Ultimo aggiornamento: 20 aprile 2005
Il Codice della privacy
Il testo unico in materia di protezione dei dati personali, definitivamente approvato dal Consiglio dei ministri il 27 giugno 2003, ha assunto la veste giuridica di “Codice” (Decreto legislativo 30 giugno 2003, n. 196, pubblicato in G.U. 29 luglio 2003, Serie generale n. 174, Supplemento ordinario n. 123/L). Questa peculiare denominazione indica, oltre che l'importanza della normativa in esame, anche il fatto che il Codice riunisce - in unico testo - la "vecchia" legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici via via emanati in questi anni. Ma non solo, il Codice della privacy ha altresì innovato sia raccogliendo alcuni spunti tratti da precedenti decisioni, pareri, segnalazioni del Garante sia attuando la direttiva Ue 2002/58 per quanto concerne la riservatezza nelle comunicazioni elettroniche.
Il Codice è diviso in tre parti che si possono sommariamente indicare come segue:
- disposizioni generali;
- parte speciale relativa a specifici settori (giudiziario, difesa e sicurezza dello Stato, pubblico, sanitario, storico/statistico/scientifico, lavoro e previdenza, sistema bancario, comunicazioni elettroniche, libere professioni, giornalismo, marketing diretto);
- tutela dell'Interessato e sanzioni.
Il Codice è entrato in vigore quasi integralmente il 1 gennaio 2004. Tuttavia, dal 30 luglio 2003, sono in vigore le norme riguardanti:
- il ruolo organico e personale del Garante della privacy;
- l'istituzione del Centro nazionale per l'informatica nella pubblica amministrazione e la sostituzione con l'Autorità per l'informatica nella pubblica amministrazione;
- l'introduzione della sospensione feriale dei termini dal 1 agosto al 15 settembre, in materia di ricorsi.
Sono invece entrate in vigore il 30
aprile 2004 le norme in tema di notificazione.
Nei suoi primi sette mesi di vigenza il
Codice ha già subito da parte del Legislatore alcuni interventi modificativi.
Il primo intervento riguarda l’art.
132 in tema di “Conservazione di dati di traffico per altre finalità”
che è stato modificato dalla Legge
26 febbraio 2004 n. 45 e che ora prevede la conservazione dei dati, da
parte del fornitore di un servizio di comunicazione elettronica accessibile al
pubblico, per ventiquattro mesi per finalità di accertamento e repressione dei
reati e di ulteriori ventiquattro mesi per esclusive finalità di accertamento e
repressione di particolari delitti (elencati all’art. 407, comma 2, lett. a)
del C.p.p.) nonché dei delitti in danno di sistemi informatici o telematici.
Il secondo intervento riguarda invece
le disposizioni transitorie in materia di misure di sicurezza.
Per effetto della legge 1 marzo
2005 n. 26 (Conversione in legge con modificazioni del decreto legge
30.12.2004), il termine per la predisposizione del
Documento programmatico sulla sicurezza (D.P.S.) è stato prorogato al
31.12.2005.
L’art. 180 del Codice è stato, nella
sostanza, così modificato:
1.
Le misure minime di sicurezza “nuove” (rispetto a quelle già
previste dalla L.675/96 e D.P.R. 318/99) dovranno essere adottate entro il 31
dicembre 2005 (art. 180, I comma del Codice – proroga del termine originario 30.06.2004 al
31.12.2005).
2.
Se viene effettuata la comunicazione in cui il Titolare descrive le
obiettive ragioni tecniche che non consentono l’immediata applicazione delle
misure nuove (in un documento a data certa), il Titolare dovrà adeguarsi entro
il 31.03.2006 (art. 180, comma III
del Codice – proroga del termine originario 31.12.04 al 31.03.06).
Sul punto 1) è solo il caso di
rilevare che il Garante, in
un parere reso a Confindustria in data 22.03.04, aveva, con
un’interpretazione estensiva della normativa, già prorogato il termine per la
redazione del D.P.S. al 30 giugno 2004, anche per i Titolari per cui il D.P.S.
non era considerata una misura di sicurezza “nuova” e che, altrimenti,
avrebbero dovuto provvedere a tale adempimento entro il 31.03.2004.
A tal proposito si ricorda altresì, che,
in ogni caso, il Titolare deve riferire, nella relazione accompagnatori al
bilancio di esercizio, se dovuta, dell’avvenuta redazione o aggiornamento del
D.P.S.
I termini previsti dall'art. 180 del Codice sono stati più volte prorogati a seguito di tre distinti interventi attuati, successivamente, dal Legislatore:
con decreto legge n. 158/04 è stato prorogato, una prima volta, il termine di cui all'art. 180 comma I (dal 30.06.04 al 31.12.04) ed il termine di cui al comma III dal (31.12.04 al 31.03.05);
con decreto legge n. 266/04 è stato prorogato, una seconda volta, il termine di cui all'art. 180 comma I (dal 31.12.04 al 30.06.05) ed il termine di cui al comma III (dal 31.03.05 al 30.09.05);
infine, come si è accennato, con decreto legge n. 314/04 (Convertito in Legge 01.03.05) è stato ulteriormente prorogato il termine di cui all'art. 180 comma I (dal 30.06.05 al 31.12.05) ed il termine di cui al comma III dal (30.09.05 al 31.03.06).
L'ultimo intervento riguarda invece il
trattamento dei dati in ambito sanitario (Legge
26 maggio 2004, n.138 – pubblicata in G. U. n. 125 del 29 maggio 2004).
Con la crescente globalizzazione dei rapporti e delle relazioni commerciali, diventa sempre più importante e difficile, al tempo stesso, tracciare i confini di tutela del diritto alla privacy e alla riservatezza, nello scambio di dati e informazioni.
A
tale proposito il Codice Privacy costituisce il punto di arrivo di un lungo
processo normativo che ha avuto inizio in Italia con l’introduzione, nel
nostro ordinamento, della Legge 31 dicembre 1996, n. 675.
La
L. 675/96 (adottata in recepimento della Direttiva 95/46/CE) attribuiva senza
dubbio un alto livello di protezione dei dati personali, imponendo ai soggetti
cui competono le decisioni, in ordine alle modalità e finalità del trattamento
(titolari del trattamento), l’adozione di una serie di adempimenti più o meno
complessi, concernenti le diverse fasi di raccolta, elaborazione, conservazione
e più in generale di trattamento dei dati personali, ivi compreso il profilo
della sicurezza.
Nell’arco
dei sette anni in cui tale normativa è stata in vigore, la stessa è stata
modificata ben nove volte ed è stata affiancata da una notevole quantità di
disposizione sparse, di varia origine e rango, che hanno finito per costituire,
nel loro insieme, un sistema normativo notevolmente confuso, complesso e
disorganico.
Si
è trattato, infatti, di una vera e propria serie di interventi normativi,
talvolta addirittura incoerenti o di natura transitoria, che si sono sovrapposti
nel tempo e che sono stati adottati per esigenze di diversa natura, determinando
così un disordine normativo sulla tutela dei dati personali che ha reso
evidente l’esigenza di un’armonizzazione espositiva, attraverso la
sistemazione organica della privacy in un unico corpo normativo.
Il
Nuovo Codice nasce proprio dall’esigenza di assicurare un testo normativo
chiaro e, soprattutto, completo che garantisca all’interessato un elevato
livello di tutela dei diritti e delle libertà in materia di privacy nel
rispetto dei principi di
semplificazione, armonizzazione ed efficacia.
I principi e le regole sancite dal Codice trovano applicazione in tutte le ipotesi in cui vengano da chiunque effettuate, nel territorio dello Stato italiano, operazioni di trattamento di dati personali, siano essi riferibili a persone fisiche e/o giuridiche e/o a qualsiasi altro ente o associazione. Nel medesimo ambito di applicazione della citata normativa rientrano altresì le operazioni di trattamento di dati personali svolte da “chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea” (art. 5 comma 2).
Allegato
al Codice è stato emanato, altresì, il Disciplinare Tecnico in materia di
misure minime di sicurezza (Allegato B) che ha lo scopo di aggiornare e
sostituire il D.P.R. 318/ 99, introducendo alcune importanti modifiche tecniche
sulla base della passata esperienza ed in base alla evoluzione tecnologica che
si è riscontrata negli ultimi anni.
Il
Disciplinare, rispetto alla vecchia normativa, semplifica l’ambito della
propria attuazione distinguendo tra quelli che sono i trattamenti effettuati
attraverso l’uso di strumenti elettronici e
i trattamenti effettuati senza l’ausilio di quest’ultimi. Inoltre,
assegna al Titolare, al Responsabile (se designato) e agli incaricati l’onere
di adottare le misure minime descritte nel Disciplinare stesso. Uno degli
elementi nuovi, è costituito proprio nell’aver esplicitamente inserito anche
gli incaricati, tra i soggetti che hanno l’obbligo di applicare le misure
minime seguendo le specifiche istruzioni impartitegli dal Titolare o dal
Responsabile.
Al
riguardo si ricorda che le operazioni di trattamento possono essere effettuate:
1)
solo da
incaricati (incaricato può esser solo una persona fisica) che operano sotto la
diretta autorità del Titolare o del responsabile, attenendosi alle istruzioni
impartite;
2)
la designazione
dell’incaricato deve essere effettuata per iscritto e individua puntualmente
l’ambito del trattamento consentito.
Particolare
importanza innovativa assume poi l’introduzione, prevista dal Codice privacy,
delle nuove fonti normative rappresentata dai codici di deontologia e di buona
condotta per determinati settori di attività.
Ciò
che caratterizza maggiormente tali codici è la loro sostanziale duttilità che
permette di aggiornarli e modificarli, a seconda delle esigenze via via
richieste (si pensi, ad esempio, al campo delle comunicazioni on line
caratterizzate dalle continue novità tecnologiche), con un procedimento
normativo rapido, semplice e caratterizzato da una migliore capacità di
adattamento alla persistente evoluzione dei settori interessati alla disciplina.
Tale
nuovo procedimento di codificazione pone in risalto due aspetti innovativi molto
importanti.
Da
una parte il ruolo assunto dal Garante il quale esercita un ampio potere di
indirizzo e di controllo, sia sulla legittimazione rappresentativa dei soggetti
elaboratori delle regole, sia nella valutazione che tali regole siano conformi
ai principi del Codice e alle raccomandazioni adottate dal Consiglio d’Europa.
Dall’altra,
il risultato effettivo che tale procedimento riesce a realizzare facendo
confluire in un unico strumento normativo gli atti comunitari (specificamente le
raccomandazioni del Consiglio d’Europa), i poteri propulsivi e di indirizzo
dell’Autorità Garante, l’elaborazione delle regole da parte dei soggetti
rappresentativi di determinate categorie professionali.
A
tal proposito si segnala che fino ad oggi sono stati emanati: il codice
deontologico per l’attività giornalistica, il codice deontologico per i
trattamenti a scopi statistici e di ricerca scientifica e il codice deontologico
per i trattamenti a scopi storici.
Al
momento sono in fase di elaborazione altri codici relativi ai seguenti
trattamenti di dati personali effettuati:
-
nell’ambito dei
servizi di comunicazione e informazione offerti per via telematica;
-
a fini
previdenziali o per la gestione dei rapporti di lavoro:
-
a fini di invio
di materiale pubblicitario o di vendita diretta;
-
a fini di
regolamentare la videosorveglianza.
Con riguardo ai servizi di comunicazione e informazione per via telematica non si può non porre in rilievo come l’affermazione di Internet - quale veicolo di manifestazione delle relazioni sociali senza confini territoriali - ed il parallelo sviluppo del commercio elettronico, rendano più che mai necessaria la definizione di regole uniformi, su scala mondiale, a protezione dei cittadini e dei consumatori. La definizione di regole comuni a livello mondiale resta infatti l’obiettivo fondamentale per garantire l’applicabilità e la reale efficacia anche delle normative nazionali, a tutela del diritto della privacy.
Il
legislatore comunitario si è mosso in questa direzione, con la Direttiva
2000/31 sul commercio elettronico (G.u.C.e. 17 luglio 2000, L.178/1), il
cui obiettivo dichiarato è proprio l’armonizzazione dei sistemi nazionali
attraverso l’istituzione, all’interno dell’Unione europea, di un quadro
normativo omogeneo, volto a favorire lo sviluppo ed il buon funzionamento del
commercio elettronico. Il legislatore Italiano ha recepito i principi dettati
dalla Direttiva 2000/31 CE con il D.
Lgs. 70/2003 pubblicato in Gazzetta Ufficiale n. 87 del 14.04.03
Supplemento ordinario n. 61 ed entrato in vigore il 14.05.2003.
In tema di privacy, il D. Lgs. 70/2003 fissa alcune regole applicabili all’invio, per posta elettronica, di comunicazioni commerciali non sollecitate ed alla attività dei prestatori intermediari.
L’armonizzazione della tutela a livello mondiale è altresì al centro del negoziato, in materia di “data protection”, tra Stati Uniti ed Unione Europea che ha visto la posizione statunitense, più legata ai principi del libero mercato ad a regole flessibili, scontrarsi con quella, più rigida ed attenta ai diritti dell’individuo, dell’Unione Europea, fino a raggiungere un primo punto d’incontro nell’accordo “Safe Harbor” firmato nel luglio 2000.
L’aspetto
del coordinamento delle normative dei diversi paesi è stata al centro delle
problematiche connesse ai trasferimenti
dei dati all’estero. Questa materia è stata oggetto di numerosi interventi a
livello europeo.
Il
Codice, innovando la precedente normativa, affronta il tema del trasferimento
dei dati all’estero nel Titolo VII distinguendo a seconda che il trasferimento
avvenga tra Paesi dell’Unione Europea oppure verso Paesi Terzi. In relazione
al primo caso l’art. 42 disciplina che le disposizioni del Codice non possono
essere applicate in modo tale da restringere o vietare la libera circolazione
dei dati personali tra gli stessi Stati membri dell’Unione Europea. Tale
articolo costituisce un’applicazione del principio della libera circolazione
dei dati personali all’interno dello spazio comunitario, contenuto nell’art.
1 della direttiva 95/46/Ce.
Per
quanto riguarda l’ipotesi di trasferimenti di dati verso Paesi Terzi, il
Codice prevede che tale operazione sia
vietata quando l’ordinamento del Paese di destinazione o di transito dei dati
non assicuri un livello di tutela delle persone adeguato.Il trasferimento è,
invece, consentito nelle ipotesi espressamente previste ed elencate dall’art.
43 oppure quando l’operazione sia autorizzata dal Garante nei casi in cui
abbia individuato adeguate garanzie per i diritti dell’interessato, ovvero
siano stati individuati dalla Commissione Europea livelli di protezione adeguati
forniti da Paesi extra U.E. ed, infine, quando apposite clausole contrattuali
offrano sul tema garanzie sufficienti (art.44).
AGGIORNAMENTO PRECEDENTE (Link)
Home page Articoli - Normativa Contattaci |