Stampa questa pagina

Dott. Antonio Guzzo

Gli obblighi di sicurezza nei termini giuridici in ambiente privacy e sicurezza cosi come statuiti dal Testo Unico sulla Privacy: i presupposti di legittimità e trattamento

managementPrima di passare ad esaminare questi concetti è necessario analizzare il problema privacy che rischia di essere messo in pericolo quando c’è un contatto con il concetto di dato sia esso personale, comune, sensibile e giudiziario. In tale contesto è necessario individuare gli elementi di base che sono i rapporti tra il titolare e l’interessato. Come esempio può essere portato quello della richiesta di accesso alle liste elettorali di un ente locale da parte di un’azienda che effettua ricerche di mercato.

Esaminiamo ora i presupposti di legittimità e trattamento cosi come sono definiti nel testo unico sulla privacy. Qual è il presupposto di legittimità di tale trattamento ad esempio nel caso delle liste elettorali? La privacy nella moderna concezione è un diritto alla concezione autodeterminativa, cioè un soggetto può trattare il mio dato solo se io glielo autorizzo per cui è necessario ed obbligatorio il consenso al trattamento del dato. Esistono anche dei casi in cui il trattamento è inutile ed è implicito (es. iscrizione di uno studente all’università). Nella nuova disciplina la legittimità segue il principio del doppio binario, cioè si va a vedere se si tratta di un ente pubblico (economico, non economico) o di un privato (azienda, libero professionista, etc). Se abbiamo un ente pubblico non economico applichiamo gli artt. 18 e seguenti del Dlgs. 196/2003, se invece abbiamo un privato o un ente pubblico economico applichiamo gli artt. 23 e seguenti. La domanda che ora risponderemo è capire quali sono i presupposti di legittimità sia in un ente pubblico economico sia in un ente pubblico non economico e un privato nel trattare il dato. Le regole relative a tutti questi soggetti si differenzieranno tra di loro da un punto di vista normativo. L’ente pubblico non economico non deve richiedere il consenso da parte dell’interessato e sotto il profilo formale la norma dice che l’ente pubblico non deve richiedere il consenso (art.18) che testualmente recita:

“Art. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici)

1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.

2. Qualunque trattamento di dati personali da parte di soggetti pubblici e' consentito soltanto per lo svolgimento delle funzioni istituzionali.

3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonchè dalla legge e dai regolamenti.

4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato.

5. Si osservano le disposizioni di cui all'articolo 25 in tema di comunicazione e diffusione.”

Ciò non significa che l’ente pubblico non economico può fare quello che vuole, in quanto lo può fare solo per finalità istituzionali consentite dalla legge. Esiste però un’eccezione che è quella delle professioni sanitarie in quanto in questi casi l’ente pubblico non economico deve richiedere il consenso secondo le modalità indicate nella parte speciale del codice che individua modalità semplificate di consenso e modalità semplificate di informativa. Diventa diverso il principio del trattamento dei dati quando quest’ultimo riguarda la comunicazione e la diffusione. L’ente pubblico può comunicare o diffondere i propri dati solo per esigenze di legge espressamente previste dal legislatore o da regolamenti attuativi. Prendiamo ad esempio il caso in cui un dato deve essere comunicato ad un ente pubblico non economico (es, richiesta al trattamento di dati tra due enti diversi). Nel caso in cui la comunicazione debba essere fatta da un privato o da un ente pubblico economico, tale comunicazione deve essere rigorosamente disciplinata da una norma di legge. Il discorso si complica quanto gli enti pubblici non economici devono trattare dati sensibili e giudiziari. Tutte queste informazioni possono essere trattate da un ente pubblico non economico ma esiste un obbligo aggiuntivo che è quello di trattare questi dati sensibili solo quando si è in presenza di una norma di legge che disciplina il trattamento di questi dati secondo finalità istituzionali e di rilevante interesse pubblico. Da ciò si evince che in materia di privacy non esiste il buon senso ma si ha l’obbligo giuridico di rispettare il dettame normativo. Esiste però una deroga nell’art. 20 che ci dice che quando la legge non prevede il trattamento di tali dati, esiste la possibilità di dotarsi di un apposito regolamento predisposto su indicazione del Garante sulla privacy (il cosiddetto regolamento sui dati sensibili e giudiziari).Tale articolo testualmente recita:

“Art. 20 (Principi applicabili al trattamento di dati sensibili)

1. Il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di' dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.

2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento e' consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.

3. Se il trattamento non e' previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento e' consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.

4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 e' aggiornata e integrata periodicamente.”

Negli enti Locali (nei comuni) viene adottato con Delibera di Consiglio Comunale un regolamento appositamente deliberato che è il regolamento sui dati sensibili e giudiziari. Principi simili valgono per i dati giudiziari. In generale esiste un obbligo particolare sull’utilizzo dei dati sensibili e possono essere trattati solo per finalità istituzionali e deve essere indispensabile. Questi dati presenti in banche dati sono assoggettati a particolari tecniche di cifratura e di crittografia (specialmente per quanto riguarda la vita sessuale e lo stato di salute). Tali dati non possono essere assolutamente diffusi. Si vedano a tal proposito i seguenti articoli che testualmente cosi recitano:

“Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari)

1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato.

2. Nel fornire l'informativa di cui all'articolo 13 soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale e' effettuato il trattamento dei dati sensibili e giudiziari.

3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.

4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato.

5. In applicazione dell'articolo 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonchè la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.

6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi e' autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.

7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.

8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.

9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento e' consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.

10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psicoattitudinali volti a definire il profilo o la personalità dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonchè i trattamenti di dati sensibili e giudiziari ai sensi dell'articolo 14, sono effettuati solo previa annotazione scritta dei motivi.

11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonchè la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge.

12. Le disposizioni di cui al presente articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale.”

Esaminiamo ora il caso di azienda privata. La regola dovrebbe essere quello del consenso al trattamento del dato, cioè risulta necessario dare l’autorizzazione al trattamento del dato comune e quindi darne il consenso ovverosia consiste in una volontà del soggetto non tacita che deve essere documentata per iscritto. Per quanto riguarda i dati comuni il consenso deve essere espresso anche oralmente. Attualmente le aziende non documentano per iscritto il consenso al trattamento del dato e questa è una cattiva abitudine che non è in linea con i principi normativi del codice. Il consenso deve essere espresso, libero e specifico solo per quella attività che il titolare intende svolgere e che è stata resa nota all’interessato. Infatti il consenso deve essere informato cioè nella dottrina giuridica chi esprime un consenso e compie un atto di volontà negoziale o non negoziale devo farlo sulla base di informazioni che gli consentono di determinare gli effetti giuridici di quel consenso. A tal proposito nel codice viene introdotta l’utilizzo della cosiddetta informativa esplicitata nell’articolo 13 che testualmente recita:

“Art. 13 (Informativa)

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:  a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili e' indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali e' conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e' stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, e' indicato tale responsabile.

2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.

3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.

4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, e' data al medesimo interessato all'atto della registrazione dei dati o, quando e' prevista la loro comunicazione, non oltre la prima comunicazione.

5. La disposizione di cui al comma 4 non si applica quando:

 a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

 b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate. dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.”

Il consenso deve essere quindi anche informato e lo stesso vale anche per il trattamento (es. il caso dei biglietti aerei). L’informativa (che nella legge 675/96 era trattata nell’articolo 10) che è un insieme di informazioni che devono essere raccolte prima del trattamento del dato viene applicata a tutti i soggetti sia pubblici che privati. Queste informazioni ad es. il caso del pernottamento in albergo sono inviate al Ministero degli Interni mentre il titolare non ne sa veramente nulla ed è ignaro che tali dati saranno archiviati nelle banche dati ministeriali e qualunque forza di polizia potrà avere accesso a questi dati.

Passiamo ora ad esaminare i diritti previsti dall’art. 7 che sono l’accesso, la modifica e l’opposizione al trattamento di dati. Il diritto di accesso è la possibilità di chiedere a chiunque quali dati stia trattando e per quali finalità. Ad esempio il caso di rate non pagate di un finanziamento e quindi l’iscrizione alla CRIFF. Per ciò che riguarda l’informativa bisogna sempre dare il consenso a quanto previsto dall’art. 7 e cioè il diritto di accesso, di modifica e di opposizione. Il diritto di modifica consiste nella possibilità data all’interessato di modificare quel dato da lui trattato. Infine viene analizzato il diritto di opposizione cioè tutte le volte che esiste un motivo legittimo è possibile opporsi a quel particolare trattamento. Da ricordare che se il trattamento riguarda fini commerciali e pubblicitari ci si può sempre opporre al trattamento di questi dati.  Stabilire chi è il titolare diventa particolarmente importante soprattutto nella pubblica amministrazione. Sono previste delle modalità particolari per l’utilizzo dell’informativa (si vedano dagli art. 18 all’art. 26).

Letto 2810 volte