Tutela della privacy

di Davide Torri

6.1. Normativa e definizioni

Una sempre maggiore sensibilità della società contemporanea verso le indebite ingerenze nella sfera privata del cittadino ha portato con sé l’esigenza di integrare, in tempi relativamente recenti, la preesistente nor-mativa in tema di tutela della riservatezza, al fine di assicurare al singolo individuo adeguate garanzie di rispetto della propria privacy.

In particolare il rapido sviluppo degli strumenti informatici, che ha per-messo l’efficiente gestione di ingentissime quantità di dati ma che ne con-sente altresì un’altrettanto rapida ed efficace diffusione, ha imposto in tem-pi recenti una riflessione sulla reale adeguatezza degli strumenti normativi esistenti in ordine alla tutela della riservatezza dei dati personali.

Precisamente allo scopo di produrre una norma idonea a garantire la privacy, anche in un panorama dominato da un sempre più facile accesso alle informazioni grazie ai mezzi elettronici, il Governo italiano ha pro-mulgato, nel 1996, una prima legge intesa alla tutela della riservatezza (Legge n°675, “Tutela delle persone e di altri soggetti rispetto al

tratta-mento dei dati personali”), cui hanno fatto seguito negli anni successivi

ulteriori interventi legislativi21.

Tra questi il D.Lgs. 30 giugno 2003, n°196, “Codice in materia di

pro-tezione dei dati personali”, viene a dare ordinamento organico e

sistemati-co alle disposizioni relative al trattamento dei dati personali, sistemati-con specifisistemati-co riferimento all’ambito sanitario.

Tale testo stabilisce preliminarmente i principi fondamentali cui devono ispirarsi le procedure di trattamento dei dati personali, riconoscendo anzi-tutto al cittadino il diritto alla protezione dei dati personali22 ed indicando quale propria finalità quella di garantire che il trattamento degli stessi av-venga nel rispetto dei diritti e delle libertà fondamentali, nonché della

di-gnità dell'interessato23.

!

21 Tra gli altri: Decreto Legislativo 11 maggio 1999, n°135, “Disposizioni integrative

della L. 31 dicembre 1996 n. 675 in materia di trattamento di dati sensibili da parte di sog-getti pubblici.”

22 D.Lgs. 196/2003, art. 1, com. 1: “Chiunque ha diritto alla protezione dei dati persona-li che lo riguardano”.

23 D.Lgs. 196/2003, art. 2, com. 1: “Il presente testo unico /…/ garantisce che il tratta-mento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità' perso-nale e al diritto alla protezione dei dati personali”.

Il decreto introduce altresì il principio di necessità nel trattamento dei

dati, secondo il quale i sistemi informatici devono essere configurati in

modo da utilizzare dati personali e identificativi soltanto in caso di necessi-tà, procedendo pertanto in via ordinaria attraverso il trattamento di dati anonimi.

La norma, all’articolo 4, provvede poi una serie di definizioni24 utili a circoscrivere in modo puntuale gli ambiti semantici dei termini utilizzati, tra le quali: - dato personale: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili,

anche indirettamente, mediante riferimento a qualsiasi altra informazione,

ivi compreso un numero di identificazione personale; - dato identificativo: dato personale che permette l'identificazione diretta dell'interessato; - dato

sensibile: dato personale idoneo a rivelare l'origine razziale ed etnica, le

convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere re-ligioso, filosofico, politico o sindacale, nonché lo stato di salute e la vita sessuale; - interessato: la persona fisica, giuridica, l'ente o l'associazione

cui si riferiscono i dati personali; - responsabile: la persona fisica,

giuridi-ca, la pubblica amministrazione e qualsiasi altro ente, associazione od or-ganismo preposto dal titolare²⁵ al trattamento di dati personali; - incarica-to: la persona fisica autorizzata a compiere operazioni di trattamento dal

titolare o dal responsabile; - trattamento: qualunque operazione o comples-so di operazioni, effettuata anche senza l'ausilio di strumenti elettronici, concernente la raccolta, la registrazione, l'organizzazione, la conservazio-ne, la consultazioconservazio-ne, l'elaborazioconservazio-ne, la modificazioconservazio-ne, la selezioconservazio-ne, l'estra-zione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazio-ne, la diffusiocomunicazio-ne, la cancellazione e la distruzione di dati, anche se non re-gistrati in una banca di dati; - comunicazione: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rap-presentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; - diffusione: il dare conoscenza dei dati personali a

sog-getti indeterminati, in qualunque forma, anche mediante la loro messa a

di-sposizione o consultazione; - Garante: l'autorità di cui all'articolo 153, isti-tuita dalla legge 31 dicembre 1996, n°675²⁶; - misure minime: il complesso

!

24 D.Lgs. 196/2003, art. 4 (Definizioni).

25 N.B. Per “titolare” (da non confondere con “interessato”), si intende la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni inerenti il trattamento dei dati personali.

26 N.B. Il Garante è un organo collegiale costituito da quattro componenti, due dei qua-li eletti dalla Camera dei deputati e due dal Senato della Repubbqua-lica, scelti tra persone che

delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in re-lazione ai rischi previsti nell'articolo 3127.

6.2. Diritti dell’interessato

Al Titolo II (Diritti dell’interessato) il D.Lgs. 196/2003 individua i di-ritti esercitabili dall’interessato; tra essi ricordiamo il diritto a ottenere28: -

conferma circa l’esistenza di dati personali che lo riguardano; - indicazione dell’origine dei dati personali;

- informazioni circa finalità e modalità del trattamento dei dati;

!

assicurano indipendenza e sono riconosciuti esperti di diritto o di informatica. I componenti eleggono tra loro un presidente il cui voto prevarrà in caso di parità. Presidente e compo-nenti restano in carica per quattro anni e non possono essere confermati più di una volta. (Vedi D.Lgs. 196/2003, art. 153 (Il Garante)).

27 D.Lgs. 196/2003, art. 31 (Obblighi di sicurezza), comma 1: “I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurez-za, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autoriz-zato o di trattamento non consentito o non conforme alle finalità della raccolta”. - art. 33 (Misure minime): “Nel quadro dei più generali obblighi di sicurezza di cui all'art. 31, o pre-visti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'art. 58, com. 3, volte ad assicu-rare un livello minimo di protezione dei dati personali”. - art. 34 (Trattamenti con strumenti

elettronici): “Il trattamento di dati personali effettuato con strumenti elettronici è consentito

solo se sono adottate, /…/ le seguenti misure minime: a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione; c) utilizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; e) protezione degli strumenti elettronici e dei dati rispetto a trattamen-ti illecitrattamen-ti di datrattamen-ti, ad accessi non consentrattamen-titrattamen-ti e a determinatrattamen-ti programmi informatrattamen-tici; f) adozio-ne di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; g) tenuta di un aggiornato documento programmatico sulla sicurezza; h)

ado-zione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari”. - art.

35 (Trattamenti senza l'ausilio di strumenti elettronici): “Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate /…/ le seguenti misure minime: a) aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative; b) previsione di pro-cedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti; c) previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identifi-cazione degli incaricati”.

- logica applicata nel trattamento dei dati per via elettronica;

- estremi identificativi di titolare, responsabili e rappresentante designato; - indicazione dei soggetti cui i dati potranno essere comunicati o che

po-tranno venirne a conoscenza;

- aggiornamento, rettificazione o integrazione dei dati;

- cancellazione, trasformazione in forma anonima o blocco dei dati trattati

in violazione di legge.

L’interessato ha altresì diritto ad opporsi, in tutto od in parte, al

tratta-mento di dati personali che lo riguardano.

6.3. Regole generali per il trattamento dei dati

Il D.Lgs. 196/2003 stabilisce al Capo I (Regole per tutti i trattamenti) le norme generali cui deve attenersi il trattamento dei dati personali entro qualsiasi ambito ed a qual si voglia fine.