l’identificazione dell’interessato e vengono associate ad una parola chiave conosciuta solo dal medesimo incaricato. La parola chiave deve essere composta da almeno otto caratteri, non deve contenere riferimenti facilmente riconducibili all’incaricato e deve essere modificata ogni sei mesi. Devono inoltre essere impartite istruzioni all’incaricato per non lasciare incustodito lo strumento elettronico durante la sua assenza.

DOCUMENTO PROGRAMMATICO SULLA SICUREZZA (DPSS)

Entro il 31 marzo di ogni anno il Titolare del trattamento di dati sensibili e non, deve redigere il Documento Programmatico sulla Sicurezza contenente:

- l’elenco dei trattamenti di dati personali

- la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento

- l’analisi dei rischi che incombono sui dati

- le misure da adottare per garantire l’integrità e la disponibilità dei dati

- la descrizione delle modalità di ripristino dei dati in caso di distruzione o smarrimento

- la previsione degli interventi formativi degli incaricati per renderli edotti sui rischi che incombono sui dati e le misure di sicurezza da adottare

SANZIONI

Le sanzioni previste in caso di mancata osservanza delle norme del nuovo Testo Unico sulla Privacy irrogabili dal Garante sul semplice ricorso dell’interessato, sono:

- sanzione pecuniaria da 3.000,00 a 50.000,00 euro

- sanzione penale con la reclusione fino a tre anni

- Risarcimento del danno cagionato ex. Art. 2050 C.C.