Aspetti generali della disciplina della privacy
Il testo di riferimento è il D. Lgs 196/2003 del 30 giugno 2003 “Codice delle disposizioni a tutela della protezione dei dati personali”, che sostituisce la L. 675/1996.
Art. 1. Diritto alla protezione dei dati personali
Chiunque ha diritto alla protezione dei dati personali che lo riguardano.
L’aspetto più importante della privacy è che quando si tratta un dato, qualsiasi dato (anche una e-mail, anchce un codice fiscale), comune o sensibile, va trattato con la massima attenzione. Quindi, se qualcuno ci spedisce una e-mail, va trattato il dato.
Art. 2. Finalità
La cosa che manca più spesso nell'informativa è la spiegazione, la finalità per cui tratto i dati (ad es. informazioni commerciali, redazione ed invio fattura, ecc.).
Per il Garante, non è possibile chiedere un consenso “omnibus”. In questi casi, il consenso è “viziato”.
Le finalità del trattamento devono essere indicate nell’informativa.
Il trattamento dei dati deve assicurare i seguenti requisiti: semplificazione, armonizzazione ed efficacia.
Art. 3. Principio di necessità nel trattamento dei dati
I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità.
Molto spesso, per raggiungere i nostri scopi, molti dati richiesti non sono necessari oppure non riconducibili al cliente. A volte è meglio scegliere di NON trattare quei dati, perchè ci comporterebbero tutte le procedure del caso (principio di necessità).
Art. 5. Oggetto ed ambito di applicazione
1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all'estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato.
Una delle domande più frequenti riguardo la privacy per chi mantiene un sito internet è: se ho un server o un sito che si appoggia all’estero, devo applicare la disciplina italiana? SI’, se l’azienda è italiana (per il principio di territorialità o del luogo di stabilimento). Questo aspetto riguarda anche forum e blog, se vengono pubblicati dati dei soggetti.
Art. 4. Definizioni
"trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati
In pratica riguarda utte le operazioni che si possono effettuare con i dati, anche la semplice consultazione.
"dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale
Quindi riguarda anche le persone giuridiche.
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale
Dato sensibile: attenzione alla profilazione: c’è la tendenza a chiedere un sacco di dati che poi sono superflui ai nostri fini, che possono essere rischiosi (es. se il soggetto è iscritto ad associazioni: possono far capire l’orientamento politico o sessuale).
"titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
Individuazione del titolare del trattamento: tuttora si fa confusione. Il titolare del trattamento è il soggetto che esercita un potere autonomo, quindi l’entità nel suo complesso (l’azienda), non il legale rappresentante.
E’ il primo dato che richiede l’informativa.
Cosa comporta essere titolare del trattamento dei dati? Prendere le decisioni aziendali in materia, cioè avere i seguenti poteri:
- Decisioni in ordine alle finalità, alle momdalità del trattamento dei dati e agli strumenti utilizzati;
- Adozione di decisioni
- Formulazione di atti con rilevanza esterna
- Individuazione compiti e responsabilità strutture
- Istruzione e vigilanza sui preposti.
Obblighi del titolare:
- Rispettare i principi generali del trattamento
- Fornire riscontro di richiesta di accesso dei dati e assicurare il completo esercizio dei diritti degli interessati
- Rendere l’informativa
- Richiedere il consenso ove richiesto
- Adottare le misure di sicurezza
- Notificare preventivamente i trattamenti effettuati
- Formulare istanze al Garante
- Vigilare sull’osservanza della legge da parte dei preposti (responsabile, incaricato)
"responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
Responsabile del trattamento: non è una figura obbligatoria. Obbligatori sono il titolare e l’incaricato, non il responsabile.
Se siamo una piccola azienda che tratta dati comuni, non c’è alcuna necessità del responsabile, che può invece servire se tratto dati sensibili “di grande impegno”. Es. un’azienda che cura lastre odontoiatriche, ma anche se ho molte vendite on line per una grande azienda.
Responsabilità del responsabile: il titolare è sempre responsabile, ma dal punto di vista penale rispondde, almeno in parte, anche il responsabile del trattamento. Il titolare ha la responsabilità dei soggetti che ha scelto: il responsabile del trattamento deve avere dei requisiti di competenza, anche di tipo informatico. Inoltre il titolare deve vigilare, ad esempio tramite un report mensile di verifica dell’attività effettuata (es. Cos’hai fatto questo mese? Ho installato un nuovo antivirus, ecc.)
La nomina deve essere per iscritto, sia del responsabile che dell’incaricato, anche se fosse un collaboratore, che farà riferimento ai dati che tratterà. Non è detto che tutti i dipendenti di un’azienda tratti tutti i tipi di dati dell’azienda: es. l’ufficio amministrativo può trattare tipi di dati diversi da altri uffici.
..