PRIVACY

Ultimo aggiornamento: 20 aprile  2005

Il Codice della privacy

Il testo unico in materia di protezione dei dati personali, definitivamente approvato dal Consiglio dei ministri il 27 giugno 2003, ha assunto la veste giuridica di “Codice” (Decreto legislativo 30 giugno 2003, n. 196, pubblicato in G.U. 29 luglio 2003, Serie generale n. 174, Supplemento ordinario n. 123/L). Questa peculiare denominazione indica, oltre che l'importanza della normativa in esame, anche il fatto che il Codice riunisce - in unico testo - la "vecchia" legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici via via emanati in questi anni. Ma non solo, il Codice della privacy ha altresì innovato sia raccogliendo alcuni spunti tratti da precedenti decisioni, pareri, segnalazioni del Garante sia attuando la direttiva Ue 2002/58 per quanto concerne la riservatezza nelle comunicazioni elettroniche.

Il Codice è diviso in tre parti che si possono sommariamente indicare come segue:

- disposizioni generali;

- parte speciale relativa a specifici settori (giudiziario, difesa e sicurezza dello Stato, pubblico, sanitario, storico/statistico/scientifico, lavoro e previdenza, sistema bancario, comunicazioni elettroniche, libere professioni, giornalismo, marketing diretto);

- tutela dell'Interessato e sanzioni.

Il Codice è entrato in vigore quasi integralmente il 1 gennaio 2004. Tuttavia, dal 30 luglio 2003, sono in vigore le norme riguardanti:

- il ruolo organico e personale del Garante della privacy;

- l'istituzione del Centro nazionale per l'informatica nella pubblica amministrazione e la sostituzione con l'Autorità per l'informatica nella pubblica amministrazione;  

- l'introduzione della sospensione feriale dei termini dal 1 agosto al 15 settembre, in materia di ricorsi.

Sono invece entrate in vigore il 30 aprile 2004 le norme in tema di notificazione.

Nei suoi primi sette mesi di vigenza il Codice ha già subito da parte del Legislatore alcuni interventi modificativi.

Il primo intervento riguarda l’art. 132 in tema di “Conservazione di dati di traffico per altre finalità” che è stato modificato dalla Legge 26 febbraio 2004 n. 45 e che ora prevede la conservazione dei dati, da parte del fornitore di un servizio di comunicazione elettronica accessibile al pubblico, per ventiquattro mesi per finalità di accertamento e repressione dei reati e di ulteriori ventiquattro mesi per esclusive finalità di accertamento e repressione di particolari delitti (elencati all’art. 407, comma 2, lett. a) del C.p.p.) nonché dei delitti in danno di sistemi informatici o telematici.

Il secondo intervento riguarda invece le disposizioni transitorie in materia di misure di sicurezza.

Per effetto  della legge 1 marzo 2005 n. 26 (Conversione in legge con modificazioni del decreto legge 30.12.2004),  il termine per la predisposizione del Documento programmatico sulla sicurezza (D.P.S.) è stato prorogato  al 31.12.2005.

L’art. 180 del Codice è stato, nella sostanza, così modificato:

1.       Le misure minime di sicurezza “nuove” (rispetto a quelle già previste dalla L.675/96 e D.P.R. 318/99) dovranno essere adottate entro il 31 dicembre 2005 (art. 180, I comma del Codice – proroga del termine originario 30.06.2004 al 31.12.2005).

2.       Se viene effettuata la comunicazione in cui il Titolare descrive le obiettive ragioni tecniche che non consentono l’immediata applicazione delle misure nuove (in un documento a data certa), il Titolare dovrà adeguarsi entro il 31.03.2006 (art. 180, comma III del Codice – proroga del termine originario  31.12.04 al 31.03.06).

Sul punto 1) è solo il caso di rilevare che  il Garante, in un parere reso a Confindustria in data 22.03.04, aveva, con un’interpretazione estensiva della normativa, già prorogato il termine per la redazione del D.P.S. al 30 giugno 2004, anche per i Titolari per cui il D.P.S. non era considerata una misura di sicurezza “nuova” e che, altrimenti, avrebbero dovuto provvedere a tale adempimento entro il 31.03.2004.

A tal proposito si ricorda altresì, che, in ogni caso, il Titolare deve riferire, nella relazione accompagnatori al bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del D.P.S.

I termini previsti dall'art. 180 del Codice sono stati  più volte prorogati a seguito di tre distinti interventi attuati, successivamente,  dal Legislatore:

• con decreto legge n. 158/04 è stato prorogato, una prima volta,   il termine di cui all'art. 180 comma I (dal 30.06.04 al 31.12.04) ed il termine  di cui al comma III dal (31.12.04 al 31.03.05);

• con decreto legge n. 266/04 è stato prorogato,  una seconda volta,  il termine di cui all'art. 180 comma I (dal 31.12.04 al 30.06.05) ed il termine  di cui al comma III  (dal 31.03.05 al 30.09.05);

• infine, come si è accennato, con decreto legge n. 314/04 (Convertito in Legge 01.03.05) è stato ulteriormente prorogato  il termine di cui all'art. 180 comma I (dal 30.06.05 al 31.12.05) ed il termine di cui al comma III dal (30.09.05 al 31.03.06).

L'ultimo intervento riguarda invece il trattamento dei dati in ambito sanitario (Legge 26 maggio 2004, n.138 – pubblicata in G. U. n. 125 del 29 maggio 2004).

Con la crescente globalizzazione dei rapporti e delle relazioni commerciali, diventa sempre più importante e difficile, al tempo stesso, tracciare i confini di tutela del diritto alla privacy e alla riservatezza, nello scambio di dati e informazioni.

A tale proposito il Codice Privacy costituisce il punto di arrivo di un lungo processo normativo che ha avuto inizio in Italia con l’introduzione, nel nostro ordinamento, della Legge 31 dicembre 1996, n. 675.

La L. 675/96 (adottata in recepimento della Direttiva 95/46/CE) attribuiva senza dubbio un alto livello di protezione dei dati personali, imponendo ai soggetti cui competono le decisioni, in ordine alle modalità e finalità del trattamento (titolari del trattamento), l’adozione di una serie di adempimenti più o meno complessi, concernenti le diverse fasi di raccolta, elaborazione, conservazione e più in generale di trattamento dei dati personali, ivi compreso il profilo della sicurezza.

Nell’arco dei sette anni in cui tale normativa è stata in vigore, la stessa è stata modificata ben nove volte ed è stata affiancata da una notevole quantità di disposizione sparse, di varia origine e rango, che hanno finito per costituire, nel loro insieme, un sistema normativo notevolmente confuso, complesso e disorganico.

Si è trattato, infatti, di una vera e propria serie di interventi normativi, talvolta addirittura incoerenti o di natura transitoria, che si sono sovrapposti nel tempo e che sono stati adottati per esigenze di diversa natura, determinando così un disordine normativo sulla tutela dei dati personali che ha reso evidente l’esigenza di un’armonizzazione espositiva, attraverso la sistemazione organica della privacy in un unico corpo normativo.

Il Nuovo Codice nasce proprio dall’esigenza di assicurare un testo normativo chiaro e, soprattutto, completo che garantisca all’interessato un elevato livello di tutela dei diritti e delle libertà in materia di privacy nel rispetto dei  principi di semplificazione, armonizzazione ed efficacia.

I principi e le regole sancite dal Codice trovano applicazione in tutte le ipotesi in cui vengano da chiunque effettuate, nel territorio dello Stato italiano, operazioni di trattamento di dati personali, siano essi riferibili a persone fisiche e/o giuridiche e/o a qualsiasi altro ente o associazione. Nel medesimo ambito di applicazione della citata normativa rientrano altresì le operazioni di trattamento di dati personali svolte da “chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti  situati nel territorio dello Stato anche diversi da quelli elettronici,  salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea” (art. 5 comma 2).

Allegato al Codice è stato emanato, altresì, il Disciplinare Tecnico in materia di misure minime di sicurezza (Allegato B) che ha lo scopo di aggiornare e sostituire il D.P.R. 318/ 99, introducendo alcune importanti modifiche tecniche sulla base della passata esperienza ed in base alla evoluzione tecnologica che si è riscontrata negli ultimi anni.

Il Disciplinare, rispetto alla vecchia normativa, semplifica l’ambito della propria attuazione distinguendo tra quelli che sono i trattamenti effettuati attraverso l’uso di strumenti elettronici e  i trattamenti effettuati senza l’ausilio di quest’ultimi. Inoltre, assegna al Titolare, al Responsabile (se designato) e agli incaricati l’onere di adottare le misure minime descritte nel Disciplinare stesso. Uno degli elementi nuovi, è costituito proprio nell’aver esplicitamente inserito anche gli incaricati, tra i soggetti che hanno l’obbligo di applicare le misure minime seguendo le specifiche istruzioni impartitegli dal Titolare o dal Responsabile.

 Al riguardo si ricorda che le operazioni di trattamento possono essere effettuate:

1)       solo da incaricati (incaricato può esser solo una persona fisica) che operano sotto la diretta autorità del Titolare o del responsabile, attenendosi alle istruzioni impartite;

2)       la designazione dell’incaricato deve essere effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito.

Particolare importanza innovativa assume poi l’introduzione, prevista dal Codice privacy, delle nuove fonti normative rappresentata dai codici di deontologia e di buona condotta per determinati settori di attività.

 

Ciò che caratterizza maggiormente tali codici è la loro sostanziale duttilità che permette di aggiornarli e modificarli, a seconda delle esigenze via via richieste (si pensi, ad esempio, al campo delle comunicazioni on line caratterizzate dalle continue novità tecnologiche), con un procedimento normativo rapido, semplice e caratterizzato da una migliore capacità di adattamento alla persistente evoluzione dei settori interessati alla disciplina.

 

Tale nuovo procedimento di codificazione pone in risalto due aspetti innovativi molto importanti.

Da una parte il ruolo assunto dal Garante il quale esercita un ampio potere di indirizzo e di controllo, sia sulla legittimazione rappresentativa dei soggetti elaboratori delle regole, sia nella valutazione che tali regole siano conformi ai principi del Codice e alle raccomandazioni adottate dal Consiglio d’Europa.

 

Dall’altra, il risultato effettivo che tale procedimento riesce a realizzare facendo confluire in un unico strumento normativo gli atti comunitari (specificamente le raccomandazioni del Consiglio d’Europa), i poteri propulsivi e di indirizzo dell’Autorità Garante, l’elaborazione delle regole da parte dei soggetti rappresentativi di determinate categorie professionali.

 

A tal proposito si segnala che fino ad oggi sono stati emanati: il codice deontologico per l’attività giornalistica, il codice deontologico per i trattamenti a scopi statistici e di ricerca scientifica e il codice deontologico per i trattamenti a scopi storici.

 

Al momento sono in fase di elaborazione altri codici relativi ai seguenti trattamenti di dati personali effettuati:

-          nell’ambito dei servizi di comunicazione e informazione offerti per via telematica;

-          a fini previdenziali o per la gestione dei rapporti di lavoro:

-          a fini di invio di materiale pubblicitario o di vendita diretta;

-          a fini di regolamentare la videosorveglianza.

Con riguardo ai servizi di comunicazione e informazione per via telematica non si può non porre in rilievo come l’affermazione di Internet  - quale veicolo di manifestazione delle relazioni sociali senza confini territoriali - ed il parallelo sviluppo del commercio elettronico, rendano più che mai necessaria la definizione di regole uniformi, su scala mondiale, a protezione dei cittadini e dei consumatori. La definizione di regole comuni a livello mondiale resta infatti l’obiettivo fondamentale per garantire l’applicabilità e la reale efficacia anche delle normative nazionali, a tutela del diritto della privacy.

Il legislatore comunitario si è mosso in questa direzione, con la Direttiva 2000/31 sul commercio elettronico (G.u.C.e. 17 luglio 2000, L.178/1), il cui obiettivo dichiarato è proprio l’armonizzazione dei sistemi nazionali attraverso l’istituzione, all’interno dell’Unione europea, di un quadro normativo omogeneo, volto a favorire lo sviluppo ed il buon funzionamento del commercio elettronico. Il legislatore Italiano ha recepito i principi dettati dalla Direttiva 2000/31 CE con il D. Lgs. 70/2003 pubblicato in Gazzetta Ufficiale n. 87 del 14.04.03 Supplemento ordinario n. 61 ed entrato in vigore il 14.05.2003.

 

In tema di privacy, il D. Lgs. 70/2003 fissa alcune regole applicabili all’invio, per posta elettronica, di comunicazioni commerciali non sollecitate ed alla attività dei prestatori intermediari.

L’armonizzazione della tutela a livello mondiale è altresì al centro del negoziato, in materia di “data protection”, tra Stati Uniti ed Unione Europea che ha visto la posizione statunitense, più legata ai principi del libero mercato ad a regole flessibili, scontrarsi con quella, più rigida ed attenta ai diritti dell’individuo, dell’Unione Europea, fino a raggiungere un primo punto d’incontro nell’accordo “Safe Harbor” firmato nel luglio 2000.

L’aspetto del coordinamento delle normative dei diversi paesi è stata al centro delle problematiche connesse ai  trasferimenti dei dati all’estero. Questa materia è stata oggetto di numerosi interventi a livello europeo.

Il Codice, innovando la precedente normativa, affronta il tema del trasferimento dei dati all’estero nel Titolo VII distinguendo a seconda che il trasferimento avvenga tra Paesi dell’Unione Europea oppure verso Paesi Terzi. In relazione al primo caso l’art. 42 disciplina che le disposizioni del Codice non possono essere applicate in modo tale da restringere o vietare la libera circolazione dei dati personali tra gli stessi Stati membri dell’Unione Europea. Tale articolo costituisce un’applicazione del principio della libera circolazione dei dati personali all’interno dello spazio comunitario, contenuto nell’art. 1 della direttiva 95/46/Ce.

Per quanto riguarda l’ipotesi di trasferimenti di dati verso Paesi Terzi, il Codice prevede che tale operazione  sia vietata quando l’ordinamento del Paese di destinazione o di transito dei dati non assicuri un livello di tutela delle persone adeguato.Il trasferimento è, invece, consentito nelle ipotesi espressamente previste ed elencate dall’art. 43 oppure quando l’operazione sia autorizzata dal Garante nei casi in cui abbia individuato adeguate garanzie per i diritti dell’interessato, ovvero siano stati individuati dalla Commissione Europea livelli di protezione adeguati forniti da Paesi extra U.E. ed, infine, quando apposite clausole contrattuali offrano sul tema garanzie sufficienti (art.44).

 

AGGIORNAMENTO PRECEDENTE (Link)

 

Home page            Articoli - Normativa             Contattaci