PRIVACY
Ultimo aggiornamento: 15 Settembre 2003
Il Codice della privacy
Il testo unico in materia di protezione dei dati personali, definitivamente approvato dal Consiglio dei ministri il 27 giugno scorso, ha assunto la veste giuridica di “Codice” (Decreto legislativo 30 giugno 2003, n. 196, pubblicato in G.U. 29 luglio 2003, Serie generale n. 174, Supplemento ordinario n. 123/L). Questa peculiare denominazione indica, oltre che l'importanza della normativa in esame, anche il fatto che il Codice riunisce - in unico testo - la "vecchia" legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici via via emanati in questi anni. Ma non solo, il Codice della privacy ha altresì innovato raccogliendo alcuni spunti tratti sia da precedenti decisioni, pareri, segnalazioni del Garante sia dalla direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche.
Il Codice è diviso in tre parti che si possono sommariamente indicare come segue:
- disposizioni generali;
- parte speciale relativa a specifici settori (giudiziario, sanitario, storico/statistico/scientifico, lavoro e previdenza, sistema bancario, comunicazioni elettroniche, libere professioni, giornalismo, marketing diretto);
- tutela dell'Interessato e sanzioni.
Il Codice entrerà in vigore quasi integralmente il 1 gennaio 2004. Tuttavia, dal 30 luglio 2003, sono in vigore alcune norme riguardanti:
- il ruolo organico e personale del Garante della privacy;
- l'istituzione del Centro nazionale per l'informatica nella pubblica amministrazione e la sostituzione di questo con l'Autorità per l'informatica nella pubblica amministrazione;
-
l'introduzione della sospensione feriale dei termini dal 1 agosto al 15
settembre, in materia di ricorsi.
Aggiornamento precedente: la Legge n. 675 del 1996 e successive modifiche ed integrazioni.
Con
la crescente globalizzazione dei rapporti e delle relazioni commerciali, diventa
sempre più importante e difficile, al tempo stesso, tracciare i confini di
tutela del diritto alla privacy e alla riservatezza, nello scambio di dati e
informazioni.
La
normativa italiana in materia di tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali (Legge 31 dicembre 1996, n. 675 e
successive modifiche ed integrazioni), adottata in recepimento della Direttiva
95/46/CE, attribuisce senza dubbio un alto livello di protezione dei dati
personali, imponendo ai soggetti cui competono le decisioni, in ordine alle
modalità e finalità del trattamento (titolari del trattamento), l’adozione
di una serie di adempimenti più o meno complessi, concernenti le diverse fasi
di raccolta, elaborazione, conservazione e più in generale di trattamento dei
dati personali, ivi compreso il profilo della sicurezza.
I
principi e le regole sancite dalla Legge n. 675/96 trovano applicazione in tutte
le ipotesi in cui vengano da chiunque effettuate, nel territorio dello Stato
italiano, operazioni di trattamento di dati personali, siano essi riferibili a
persone fisiche e/o giuridiche e/o a qualsiasi altro ente o associazione. Nel
medesimo ambito di applicazione della citata normativa e delle sue successive
integrazioni e modifiche (in particolare D.Lgs. 467/2001), rientrano altresì le
operazioni di trattamento di dati personali svolte da “chiunque è
stabilito nel territorio di un Paese non appartenente all’Unione europea e
impiega, per il trattamento, mezzi situati nel territorio dello Stato anche
diversi da quelli elettronici o comunque automatizzati, salvo che essi siano
utilizzati solo ai fini di transito nel territorio dell’Unione europea”
(art. 2 comma 1bis, introdotto con D. Lgs. 467/2001).
Il
quadro normativo in materia di tutela della privacy, già di per sé
complesso e corredato di un pesante sistema sanzionatorio, di carattere
penale e amministrativo (peraltro recentemente riformato con D.Lgs. 467/2001),
ha trovato il suo compimento a seguito dell’entrata in vigore, il 29 marzo
2000, del D.P.R. 28 luglio 1999, n. 318 “Regolamento recante norme per l’individuazione
delle misure minime di sicurezza per il trattamento dei dati personali, a norma
dell’articolo 15 della Legge 31 dicembre 1996, n. 675”
(G.U. 14 settembre 1999, n. 216), la cui violazione integra la
fattispecie di reato prevista e sanzionata dall’art. 36 della Legge n. 675/96.
Ciò
premesso, alla luce del quadro normativo tracciato dal legislatore italiano ed
in considerazione della esperienza di attuazione del medesimo sino ad oggi
maturata, non si può non porre in rilievo come l’adeguamento agli adempimenti
ed alle condizioni di legittimità dei trattamenti delineate nel testo di legge
abbia rappresentato per molti operatori un processo molto complicato, e non
sempre pienamente soddisfacente. Vi sono ambiti e settori di attività infatti
che presentano particolari difficoltà nel processo di adeguamento, altri in cui
a tutt’oggi sussistono dubbi interpretativi di difficile risoluzione. Basti
pensare ad Internet ed al fenomeno dei trattamenti on-line, all’utilizzo della
posta elettronica e di Internet nel posto di lavoro, alle peculiarità che
presentano i trasferimenti di dati all’estero, ai trattamenti per scopi
assicurativi, al marketing diretto, alla videosorveglianza.
Con
riguardo ai servizi di comunicazione e di informazione offerti per via
telematica, ad esempio, in assenza di una normativa italiana ad hoc (da
emanarsi in attuazione della delega conferita al Governo dalla Legge 31 dicembre
1996 n. 676), e in attesa del codice di deontologia e buona condotta (previsto
dall’art. 20 del D.Lgs. 467/2002) si ritiene che debbano trovare applicazione
gli adempimenti e le condizioni di legittimità dettati dalla legge 675/96,
nonostante la peculiarità del mezzo (per l’appunto telematico) utilizzato per
compiere le
operazioni di trattamento o singole sua fasi. Tutti gli operatori, dal provider
al titolare di un sito Internet, attraverso il quale vengano raccolti, o
comunque trattati i dati personali degli abbonati e/o degli utenti, sono tenuti
al rispetto della L. 675/96 e di una serie di regole, dettate in maniera più o
meno specifica per il settore di appartenenza, in materia di tutela della
privacy, ivi compreso il profilo della sicurezza.
A
questo proposito non si può non porre in rilievo come l’affermazione di
Internet - quale veicolo di manifestazione delle relazioni sociali senza confini
territoriali - ed il parallelo sviluppo del commercio elettronico rendano più
che mai necessaria la definizione di regole uniformi, su scala mondiale, a
protezione dei cittadini e dei consumatori. La definizione di regole comuni a
livello mondiale resta infatti l’obiettivo fondamentale per garantire l’applicabilità
e la reale efficacia anche delle normative nazionali, a tutela del diritto della
privacy.
Il
legislatore comunitario si è mosso in questa direzione, con la recente
Direttiva 2000/31 sul commercio elettronico (G.u.C.e. 17 luglio
2000, L.178/1), il cui obiettivo dichiarato è proprio l’armonizzazione dei
sistemi nazionali attraverso l’istituzione, all’interno dell’Unione
europea, di un quadro normativo omogeneo, volto a favorire lo sviluppo ed il
buon funzionamento del commercio elettronico.
In
tema di privacy, la Direttiva fissa alcune regole applicabili all’invio, per
posta elettronica, di comunicazioni commerciali non sollecitate ed alla
attività dei prestatori intermediari, facendo in ogni caso salvi i principi
relativi alla protezione dei dati personali, dettati dalle citate direttive
95/46/CE e 97/66/CE.
L’armonizzazione
della tutela a livello mondiale è altresì al centro del negoziato, in materia
di “data protection”, tra Stati Uniti ed Unione Europea che ha visto la
posizione statunitense, più legata ai principi del libero mercato ad a regole
flessibili, scontrarsi con quella, più rigida ed attenta ai diritti dell’individuo,
dell’Unione Europea, fino a raggiungere un primo punto d’incontro nell’accordo
“Safe Harbor” firmato nel luglio 2000.
L’aspetto
del coordinamento delle normative dei diversi paesi è al centro delle
problematiche connesse ai trasferimenti
dei dati all’estero. Questa materia è stata oggetto di numerosi interventi a
livello europeo (successivamente resi efficaci in Italia grazie a specifici
provvedimenti dell’autorità Garante italiana), che hanno precisato il quadro
sistematico dei limiti e delle condizioni di legittimità dei trasferimenti,
peraltro annunciando maggior rigore in futuro nella verifica di regolarità di
tali peculiari operazioni di trattamento (rispetto alle quali l’autorità
stessa ha dichiarato di non aver applicato rigidamente i propri poteri ispettivi
e latamente sanzionatori proprio in considerazione della non sufficiente
chiarezza normativa sino ad oggi presente).
Nel
settore delle telecomunicazioni, il quadro normativo - sino ad oggi correlato di
provvedimenti compositi - è stato di recente completato e unificato a livello
europeo mediante l’adozione della Direttiva 58/2002/CE relativa al trattamento
dei dati personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche. Tale normativa, dovrebbe trovare attuazione nelle
legislazioni degli Stati membri entro il 31/10/2003. Con l’attuazione della
direttiva citata, la precedente direttiva 97/66/Ce (recepita in Italia con il
D.lgs. 13 maggio 1998 n. 171, contenente le “Disposizioni di tutela della vita
privata nel settore delle telecomunicazioni, in attuazione della Direttiva
97/66/CE del Parlamento Europeo e del Consiglio, ed in tema di attività
giornalistica” in G.U. 3 giugno 1998, n.127), è abrogata ed i riferimenti a
tale direttiva presenti in altre disposizioni si intendono fatti alla direttiva
2002/58/CE.
Per
quanto concerne il complesso mondo dei trattamenti per scopi assicurativi, in
cui la necessità di particolari cautele emerge
sia per l’intensificarsi del ruolo “sociale” assunto dalle società
assicurative sia per la diretta ingerenza e incidenza nelle posizioni soggettive
più delicate dei cittadini con particolare riguardo al trattamento dei dati
sensibili (tra i quali figurano anche i dati sanitari) un primo passo verso l’armonizzazione
deriva dalla emanazione della Raccomandazione R. (2002)9, che intende
contestualizzare i principi generali della Convenzione n. 108 del 1981 nello
specifico settore delle assicurazioni.
Come
si può constatare il panorama normativo internazionale in materia di privacy è
in costante evoluzione. A questo proposito occorre tuttavia prendere atto anche
del fatto che lo stesso quadro
normativo italiano è destinato ad essere in buona parte rivoluzionato dall’intenzione
del legislatore di adottare – in tempi ormai più che imminenti – un vero e
proprio codice o testo unico in materia di privacy. Si auspica che il
raggiungimento dell’ambizioso obiettivo della riunificazione
e armonizzazione di tutte le disposizioni italiane che riguardino da
vicino la complessa materia dei dati personali possa finalmente risolvere i
dubbi interpretativi e le difficoltà di attuazione della normativa che l’operatore
sino ad oggi ha dovuto affrontare e che negli ultimi anni hanno richiesto l’intervento
ermeneutico del garante e dell’autorità giudiziaria ordinaria.
Home page Articoli - Normativa Contattaci |