Cos’è la privacy? Parte prima – le domande più frequenti

Questo è il primo di una serie di articoli dedicati alle nozioni di base sulla normativa italiana della privacy. Cominciamo con le principali definizioni.  

Cos’è la privacy?

In Italia il "diritto alla protezione dei dati personali" è garantito dal primo articolo del "Codice in materia di protezione dei dati personali" (anche noto come decreto legislativo 30 giugno 2003, n. 196 o Testo Unico sulla privacy) che recita: " Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale protezione consiste, oltre che alla garanzia dell'adozione di appropriate misure di sicurezza quando si trattano i dati personali, anche nel diritto alla “riservatezza”.

Il diritto alla riservatezza (privacy in inglese) ha tale importanza nella norma italiana che essa viene di fatto denominata “legge sulla privacy”. Va chiarito che spirito della legge non è di impedire il trattamento dei dati ma di evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Il Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni. Last but not least, il Codice definisce in maniera chiara ed inequivocabile diritti degli interessati, cioè di coloro a cui si riferiscono i dati.

Per le aziende quali sono le norme più importanti per la privacy?

Le normativa italiana è disponibile sul sito del "Garante per la protezione dei dati personali". Le norme più importanti sono:

tra i provvedimenti del Garante vanno segnalati:

  • Sicurezza dei dati di traffico telefonico e telematico, 17 gennaio 2008
  • Banche: la ''Guida'' del Garante privacy per l'uso dei dati dei clienti, 28 novembre 2007
  • "Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati", 25 settembre 2007
  • Privacy e pubblico impiego: le linee guida del Garante, 10 luglio 2007
  • Chiarimenti sullo spamming anche via fax, newsletter 294 del 30 agosto 2007
  • "Guida pratica e misure di semplificazione per le piccole e medie imprese", 22 giugno 2007, (html e pdf, 649 K)
  • "Linee guida del Garante per posta elettronica e internet" , 5 marzo 2007
  • Lavoro: le linee guida del Garante per posta elettronica e internet, 5 marzo 2007
  • Maggiori garanzie sul posto di lavoro: le linee guida del Garante privacy, 13 dicembre 2006
  • Cos’è il "Garante per la protezione dei dati personali"?

    Il Garante per la protezione dei dati personali  è organo collegiale costituito da quattro membri, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. Essi eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. I membri sono scelti tra persone che assicurino indipendenza e che siano esperti di riconosciuta competenza delle materie del diritto o dell’informatica, garantendo la presenza di entrambe le qualificazioni.

    Compiti del Garante

    • controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità;
    • esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;
    • adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili;
    • promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di deontologia e di buona condotta;
    • divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato;
    • segnalazione al Governo dei provvedimenti normativi di settore, la cui adozione si manifesti opportuna, e la formulazione dei pareri richiesti dal Presidente del Consiglio o da ciascun ministro in ordine ai regolamenti ed agli atti amministrativi inerenti alla materia della protezione dei dati personali;
    • predisposizione di una relazione annuale sull’attività svolta e sullo stato di attuazione della legge e la sua trasmissione al Parlamento e al Governo;
    • partecipazione alle attività comunitarie ed internazionali di settore, quale componente delle autorità comuni di controllo previste da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale);
    • controllo, anche a richiesta degli interessati, sui trattamenti dei dati personali effettuati da forze di polizia e dai servizi di informazione e di sicurezza;
    • l’indicazione degli accorgimenti da adottare nell’uso dei dati "semi-sensibili" (cd. prior checking, introdotto dal d.lg. n. 467/2001).

    Cosa sono i dati personali?

    L’articolo 4, punto b) del Codice recita: "dato personale è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale". In pratica qualsiasi informazione (che non sia pubblica o anonima) è un dato personale.

    Cosa sono i dati particolari, sensibili e giudiziari?

    I dati particolari sono il sottoinsieme dei dati personali formati da dati sensibili e dati giudiziari.
    I "dati sensibili" sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
    I "dati giudiziari" sono i dati personali relativi al casellario giudiziale, alle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o che rivelano la qualità di imputato o di indagato.

    Cosa prevede, in sintesi, la legge sulla Privacy per le aziende che trattano i dati?

    Il Garante per la protezione dei dati personali ha pubblicato una breve sintesi  dei contenuti del "Codice in materia di protezione dei dati personali".
    In pratica chiunque tratti dati personali (azienda, professionista, privato) di terzi deve adottare una serie di misure volte a garantire i diritti di tali terzi (sicurezza e riservatezza dei propri dati personali). Le principali tra queste misure ci sono: informativa, consenso, notificazione, adozione di misure di sicurezza, riscontro del diritto di accesso.

    Informativa

    L’articolo 13 del Codice richiede di informare l'interessato (persona fisica o giuridica) di cui si trattano i dati in relazione alle finalità e modalità dei trattamenti, ai diritti di cui si gode in relazione a tali trattamenti, all’identità dell’ente (il titolare) che tratta i dati. L’informativa è obbligatoria per qualsiasi trattamento di dati personali ma può essere fornita in varie modalità (per iscritto, per telefono, oralmente).

    Consenso

    L’articolo 23 del Codice prevede che il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. Tuttavia il consenso è manifestato in forma scritta solo quando il trattamento riguarda dati sensibili.

    Notificazione

    La notificazione è l’atto con cui l’impresa, il professionista o la pubblica amministrazione segnala all’Autorità i trattamenti di dati che intende effettuare. La notifica dovrà essere effettuata solo in particolari casi di trattamento di dati sensibili (specie se sanitari) con determinate modalità d’uso, ma anche per trattamenti particolarmente a rischio, effettuati con strumenti elettronici, nel campo della profilazione dei consumatori, oppure in relazione a procedure di selezione del personale e ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali e relative alla solvibilità.

    Misure di sicurezza

    Articolo 31: misure di sicurezza

    I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

    Articolo 34: misure minime di sicurezza in caso di trattamenti con strumenti elettronici
    • autenticazione informatica;
    • adozione di procedure di gestione delle credenziali di autenticazione;
    • utilizzazione di un sistema di autorizzazione;
    • aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
    • protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
    • adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
    • tenuta di un aggiornato documento programmatico sulla sicurezza;
    • adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
    Articolo 35: misure minime di sicurezza in caso di trattamenti senza l'ausilio di strumenti elettronici
    • aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
    • previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
    • previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

    Diritti dell’interessato

    Articolo 7: l'interessato ha diritto di ottenere:

    • la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile
    • l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
    • la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

    L'interessato, infine, ha diritto di opporsi, in tutto o in parte:

    • per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
    • al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

    Leggi la seconda parte

    Chi è Panfilo Marcelli?

    Panfilo Marcelli si occupa di compliance, privacy e sicurezza da oltre vent'anni. Ha lavorato pre primarie aziende nazionali con ruoli direttivi. Email: p.marcelli@mclink.it

    Altri articoli di Panfilo Marcelli

     

     

    ComplianceNet: