PRIVACY

Ultimo aggiornamento: 15 Settembre 2003

Il Codice della privacy

Il testo unico in materia di protezione dei dati personali, definitivamente approvato dal Consiglio dei ministri il 27 giugno scorso, ha assunto la veste giuridica di “Codice” (Decreto legislativo 30 giugno 2003, n. 196, pubblicato in G.U. 29 luglio 2003, Serie generale n. 174, Supplemento ordinario n. 123/L). Questa peculiare denominazione indica, oltre che l'importanza della normativa in esame, anche il fatto che il Codice riunisce - in unico testo - la "vecchia" legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici via via emanati in questi anni. Ma non solo, il Codice della privacy ha altresì innovato raccogliendo alcuni spunti tratti sia da precedenti decisioni, pareri, segnalazioni del Garante sia dalla direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche.

Il Codice è diviso in tre parti che si possono sommariamente indicare come segue:

- disposizioni generali;

- parte speciale relativa a specifici settori (giudiziario, sanitario, storico/statistico/scientifico, lavoro e previdenza, sistema bancario, comunicazioni elettroniche, libere professioni, giornalismo, marketing diretto);

- tutela dell'Interessato e sanzioni.

Il Codice entrerà in vigore quasi integralmente il 1 gennaio 2004. Tuttavia, dal 30 luglio 2003, sono in vigore alcune norme riguardanti:

- il ruolo organico e personale del Garante della privacy;

- l'istituzione del Centro nazionale per l'informatica nella pubblica amministrazione e la sostituzione di questo con l'Autorità per l'informatica nella pubblica amministrazione;  

- l'introduzione della sospensione feriale dei termini dal 1 agosto al 15 settembre, in materia di ricorsi.

Aggiornamento precedente: la Legge n. 675 del 1996 e successive modifiche ed integrazioni.

Con la crescente globalizzazione dei rapporti e delle relazioni commerciali, diventa sempre più importante e difficile, al tempo stesso, tracciare i confini di tutela del diritto alla privacy e alla riservatezza, nello scambio di dati e informazioni.

La normativa italiana in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali (Legge 31 dicembre 1996, n. 675 e successive modifiche ed integrazioni), adottata in recepimento della Direttiva 95/46/CE, attribuisce senza dubbio un alto livello di protezione dei dati personali, imponendo ai soggetti cui competono le decisioni, in ordine alle modalità e finalità del trattamento (titolari del trattamento), l’adozione di una serie di adempimenti più o meno complessi, concernenti le diverse fasi di raccolta, elaborazione, conservazione e più in generale di trattamento dei dati personali, ivi compreso il profilo della sicurezza.

I principi e le regole sancite dalla Legge n. 675/96 trovano applicazione in tutte le ipotesi in cui vengano da chiunque effettuate, nel territorio dello Stato italiano, operazioni di trattamento di dati personali, siano essi riferibili a persone fisiche e/o giuridiche e/o a qualsiasi altro ente o associazione. Nel medesimo ambito di applicazione della citata normativa e delle sue successive integrazioni e modifiche (in particolare D.Lgs. 467/2001), rientrano altresì le operazioni di trattamento di dati personali svolte da “chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, mezzi situati nel territorio dello Stato anche diversi da quelli elettronici o comunque automatizzati, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea” (art. 2 comma 1bis, introdotto con D. Lgs. 467/2001).

Il quadro normativo in materia di tutela della privacy, già di per sé complesso e corredato di un pesante sistema sanzionatorio, di carattere penale e amministrativo (peraltro recentemente riformato con D.Lgs. 467/2001), ha trovato il suo compimento a seguito dell’entrata in vigore, il 29 marzo 2000, del D.P.R. 28 luglio 1999, n. 318 “Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell’articolo 15 della Legge 31 dicembre 1996, n. 675” (G.U. 14 settembre 1999, n. 216), la cui violazione integra la fattispecie di reato prevista e sanzionata dall’art. 36 della Legge n. 675/96.

Ciò premesso, alla luce del quadro normativo tracciato dal legislatore italiano ed in considerazione della esperienza di attuazione del medesimo sino ad oggi maturata, non si può non porre in rilievo come l’adeguamento agli adempimenti ed alle condizioni di legittimità dei trattamenti delineate nel testo di legge abbia rappresentato per molti operatori un processo molto complicato, e non sempre pienamente soddisfacente. Vi sono ambiti e settori di attività infatti che presentano particolari difficoltà nel processo di adeguamento, altri in cui a tutt’oggi sussistono dubbi interpretativi di difficile risoluzione. Basti pensare ad Internet ed al fenomeno dei trattamenti on-line, all’utilizzo della posta elettronica e di Internet nel posto di lavoro, alle peculiarità che presentano i trasferimenti di dati all’estero, ai trattamenti per scopi assicurativi, al marketing diretto, alla videosorveglianza.

Con riguardo ai servizi di comunicazione e di informazione offerti per via telematica, ad esempio, in assenza di una normativa italiana ad hoc (da emanarsi in attuazione della delega conferita al Governo dalla Legge 31 dicembre 1996 n. 676), e in attesa del codice di deontologia e buona condotta (previsto dall’art. 20 del D.Lgs. 467/2002) si ritiene che debbano trovare applicazione gli adempimenti e le condizioni di legittimità dettati dalla legge 675/96, nonostante la peculiarità del mezzo (per l’appunto telematico) utilizzato per compiere  le operazioni di trattamento o singole sua fasi. Tutti gli operatori, dal provider al titolare di un sito Internet, attraverso il quale vengano raccolti, o comunque trattati i dati personali degli abbonati e/o degli utenti, sono tenuti al rispetto della L. 675/96 e di una serie di regole, dettate in maniera più o meno specifica per il settore di appartenenza, in materia di tutela della privacy, ivi compreso il profilo della sicurezza.

A questo proposito non si può non porre in rilievo come l’affermazione di Internet - quale veicolo di manifestazione delle relazioni sociali senza confini territoriali - ed il parallelo sviluppo del commercio elettronico rendano più che mai necessaria la definizione di regole uniformi, su scala mondiale, a protezione dei cittadini e dei consumatori. La definizione di regole comuni a livello mondiale resta infatti l’obiettivo fondamentale per garantire l’applicabilità e la reale efficacia anche delle normative nazionali, a tutela del diritto della privacy.

Il legislatore comunitario si è mosso in questa direzione, con la recente Direttiva 2000/31 sul commercio elettronico (G.u.C.e. 17 luglio 2000, L.178/1), il cui obiettivo dichiarato è proprio l’armonizzazione dei sistemi nazionali attraverso l’istituzione, all’interno dell’Unione europea, di un quadro normativo omogeneo, volto a favorire lo sviluppo ed il buon funzionamento del commercio elettronico.

In tema di privacy, la Direttiva fissa alcune regole applicabili all’invio, per posta elettronica, di comunicazioni commerciali non sollecitate ed alla attività dei prestatori intermediari, facendo in ogni caso salvi i principi relativi alla protezione dei dati personali, dettati dalle citate direttive 95/46/CE e 97/66/CE.

L’armonizzazione della tutela a livello mondiale è altresì al centro del negoziato, in materia di “data protection”, tra Stati Uniti ed Unione Europea che ha visto la posizione statunitense, più legata ai principi del libero mercato ad a regole flessibili, scontrarsi con quella, più rigida ed attenta ai diritti dell’individuo, dell’Unione Europea, fino a raggiungere un primo punto d’incontro nell’accordo “Safe Harbor” firmato nel luglio 2000.

L’aspetto del coordinamento delle normative dei diversi paesi è al centro delle problematiche connesse ai  trasferimenti dei dati all’estero. Questa materia è stata oggetto di numerosi interventi a livello europeo (successivamente resi efficaci in Italia grazie a specifici provvedimenti dell’autorità Garante italiana), che hanno precisato il quadro sistematico dei limiti e delle condizioni di legittimità dei trasferimenti, peraltro annunciando maggior rigore in futuro nella verifica di regolarità di tali peculiari operazioni di trattamento (rispetto alle quali l’autorità stessa ha dichiarato di non aver applicato rigidamente i propri poteri ispettivi e latamente sanzionatori proprio in considerazione della non sufficiente chiarezza normativa sino ad oggi presente).

Nel settore delle telecomunicazioni, il quadro normativo - sino ad oggi correlato di provvedimenti compositi - è stato di recente completato e unificato a livello europeo mediante l’adozione della Direttiva 58/2002/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Tale normativa, dovrebbe trovare attuazione nelle legislazioni degli Stati membri entro il 31/10/2003. Con l’attuazione della direttiva citata, la precedente direttiva 97/66/Ce (recepita in Italia con il D.lgs. 13 maggio 1998 n. 171, contenente le “Disposizioni di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della Direttiva 97/66/CE del Parlamento Europeo e del Consiglio, ed in tema di attività giornalistica” in G.U. 3 giugno 1998, n.127), è abrogata ed i riferimenti a tale direttiva presenti in altre disposizioni si intendono fatti alla direttiva 2002/58/CE.

Per quanto concerne il complesso mondo dei trattamenti per scopi assicurativi, in cui la necessità di particolari cautele emerge  sia per l’intensificarsi del ruolo “sociale” assunto dalle società assicurative sia per la diretta ingerenza e incidenza nelle posizioni soggettive più delicate dei cittadini con particolare riguardo al trattamento dei dati sensibili (tra i quali figurano anche i dati sanitari) un primo passo verso l’armonizzazione deriva dalla emanazione della Raccomandazione R. (2002)9, che intende contestualizzare i principi generali della Convenzione n. 108 del 1981 nello specifico settore delle assicurazioni.

Come si può constatare il panorama normativo internazionale in materia di privacy è in costante evoluzione. A questo proposito occorre tuttavia prendere atto anche del fatto che lo stesso  quadro normativo italiano è destinato ad essere in buona parte rivoluzionato dall’intenzione del legislatore di adottare – in tempi ormai più che imminenti – un vero e proprio codice o testo unico in materia di privacy. Si auspica che il raggiungimento dell’ambizioso obiettivo della riunificazione  e armonizzazione di tutte le disposizioni italiane che riguardino da vicino la complessa materia dei dati personali possa finalmente risolvere i dubbi interpretativi e le difficoltà di attuazione della normativa che l’operatore sino ad oggi ha dovuto affrontare e che negli ultimi anni hanno richiesto l’intervento ermeneutico del garante e dell’autorità giudiziaria ordinaria.  

 

Home page            Articoli - Normativa             Contattaci