Codice Privacy e tutela dei dati personali

Il D.Lgs 196/2003. Il codice privacy.

• Il Decreto legislativo 30 giugno 2003, n. 196, entrato in vigore il 1°gennaio 2004, ha raccolto in un unico provvedimento legislativo, il “Codice” sulla Privacy, tutte le preesistenti norme in materia, apportando numerose integrazioni e modificazioni, anche per assicurare una migliore e più chiara applicazione della normativa.
• Il nuovo Codice non modifica in modo sostanziale la disciplina anteriore, introducendo, tuttavia, elementi di chiarezza e semplificazione.
• Il Codice è diviso in tre parti:
le disposizioni generali;
una parte speciale relativa a specifici settori (giudiziario, sanitario, storico/statistico/scientifico, lavoro e previdenza, ecc.);
la tutela dell'Interessato e le sanzioni.

L’ambito di applicazione del Codice.

Il Codice in materia di protezione dei dati personali è finalizzato a garantire “che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali” (art. 2, comma 1).
Il Codice in esame mira a tutelare tutti i soggetti dell’ordinamento, siano essi persone fisiche o giuridiche. Per rendere ancora più incisiva la sua azione esso estende il suo ambito applicativo, non solo ai trattamenti elettronici di dati, bensì anche a quelli cartacei o manuali (art. 5 comma 2).
Sotto il profilo oggettivo, la normativa in esame si applica anche ai trattamenti di dati effettuati al di fuori del territorio della Repubblica purché anche solo una operazione del trattamento sia effettuata in Italia o, comunque, qualora le operazioni del trattamenti eseguite esclusivamente all’estero, anche qualora l’unico legame con il territorio della Repubblica italiana sia rappresentato dalla sede o dalla residenza del titolare del trattamento (art. 5 comma 1) o di uno dei mezzi attraverso i quali dette operazioni vengono effettuate.

Definizioni e principi.

L’Art. 4 del Codice definisce il “trattamento” come “qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”. Tra le operazioni del trattamenti occorre altresì distinguere, la “comunicazione” e la “diffusione”. La prima consiste nel “dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Dati personali - Dati sensibili

Laddove il Codice si riferisce al “dato personale”, esso intende “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Per “dati sensibili” il Codice intende, invece, dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche e l’adesione a partiti o sindacati, lo stato di salute e le abitudini sessuali.

Definizioni e principi

Il “titolare del trattamento” è definito come “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della
sicurezza”. (art. 4, comma 1, lett. f). Il “responsabile del trattamento”, è “la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”. (art. 4, comma 1, lett. g). L’incaricato del trattamento, è colui che compie le operazioni del trattamento e, per tale motivo, può essere solo una persona fisica (art. 4 comma 1 lett. h)). L’interessato: la persona fisica, la persona giuridica, l'ente o l'associazione cui si rifersicono i dati personali.

L’art. 2 del Codice disciplina il principio di necessità che, unitamente al principio di finalità e di proporzionalità
, plasma l’intera normativa in materia di protezione dei dati personali. Tali connotati sono finalizzati a consentire il trattamento dei dati solo
qualora sia necessario per adempiere alle finalità per le quali i dati erano stati raccolti, nei limiti dei dati all’uopo necessari e delle operazioni strettamente indispensabili per gli scopi medesimi.

I dati personali devono essere:
• trattati in modo lecito e corretto;
• raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;
• esatti e, se necessario, aggiornati;
• pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;
• conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti.

Il consenso degli interessati (art. 23 del Codice)

I soggetti interessati o la persona presso la quale sono raccolti i dati devono essere obbligatoriamente e preventivamente informati circa:
• le finalità e le modalità del trattamento;
• l’obbligo o la facoltà di conferire i dati;
• le conseguenze giuridiche del rifiuto a rispondere;
• i soggetti a cui i dati possono essere comunicati;
• l’ambito di diffusione dei dati;
• i diritti spettanti;
• l’indicazione del titolare e del responsabile del trattamento.
• Il trattamento di dati personali è ammesso soltanto con il consenso espresso dell’interessato
• Il consenso è validamente prestato soltanto se è espresso liberamente e documentato per iscritto
• Il consenso è valido soltanto se è stata resa l’informativa
•Il consenso “scritto” è necessario se il trattamento riguarda dati sensibili

Il consenso dell’interessato non è richiesto quando il trattamento:
• riguarda dati detenuti in base a leggi, regolamenti o disposizioni comunitarie;
• è necessario per l’esecuzione di un contratto di cui è parte l’interessato;
• riguarda dati provenienti da pubblici registri, elenchi o documenti;
• con esclusione della diffusione, è necessario ai fini dello svolgimento delle investigazioni difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale;
• è finalizzato a scopi di ricerca scientifica o statistica
• è effettuato nell’ambito della professione di giornalista;
• riguarda dati relativi allo svolgimento di attività economiche;
• è necessario per la salvaguardia della incolumità o della vita dell’interessato o di un terzo.

La sicurezza dei dati

I dati personali oggetto del trattamento devono essere custoditi in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, nonché di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità di raccolta.
A tale scopo devono essere predisposte tutte le idonee misure di sicurezza in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati ed alle specifiche
caratteristiche del trattamento.