Titolo

Una legge a tutela della riservatezza



Il “Codice in materia di protezione dei dati personali” (detto anche codice della privacy) è stato introdotto nel nostro ordinamento con l’approvazione del d. lgs. n. 196 del 2003, che ha abrogato la precedente legge n. 675 del 1996, al fine di garantire una maggiore uniformità di regole nel settore per tutto il territorio dell’Unione Europea nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità delle persone fisiche con particolare riferimento alla riservatezza e all’identità personale. Analoga forma di tutela è approntata anche relativamente ai diritti delle persone giuridiche. 
Il Codice della privacy si applica al trattamento dei dati personali, anche se detenuti all’estero, da chiunque effettuato nel territorio dello Stato, con o senza mezzi elettronici, o comunque automatizzati. 
Per “trattamento” dei dati deve intendersi qualunque operazione (che sia svolta o meno con l’ausilio di strumenti elettronici) che riguardi la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, il blocco, la modificazione, l’utilizzo, l’interconnessione, la comunicazione, la diffusione, la cancellazione, la distruzione, la selezione, l’estrazione e il raffronto di informazioni relative ad una persona fisica o giuridica (definita “interessato”). 
Per “dati personali” devono intendersi, invece, quelle informazioni relative a persone fisiche o giuridiche, oppure ad enti o associazioni, che consentano l’identificazione diretta o indiretta degli stessi. Rientrano nella categoria di dati personali, oltre ai dati anagrafici ed economici, anche le immagini, i suoni e i codici identificativi riconducibili ad un individuo. 
Un’ulteriore distinzione è quella tra dati personali, di cui si è detto e “dati sensibili” che stanno con i primi in un rapporto di specie a genere. Si definiscono infatti sensibili tutti quei dati idonei a rivelare l’origine razziale ed etnica, le opinioni politiche, filosofiche, religiose, l’iscrizione a partiti, sindacati, associazioni religiose, abitudini sessuali, e lo stato di salute. Per questi dati, appartenenti alla sfera personalissima dei singoli, la legge prevede una tutela rafforzata: infatti possono essere trattati solo dietro consenso scritto dell’interessato e con l’autorizzazione dell’Autorità Garante per la privacy. Per i soggetti pubblici il trattamento è consentito solo ed esclusivamente se è autorizzato da una legge che specifichi quali sono i dati trattabili e le operazioni eseguibili limitatamente nell’ambito di svolgimento di funzioni istituzionali (vedi anche il capitolo X). 
L’ambito di applicazione del decreto è esteso anche al trattamento dei succitati tipi di dati effettuato da chiunque sia stabilito in un qualunque Stato, anche extraeuropeo, che impieghi per il trattamento stesso mezzi (anche diversi da quelli elettronici o automatizzati) situati nel territorio dello Stato italiano, salvo che essi siano utilizzati ai soli fini di transito nell’Unione Europea. In questi casi deve essere nominato un rappresentante ad hoc stabilito nel territorio dello Stato italiano.
Per quanto concerne il trattamento, vengono in particolare individuate due figure sulle quali gravano precisi obblighi che si vedranno appresso: il titolare ed il responsabile. Al primo (persona fisica o giuridica) competono le decisioni circa le finalità e le modalità del trattamento dei dati personali, ivi comprese le decisioni inerenti la sicurezza dei dati. Il secondo è costituito dalla persona fisica o giuridica preposta dal titolare al trattamento di dati personali. Le altre figure coinvolte sono: l’incaricato, l’interessato e, se del caso, il rappresentante stabilito nel territorio dello Stato. 
Il titolare che intenda procedere ad un trattamento di dati personali, rientranti tra quelli previsti dall’art 37 del Codice della privacy, deve darne comunicazione, mediante notificazione, all’Autorità Garante per la protezione dei dati personali. Il Garante è un’autorità pubblica che opera in piena autonomia e con indipendenza di giudizio e di valutazione e che ha specifiche funzioni di controllo e vigilanza in materia di tutela dei dati personali. 
In seguito all’introduzione del d. lgs. n. 196 del 2003, l’adempimento della notificazione, prima obbligo generalizzato, sarà in futuro limitato ai soli casi previsti da un emanando regolamento. Il trattamento dei dati sensibili deve essere invece preceduto da un’autorizzazione che, a differenza della notificazione, deve essere concessa di volta in volta, intendendosi rifiutata ove la domanda risulti inevasa dopo quarantacinque giorni (silenzio-rifiuto). 
I dati personali devono essere: 
a) trattati in modo lecito e corretto; 
b) raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; 
c) esatti e, se necessario, aggiornati; 
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati; 
e) conservati in una forma che consenta l’identificazione dell’interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati. 
Il soggetto interessato, o la persona presso la quale sono raccolti i dati personali devono essere preventivamente informati per iscritto, circa: 
• le finalità e le modalità del trattamento; 
• l’obbligo o la facoltà di conferire i dati; 
• le conseguenze giuridiche del rifiuto a rispondere; 
• i soggetti a cui i dati possono essere comunicati; 
• l’ambito di diffusione dei dati personali; 
• i diritti spettanti al soggetto interessato; 
• l’identificazione anagrafico - logistica del titolare del trattamento, del responsabile nel territorio dello Stato, di almeno un responsabile del trattamento, se designato; occorre indicare, inoltre, le modalità tramite cui reperire l’elenco completo ed aggiornato di tutti i responsabili del trattamento. 
Il Codice della privacy prevede inoltre che, circa i suoi dati personali, l’interessato abbia diritto: 
• di conoscere, mediante l’accesso al registro dei trattamenti presso il Garante, l’esistenza di trattamenti che lo riguardino; 
• di essere informato dal titolare circa le finalità del trattamento; 
• di ottenere dal titolare la conferma, l’aggiornamento, la cancellazione, la rettifica dei dati trattati, o la loro trasformazione in forma anonima; 
• di opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati che lo riguardino; 
• di chiedere il blocco dei dati trattati in violazione di legge. 
Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso espresso dell’interessato, salve le eccezioni di cui appresso. Il consenso è validamente prestato soltanto se è espresso liberamente. 
Il consenso per il trattamento dei dati comuni può anche essere orale, purché documentato per iscritto, mentre quello per i dati sensibili deve essere prestato specificatamente ed esclusivamente in forma scritta. 
Vi sono però delle eccezioni, per le quali non si richiede la notifica, l’informativa o il consenso, a seconda dell’importanza dell’interesse coinvolto. Il consenso dell’interessato non è richiesto quando il trattamento: 
a) riguarda dati trattati per adempiere ad obblighi previsti da leggi, regolamenti o disposizioni comunitarie; 
b) è necessario per l’esecuzione di un contratto di cui è parte l’interessato, o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo; 
c) riguarda dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque; 
d) riguarda dati relativi allo svolgimento di attività economiche; 
e) è necessario per la salvaguardia dell’incolumità o della vita dell’interessato o di un terzo; 
f) con l’esclusione della diffusione, è effettuato per lo svolgimento di investigazioni difensive; 
g) con l’esclusione della diffusione, è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate; 
h) con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il raggiungimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo; 
i) è necessario, in conformità con i codici deontologici, per esclusivi scopi scientifici, statistici o storici. 
Operazioni particolari sono la “comunicazione” e la “diffusione” che risultano regolari, come il trattamento, solo a seguito del consenso dell’interessato, ovvero nel caso in cui ricorra un’ipotesi di esenzione. 
In ogni caso, non possono essere comunicati o diffusi i dati per i quali è stata ordinata la cancellazione, ovvero quando è stato superato il periodo di tempo necessario al raggiungimento degli scopi, ovvero per scopi diversi da quelli indicati nella notificazione del trattamento al Garante, ove prescritta. Ricordiamo che la comunicazione si riferisce alla divulgazione a terzi determinati dei dati dell’interessato, la diffusione invece è rivolta ad un pubblico indeterminato. 
Quale tutela viene riservata agli interessati che non abbiano visto rispettati i loro diritti? L’interessato può, in primo luogo, agire direttamente nei confronti del titolare, del responsabile, o tramite gli incaricati del trattamento, chiedendo che i suoi diritti, se violati, vengano ripristinati e siano risarciti ai sensi dell’art. 2050 c.c., oltre al riconoscimento dei danni, anche morali e alla condanna in sede penale. Bisogna considerare però che, alla luce di un recente orientamento giurisprudenziale espresso dalla Corte di Cassazione, il trattamento illecito dei dati non costituisce reato qualora manchi il nocumento alla persona del soggetto i cui dati si riferiscono o al suo patrimonio in termini di perdita patrimoniale o mancato guadagno, derivante dalla circolazione non autorizzata di dati personali. Devono pertanto essere escluse dalla fattispecie le semplici violazioni formali e le irregolarità procedimentali, ma anche quelle inosservanze che producono un danno minimo all’identità personale del soggetto ed alla sua privacy e non determinano un danno patrimoniale apprezzabile. 
L’interessato, dopo aver fatto valere i suoi diritti nei confronti del titolare del trattamento, in mancanza di soddisfazione della richiesta, può adire l’Autorità giudiziaria o presentare ricorso al Garante. Se si sceglie la strada della giustizia ordinaria non è più possibile proporre ricorso al Garante. Nel caso si scelga la seconda strada, il ricorso può essere proposto in carta semplice mediante raccomandata purché siano trascorsi cinque giorni dalla richiesta del titolare di cessare dal comportamento se si ritiene illegittimo. Il Garante giudica entro trenta giorni, il silenzio equivale al rigetto del ricorso; contro il provvedimento emesso dal Garante è ammesso ricorso da presentarsi alla giurisdizione ordinaria entro trenta giorni. L’eventuale provvedimento di quest’ultima è inappellabile.