LA LEGGE SULLA PRIVACY

MOLTI STRANIERI NON SANNO CHE IN ITALIA ESISTE, DA DIECI ANNI (IN REALTÀ LA PRIMA LEGGE È DEL 1996), UNA LEGGE SUL TRATTAMENTO DEI DATI PERSONALI, CIOÈ UNA TUTELA DEI PROPRI DATI ANAGRAFICI, CHE NESSUNO PUÒ PERMETTERSI DI DIVULGARE E FAR CONOSCERE A TERZI, SENZA IL CONSENSO SCRITTO E FIRMATO DELLA PERSONA.
È LA FAMOSA LEGGE SULLA PRIVACY. VEDIAMO MEGLIO DI COSA SI TRATTA...





Cos’è la privacy?

In Italia il "diritto alla protezione dei dati personali" è garantito dal primo articolo del "Codice in materia di protezione dei dati personali" (anche noto come decreto legislativo 30 giugno 2003, n. 196 o Testo Unico sulla privacy) che recita: " Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale protezione consiste, oltre che alla garanzia dell'adozione di appropriate misure di sicurezza quando si trattano i dati personali, anche nel diritto alla “riservatezza”. Il diritto alla riservatezza (privacy in inglese) ha tale importanza nella norma italiana che essa viene di fatto denominata “legge sulla privacy”. Va chiarito che spirito della legge non è di impedire il trattamento dei dati ma di evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Il Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni. Last but not least, il Codice definisce in maniera chiara ed inequivocabile diritti degli interessati, cioè di coloro a cui si riferiscono i dati.

Per le aziende quali sono le norme più importanti per la privacy?

Le normativa italiana è disponibile sul sito del "Garante per la protezione dei dati personali". Le norme più importanti sono:

"Codice in materia di protezione dei dati personali"
Allegato B. Disciplinare tecnico in materia di misure minime di sicurezza
Allegato A.5. Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti
tra i provvedimenti del Garante vanno segnalati:

Sicurezza dei dati di traffico telefonico e telematico, 17 gennaio 2008
Banche: la ''Guida'' del Garante privacy per l'uso dei dati dei clienti, 28 novembre 2007
"Misure e accorgimenti a garanzia degli interessati in tema di conservazione di dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati", 25 settembre 2007
Privacy e pubblico impiego: le linee guida del Garante, 10 luglio 2007
Chiarimenti sullo spamming anche via fax, newsletter 294 del 30 agosto 2007
"Guida pratica e misure di semplificazione per le piccole e medie imprese", 22 giugno 2007, (html e pdf, 649 K)
"Linee guida del Garante per posta elettronica e internet" , 5 marzo 2007
Lavoro: le linee guida del Garante per posta elettronica e internet, 5 marzo 2007
Maggiori garanzie sul posto di lavoro: le linee guida del Garante privacy, 13 dicembre 2006
Cos’è il "Garante per la protezione dei dati personali"?

Il Garante per la protezione dei dati personali  è organo collegiale costituito da quattro membri, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. Essi eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. I membri sono scelti tra persone che assicurino indipendenza e che siano esperti di riconosciuta competenza delle materie del diritto o dell’informatica, garantendo la presenza di entrambe le qualificazioni.

Compiti del Garante

controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità;
esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;
adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili;
promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di deontologia e di buona condotta;
divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato;
segnalazione al Governo dei provvedimenti normativi di settore, la cui adozione si manifesti opportuna, e la formulazione dei pareri richiesti dal Presidente del Consiglio o da ciascun ministro in ordine ai regolamenti ed agli atti amministrativi inerenti alla materia della protezione dei dati personali;
predisposizione di una relazione annuale sull’attività svolta e sullo stato di attuazione della legge e la sua trasmissione al Parlamento e al Governo;
partecipazione alle attività comunitarie ed internazionali di settore, quale componente delle autorità comuni di controllo previste da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale);
controllo, anche a richiesta degli interessati, sui trattamenti dei dati personali effettuati da forze di polizia e dai servizi di informazione e di sicurezza;
l’indicazione degli accorgimenti da adottare nell’uso dei dati "semi-sensibili" (cd. prior checking, introdotto dal d.lg. n. 467/2001).
Cosa sono i dati personali?

L’articolo 4, punto b) del Codice recita: "dato personale è qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale". In pratica qualsiasi informazione (che non sia pubblica o anonima) è un dato personale.

Cosa sono i dati particolari, sensibili e giudiziari?

I dati particolari sono il sottoinsieme dei dati personali formati da dati sensibili e dati giudiziari.
I "dati sensibili" sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
I "dati giudiziari" sono i dati personali relativi al casellario giudiziale, alle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o che rivelano la qualità di imputato o di indagato.

Cosa prevede, in sintesi, la legge sulla Privacy per le aziende che trattano i dati?

Il Garante per la protezione dei dati personali ha pubblicato una breve sintesi  dei contenuti del "Codice in materia di protezione dei dati personali".
In pratica chiunque tratti dati personali (azienda, professionista, privato) di terzi deve adottare una serie di misure volte a garantire i diritti di tali terzi (sicurezza e riservatezza dei propri dati personali). Le principali tra queste misure ci sono: informativa, consenso, notificazione, adozione di misure di sicurezza, riscontro del diritto di accesso.

Informativa

L’articolo 13 del Codice richiede di informare l'interessato (persona fisica o giuridica) di cui si trattano i dati in relazione alle finalità e modalità dei trattamenti, ai diritti di cui si gode in relazione a tali trattamenti, all’identità dell’ente (il titolare) che tratta i dati. L’informativa è obbligatoria per qualsiasi trattamento di dati personali ma può essere fornita in varie modalità (per iscritto, per telefono, oralmente).

Consenso

L’articolo 23 del Codice prevede che il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. Tuttavia il consenso è manifestato in forma scritta solo quando il trattamento riguarda dati sensibili.

Notificazione

La notificazione è l’atto con cui l’impresa, il professionista o la pubblica amministrazione segnala all’Autorità i trattamenti di dati che intende effettuare. La notifica dovrà essere effettuata solo in particolari casi di trattamento di dati sensibili (specie se sanitari) con determinate modalità d’uso, ma anche per trattamenti particolarmente a rischio, effettuati con strumenti elettronici, nel campo della profilazione dei consumatori, oppure in relazione a procedure di selezione del personale e ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali e relative alla solvibilità.

Misure di sicurezza

Articolo 31: misure di sicurezza

I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Articolo 34: misure minime di sicurezza in caso di trattamenti con strumenti elettronici

autenticazione informatica;
adozione di procedure di gestione delle credenziali di autenticazione;
utilizzazione di un sistema di autorizzazione;
aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
tenuta di un aggiornato documento programmatico sulla sicurezza;
adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Articolo 35: misure minime di sicurezza in caso di trattamenti senza l'ausilio di strumenti elettronici;  
aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.