Linee fondamentali del Codice della Privacy Maggio 2010

Transcript

1 Massimo Farina Linee fondamentali del Codice della Privacy Maggio 2010 Diritti d autore: la presente opera è realizzata esclusivamente per finalità didattiche nell ambito degli insegnamenti di Informatica Giuridica (Facoltà di Giurisprudenza, Università di Cagliari) e di Diritto dell Informatica e delle Nuove tecnologie (Corso di laurea in delle Telecomunicazioni, Università di Cagliari). È vietato qualsiasi altro uso senza il preventivo consenso dell autore. 1

2 INFORMATICA GIURIDICA...3 Codice della Privacy e trattamento dei dati personali Linee fondamentali del Codice Privacy Il Codice della Privacy: sistematica Le Disposizioni Generali: principi Le Disposizioni Generali: definizioni Gli adempimenti: introduzione Gli adempimenti verso il Garante Gli adempimenti verso gli interessati Gli adempimenti interni (o organizzativi) segue: in particolare l allegato b) Le nuove regole per la videosorveglianza I principi generali Settori specifici

3 INFORMATICA GIURIDICA Codice della Privacy e trattamento dei dati personali 1. Linee fondamentali del Codice Privacy Il 1 gennaio 2004 è entrato in vigore il decreto legislativo 30 giugno 2003, n. 196, cosiddetto Codice Privacy 1. Si tratta di un testo normativo che sostituisce la Legge n. 675/96 2 ; una fonte, quest ultima, alla quale va riconosciuto il grande merito di aver diffuso la consapevolezza dell esistenza di una sfera intangibile degna di tutela per ciascun individuo. La suddetta Legge ha, però, dimostrato una capacità applicativa assai scarsa. Fino al 31 dicembre 2003, la percentuale di soggetti che potevano essere definiti in regola era davvero minima. Con il Codice della Privacy (CdP) si è voluto interrompere l atteggiamento inerte di tutti coloro che, con totale indifferenza, rifiutavano consapevolmente l adeguamento alla politica del rispetto della sfera personale altrui. Il legislatore si è, pertanto, posto l obbiettivo di rompere col passato attraverso l adozione di un Testo Unico chiaro e semplice, teso a razionalizzare e semplificare la materia. Nel contempo, l Autorità Garante ha voluto scongiurare il pericolo di vivere la nuova disciplina in assenza di effettività mediante l adozione di un protocollo d intesa con il quale si è demandata la funzione di controllo alla Guardia di Finanza. 1 Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, in G.U. n. 174 del 29 luglio 2003, Supplemento Ordinario n. 123; [3] Decreto del Presidente della Repubblica 28 luglio 1999, n. 318, Regolamento recante norme per l'individuazione delle misure di sicurezza minime per il trattamento dei dati personali a norma dell'articolo 15, comma 2, della legge 31 dicembre 1996, n. 675, in G. U. 14 settembre 1999, serie generale, n Legge 31 dicembre 1996, n. 675, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, in G.U. n. 5 dell 8 gennaio 1997, Supplemento Ordinario n. 3 3

4 Correva l anno 2001, quando, con la legge-delega n. 127, il Parlamento incaricava il Governo per la redazione di un testo normativo in grado di disciplinare e proteggere il trattamento dei dati personali, anche mediate la risistemazione delle fonti già vigenti in materia. Nacque, così, il Codice della Privacy il 30 giugno 2003, che entrò in vigore il 1 gennaio Il CdP in perfetta linea con la direttiva 202/58/CE ha dato vita ad un nuovo sistema di tutela del dato personale dotato di maggiore coerenza e garanzia. 2. Il Codice della Privacy: sistematica Il Codice per la protezione dei dati personali è diviso in tre parti: I. DISPOSIZIONI GENERALI (detta anche parte generale), dedicata ai soggetti (Titolare, Responsabile, Incaricato, interessato), agli adempimenti ed alle regole del trattamento con riferimento ai settori pubblico e privato; II. DISPOSIZIONI RELATIVE A SPECIFICI SETTORI (detta anche parte speciale), che disciplina il trattamento in ambito giudiziario, sanitario, lavorativo, giornalistico, nonché i trattamento in ambito pubblico, giornalistico e nelle telecomunicazioni. III. TUTELA DELL'INTERESSATO E SANZIONI, dedicata alla tutela amministrativa, giurisdizionale ed alternativa a quest ultima. Nella parte terza è presente un intero Titolo (il terzo) dedicato alle sanzioni amministrative ed agli illeciti penali. In appendice al Codice sono presenti tre allegati contraddistinti con le prime tre lettere dell alfabeto: - Allegato A: Codici di deontologia, a sua volta suddiviso in tre parti; A.1 trattamento di dati personali nell esercizio dell attività giornalistica ; A.2 trattamenti di dati personali per scopi storici ; A.3 trattamenti di dati personali per scopi statistici in ambito SISTAN (Sistema Statistico Nazionale). - Allegato B: Disciplinare tecnico in materia di misure minime di sicurezza. 4

5 - Allegato C: Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia. Dei tre allegati sopraindicati, quello di maggiore interesse in questa sede è l allegato B, il quale disciplina (nella maggior parte dei punti che lo compongono) il trattamento di dati personali mediante l impiego di strumenti informatici. 3. Le Disposizioni Generali: principi Il Codice della Privacy si apre, all art. 1, con un chiaro principio Chiunque ha diritto alla protezione dei dati personali che lo Riguardano. Il significato di questa enunciazione è chiarissimo: i dati personali vanno tutelati sempre, qualunque sia il trattamento al quale sono sottoposti. I dati personali, infatti, sono informazioni relative alle persone (fisiche, giuridiche, enti od associazioni), la cui massima espressione di tutela è riconducibile all art. 2 della Costituzione, ove è statuito che la Repubblica riconosce e garantisce i diritti inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità, e richiede l'adempimento dei doveri inderogabili di solidarietà politica, economica e sociale. Qualsiasi attività, pertanto, che abbia per oggetto i dati personali, posta in essere nel territorio dello Stato con o senza l ausilio di mezzi elettronici o automatizzati deve essere svolta necessariamente in conformità alle regole contenute nel Codice della Privacy. In tal senso, il Codice della Privacy fissa alcuni principi generali che governano la sua intera struttura e, quindi, disciplinano il trattamento di dati personali; in particolare: Principio di finalità (articolo 11, comma 1, lett. b), in base al quale il trattamento è lecito soltanto se alla sua base sussiste una ragione che lo giustifica, appunto la finalità (ad es. un rapporto contrattuale). In base al suddetto principio le finalità devono essere determinate, esplicite e legittime e di pertinenza del Titolare del trattamento. 5

6 Principio di necessità (articolo 3): i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l'utilizzo di informazioni relative a clienti identificabili. Il trattamento di dati personali non è, pertanto, lecito se le finalità del trattamento (ad es. profilazione del cliente) possono essere perseguite con dati anonimi o solo indirettamente identificativi; Principio di proporzionalità (articolo 11, comma 1, lett. d): tutti i dati personali e le modalità del loro trattamento devono essere pertinenti e non eccedenti rispetto alle finalità perseguite (è sproporzionato, per esempio, il trattamento di dati che per la finalità dichiarata non è necessario trattare). 4. Le Disposizioni Generali: definizioni Per l art. 5 del D.lgs.196/03, l oggetto della tutela è il trattamento dei dati. Da ciò si ricava un primo dato essenziale, e cioè che l attenzione del legislatore è rivolta alle modalità di utilizzo dei dati da parte del Titolare. Ma chi è il Titolare del trattamento? È doveroso, a questo punto, chiarire alcune espressioni lessicali che, nel linguaggio comune (o anche giuridico), potrebbero essere intese con una valenza diversa da quella utilizzata nel Codice della Privacy. Il riferimento è all articolo 4 del CdP, rubricato, appunto, definizioni 3. Di seguito si analizzeranno alcune delle definizioni contenute nella norma, ritenute, tra tutte, di fondamentale importanza per la comprensione del presente testo 4. 3 Non è l unico caso, questo, in cui il legislatore segue la buona regola di spiegare la terminologia utilizzata nel testo normativo di riferimento. Si pensi, ad esempio, al Codice dell Amministrazione Digitale (d.lgs. n. 82/2005), il quale ha (anch esso) un articolo (il primo) dedicato all illustrazione del significato di una lungo elenco di termini, quali, ad esempio, firma digitale, firma elettronica, documento informatico ecc. 4 Per tutte le definizioni non espressamente illustrate, si rimanda alla lettura dell art. 4, d.lgs. 196/03. 6

7 Cominciamo dal trattamento, definito alla lettera a) dell art. 4 CdP: qualunque operazione o complesso di operazioni, effettuati anche senza l ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utilizzo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Va, innanzitutto, sottolineato che si rientra nel concetto di trattamento anche con il compimento di una sola delle operazioni elencate. La definizione è ampia e comprende ogni attività compiuta sul dato personale, anche senza ausilio di strumenti informatici. Vi sono, addirittura, La genericità del concetto di dato ha spinto il legislatore verso la specificazione dei singoli tipi rientranti nella categoria. La previgente normativa contemplava i dati personali, i dati sensibili ed i dati anonimi; il Codice della Privacy offre una tipologia più ricca. Tra le novità compare la definizione di dato giudiziario, ossia quelle informazioni in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato. Colui che esegue il trattamento dei dati personali altrui è denominato titolare. Il soggetto al quale si riferiscono le informazioni è,invece, l interessato. Quest ultimo è il protagonista principale del Codice della Privacy; esso è il dominus del dato personale, è colui che può autorizzare un altro soggetto (il titolare) al trattamento delle informazioni che lo riguardano. Ciascun interessato ha il diritto di accedere ai dati personali a sé riferiti e di esercitare gli altri diritti previsti dall art. 7 del Codice. In particolare, se l interessato esercita il proprio diritto d accesso ai dati che lo riguardano o uno degli altri diritti che gli sono riconosciuti, il titolare del trattamento (o il responsabile) è obbligato a fornire riscontro entro quindici giorni dal ricevimento dell istanza (art. 146 CdP). Qualora alla richiesta di accesso, seguisse un omesso o incompleto riscontro, i predetti diritti possono essere fatti valere dinanzi all autorità giudiziaria o, alternativamente, con ricorso all autorità Garante (art. 145 del CdP). Veniamo ora ad un altra figura contemplata nel CdP, poc anzi menzionata, è cioè il Responsabile (del trattamento). La persona fisica, giuridica o l ente, che 7

8 decide sulla finalità, la modalità del trattamento e sugli strumenti utilizzati per esso (cioè il titolare del trattamento), può nominare uno o più soggetti responsabili del trattamento dei dati con poteri determinati dallo stesso titolare attraverso l atto di nomina. Tutti coloro, invece, che effettivamente prenderanno cognizione diretta dei dati (per esempio gli impiegati) sono denominati incaricati. A questi ultimi dovranno essere impartite precise istruzioni esecutive, da parte del titolare o del responsabile, riguardanti le modalità di trattamento dei dati. Questa, in maniera assai semplificata, è la suddivisone dei compiti privacy all interno della struttura aziendale. Per semplificare l esposizione non sono state considerate ulteriori definizioni 5, per le quali si rimanda alla consultazione diretta del d.lgs. n. 196/03. 5 Di seguito alcune fondamentali definizioni. - TITOLARE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; - INTERESSATO: la persona fisica, giuridica o l ente cui si riferiscono i dati personali; - RESPONSABILE: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; - INCARICATI: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; - GARANTE: l autorità di cui all articolo 153, istituita dalla legge 31 dicembre 1996, n. 675; - TRATTAMENTO: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; - DATO PERSONALE: qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; - DATI SENSIBILI: i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale; - DATI GIUDIZIARI: i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.p.r. 14 novembre 2002, n. 313, in materia di 8

9 TITOLARE (del trattamento) RESPONSABILE/I (del trattamento) INCARICATO/I (del trattamento) Distribuzione soggettiva dei compiti, in ambito aziendale, per il trattamento dati personali casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; - MISURE MINIME: il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31; - CREDENZIALI DI AUTENTICAZIONE: i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica. 9

10 5. Gli adempimenti: introduzione Una possibile classificazione sugli obblighi gravanti in capo al titolare del trattamento potrebbe essere la seguente: adempimenti verso l Autorità Garante, adempimenti verso gli interessati, adempimenti interni (o organizzativi). Si riporta di seguito uno schema riassuntivo: I PRINCIPALI ADEMPIMENTI ADEMPIMENTI VERSO L AUTORITÀ GARANTE Notificazione Autorizzazione ADEMPIMENTI VERSO GLI INTERESSATI Informativa Richiesta di consenso ADEMPIMENTI INTERNI (O ORGANIZZAT IVI) Misure minime di sicurezza 5.1. Gli adempimenti verso il Garante Il CdP prevede due tipi di adempimenti da effettuarsi verso il Garante per la Protezione dei dati Personali: la notificazione e la richiesta di autorizzazione per i trattamenti effettuati. La notificazione è una dichiarazione attraverso la quale il Titolare comunica al Garante l esistenza di un attività di trattamento di dati personali. Sotto la 10

11 vigenza della Legge 675/96 si prevedeva un obbligo di notificazione quasi generalizzato; nella gran parte dei casi i titolari dovevano comunicare l attività di trattamento all autorità Garante. Il codice Privacy ha notevolmente ridimensionato l obbligo di notificazione: essa, oggi, dev essere effettuata nei soli casi tassativamente previsti all articolo A titolo d esempio, tra esse, rientra il trattamento di dati genetici e dati biomedici oppure il trattamento di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica. Al di fuori delle specifiche ipotesi elencate dall art. 37, non è necessaria la notificazione, ancorché si trattino dati sensibili e/o giudiziari. Resta fermo il potere del Garante di individuare, con proprio 6 Di seguito, l elenco delle fattispecie per le quali vi è obbligo di notificazione contenute nell art. 37 CdP: a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale; d) dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonchè dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie; f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. 11

12 provvedimento, alcuni trattamenti esonerabili dall obbligo di notificazione ovvero indicare quelli che, seppur non contenuti nell articolo 37, dovranno essere notificati. La notificazione va fatta, una sola volta per tutti i trattamenti, all inizio dell attività a prescindere dal numero delle operazioni e della durata del trattamento da effettuare ; una nuova notificazione da parte dello stesso titolare è imposta qualora cessi definitivamente l attività di trattamento ovvero nell ipotesi di mutamento di taluno degli elementi da indicare nella notificazione medesima. Per tutti coloro che già svolgevano attività di trattamento, rientrante nelle ipotesi tassative dell articolo 37, prima del gennaio 2004, il termine ultimo per adempiere all obbligo di notificazione era stato fissato al 30 aprile 2004; per i trattamenti cominciati dopo tale data, resta fermo l obbligo di notificazione prima dell inizio del trattamento medesimo. Al secondo comma dell articolo 38, del D.lgs. 196/03, è prevista la modalità di notificazione con sottoscrizione digitale ed esclusivamente per via telematica, attraverso la compilazione del modello disponibile sul sito la procedura va eseguita anche in caso di già avvenuta notificazione secondo la precedente Legge 675/96. Infine, gli articoli 163 e 168 contengono le sanzioni per omessa o incompleta notificazione e per falsità nelle dichiarazioni e notificazioni. Nella prima ipotesi è prevista la sanzione pecuniaria amministrativa da ventimila euro a centoventimila euro; il reato di falsità è punito con la reclusione da 6 mesi a 3 anni. Per quanto riguarda la Richiesta di Autorizzazione al Garante, si tratta di un adempimento previsto, all art. 26 del CdP, per tutti i titolari che trattano dati sensibili, salvi i casi di deroga 7. La disposizione in oggetto prevede che i dati 7 Il comma 3, dell art. 26 CdP, deroga all obbligo di autorizzazione nei seguenti casi: a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante; b) dei dati riguardanti l'adesione di associazioni od organizzazioni a carattere sindacale o di 12

13 sensibili possono essere oggetto di trattamento solo [ ] previa autorizzazione del Garante. In seguito alla richiesta di autorizzazione presentata dal titolare del trattamento, il Garante comunica la decisione adottata entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell interessato, che il titolare del trattamento è tenuto ad adottare. Tenuto conto dell altissimo numero di soggetti interessati, il legislatore ha previsto, all art. 40 del CdP, le cosiddette Autorizzazioni Generali 8, concesse a determinate categorie di titolari o di trattamenti. Più in particolare, il trattamento dei dati in questione può essere autorizzato dal Garante, d ufficio, con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti. Il Garante ha fatto ricorso allo strumento delle autorizzazioni generali fin dal 2004, adottando, così, uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati e, nel contempo, rendendo superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento. Tra le categorie interessate, vi rientrano, infatti, i trattamenti svolti nell ambito dei rapporti di lavoro, quelli effettuati da parte di organismi di tipo associativo e delle fondazioni ovvero da liberi professionisti. categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria. 8 Di seguito l elenco delle Autorizzazioni Generali (pubblicate in G.U. n. 13 del 18 gennaio supp. ord. n. 12) in vigore per tutto il 2010: n. 1/2009 trattamento dei dati sensibili nei rapporti di lavoro ; n. 2/2009 trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale ; n. 3/2009 trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni ; n. 4/2009 trattamento dei dati sensibili da parte dei liberi professionisti ; n. 5/2009 trattamento dei dati sensibili da parte di diverse categorie di titolari ; n. 6/2009 trattamento dei dati sensibili da parte degli investigatori privati ; n. 7/2009 trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici. Oltre alle sette autorizzazioni sopraelencate, ne esiste una ulteriore dedicata al trattamento dei dati genetici rilasciata, per la prima volta, il 22 febbraio 2007, la cui efficacia è stata differita in data 15 gennaio 2009 (pubblicata in G.U. n. 11/2009). 13

14 Ebbene, tutti i destinatari di Autorizzazioni Generali dovranno semplicemente far riferimento alle regole contenute ivi contenute, che l Authority ha dettato per ognuno dei settori di cui sopra. Al trattamento di dati sensibili in assenza di autorizzazione, laddove necessaria, consegue l applicazione delle sanzioni previste all articolo 167, punto 2, del Codice Privacy: reclusione da 1 a 3 anni, se dal fatto deriva nocumento e se sussiste il fine di trarne per sé o per altri profitto o di recare ad altri un danno (dolo specifico). Anche in questo caso, tenuto conto della particolare natura dei dati coinvolti, il legislatore ha scelto di ricorrere ai rimedi tipici del diritto penale Gli adempimenti verso gli interessati L impianto normativo dettato in tema di Privacy è dedicato alla tutela dei diritti e delle libertà fondamentali delle persone fisiche, giuridiche o degli enti cui si riferiscono i dati personali trattati. I principali destinatari della tutela sono,quindi, gli interessati, verso i quali il legislatore ha stabilito dei precisi adempimenti che i titolari del trattamento devono rispettare. Si tratta di due obblighi ben precisi: fornire l informativa e richiedere il consenso per il trattamento di dati. L obbligo di informativa è previsto all articolo 13 del D.lgs. 196/03. Si tratta di una comunicazione, orale o scritta, finalizzata ad informare l interessato sui soggetti che effettueranno il trattamento, attraverso quali modalità e per quali finalità. La norma di riferimento indica con estrema precisione gli elementi che devono essere contenuti nella comunicazione: la finalità e modalità del trattamento, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere, i soggetti o le categorie di soggetti a cui possono essere comunicati i dati o che possono venirne a conoscenza, gli estremi identificativi del titolare ed i diritti dell interessato. Trattandosi di un adempimento a forma libera (anche orale) non esistono formulari preconfezionati, ciascun titolare elabora l informativa secondo le proprie esigenze e, soprattutto, in base alla tipologia di rapporto sussistente tra 14

15 esso e l interessato. L unico vincolo per il titolare, nella formulazione dell informativa, è rappresentato dalle indicazioni presenti nell articolo 13 del CdP, il quale ne individua il contenuto 9. Quanto ai diritti dell interessato, previsti all articolo 7 del Codice Privacy, nell informativa va puntualmente evidenziato che l interessato ha diritto ad essere informato su tutto ciò che concerne il trattamento dei propri dati. Tali diritti vengono esercitati con richiesta, rivolta anche senza formalità al titolare, alla quale è fornito idoneo riscontro senza ritardo. La violazione dell obbligo di informativa verso l interessato, denominata nel codice omessa o inidonea informativa, è sanzionata da seimila euro a trentaseimila euro 10. Altro adempimento, da espletare nei confronti dell interessato, è costituito dalla preventiva richiesta di consenso 11 al trattamento dei dati. L articolo 23 del Codice Privacy impone al titolare di richiedere il consenso scritto nell ipotesi di trattamento di dati sensibili. Per la restante categoria di dati, quelli definiti 9 È di fondamentale importanza, in questa sede, precisare che sebbene l informativa non debba necessariamente avere la forma scritta (l art. 13 del CdP recita oralmente o per iscritto ), quest ultima è consigliata in tutti i casi nei quali il titolare voglia precostituirsi una prova comoda e forte per dimostrare di aver adempiuto all obbligo di informativa. È pur vero che la forma scritta non è l unica ammessa per la dimostrazione di quanto sopra; di conseguenza, il titolare potrà eventualmente dimostrare di aver adempiuto anche mediante la prova testimoniale ovvero mediante riproduzioni meccaniche di cui all art del codice civile (si pensi, a titolo d esempio, alla registrazione vocale effettuata da parte di coloro che propongono beni e servizi per via telefonica). 10 La sanzione è stata così modificata dalla legge 27 febbraio 2009, n. 41 di conversione, con modificazioni, del decreto-legge n. 207 del 30 dicembre In precedenza la sanzione era differente a seconda del tipo di dati trattati: per i dati comuni da a euro e per i dati sensibili o giudiziari da a euro. Inoltre, la medesima disposizione prevedeva la possibilità di aumentare la sanzione sino al triplo quando risultasse inefficace in ragione delle condizioni economiche del contravventore. 11 Si noti la distinzione tra consenso (adempimento verso l interessato) ed autorizzazione (adempimento verso l Autorità Garante). Seppure dal punto di vista semantico i due termini hanno una valenza intercambiabile, nell ambito degli adempimenti privacy il loro significato è assai differente. 15

16 genericamente comuni, si richiede il consenso espresso 12. Ciò significa che potrebbe essere fornito anche oralmente. Va rilevato, tal proposito, il disposto del comma 3, laddove, il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all interessato le informazioni di cui all articolo 13. Si evidenza, in tal modo, la necessità di un formalismo specifico, relativamente all aspetto sostanziale dell adempimento. Va, peraltro, precisato che l essere documentato per iscritto non è da intendere quale consenso scritto richiesto per il trattamento di dati sensibili. Quest ultimo consiste nella sottoscrizione da parte dell interessato, che non è, al contrario necessaria, laddove la norma richiede semplicemente di documentare per iscritto la manifestazione di consenso. Documentare per iscritto significa anche semplicemente che il titolare del trattamento annota, per iscritto, che l interessato ha manifestato il consenso per uno specifico trattamento dei dati che lo riguardano. Agli articoli 24 e 26 sono previste alcune deroghe all obbligo di manifestazione di consenso espresso. Tra le ipotesi escluse è compreso: il trattamento necessario per adempiere ad obblighi normativi; il trattamento necessario per eseguire obblighi derivanti da un contratto del quale è parte l interessato [ ] o per adempiere, prima della conclusione del contratto, a specifiche richieste dell interessato ed il trattamento riguardante dati contenuti in pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Più precisamente, l articolo 26 prevede alcune ipotesi di esclusione dal consenso nel trattamento di dati sensibili, previa autorizzazione, anche generale, del Garante. Si tratta, tra gli altri, del trattamento effettuato da associazioni, enti od organismi senza scopo di lucro a carattere politico, filosofico, religioso o sindacale [ ]; del 12 La legge 27 febbraio 2009, n. 14, in sede di conversione con modificazioni del decreto-legge 30 dicembre 2008, n. 207, ha aggiunto il seguente comma 1-bis all art. 23 del Codice Privacy: 1-bis - I dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici formati prima del 1 agosto 2005 sono lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1 agosto

17 trattamento necessario per la salvaguardia della vita o dell incolumità fisica di un terzo; del trattamento necessario per le investigazioni difensive o per far valere in sede giudiziaria un diritto ed infine del trattamento necessario per l adempimento di compiti od obblighi previsti dalla legge, da un regolamento o da normativa comunitaria per la gestione del rapporto di lavoro. Il titolare che procede al trattamento senza consenso per i dati comuni è punito con è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi (art. 167, comma 1, d.lgs. 196/03) Gli adempimenti interni (o organizzativi) L Allegato B al D.lgs. 196/03 è il disciplinare tecnico in materia di misure minime di sicurezza. Si tratta di quel complesso di misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione normativamente richiesto rispetto ai rischi i rischi di distruzione o perdita dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta. È doveroso, prima di analizzare alcune delle singole misure di sicurezza, illustrare la differenza tra misure minime e misure idonee. Le prime sono dettagliatamente previste nel disciplinare tecnico di cui sopra è rappresentano i parametri di sicurezza basilari (il minimo indispensabile) individuati nel CdP agli articoli 33, 34, 35 e 36; se questa tipologia di misura non viene rispettata, si concretizza la fattispecie di responsabilità penale di omissione delle misure minime, cui consegue la sanzione detentiva dell arresto sino a due anni (art. 169 CdP) 13. La medesima disposizione, al comma 2, prevede il cosiddetto ravvedimento operoso che consiste in una prescrizione dell Autorità Garante, nei confronti dell autore del reato, mediante la quale si fissa un termine, per la regolarizzazione delle non conformità rilevate, non superiore al periodo di tempo tecnicamente necessario e comunque non 13 L art. 169 è stato, da ultimo, modificato con legge 27 febbraio 2009, n. 41 di conversione, con modificazioni, del decreto-legge n. 207 del 30 dicembre

18 superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l adempimento alla prescrizione, l autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa 14. L adempimento e il pagamento estinguono il reato. Le misure minime, però, non sono concretamente in grado di garantire la sicurezza dei sistemi utilizzati per il trattamento dei dati personali e, di conseguenza, il loro preciso rispetto non è sufficiente a liberare da ogni responsabilità il titolare (o chi per lui) del trattamento. Le misure devono, pertanto, essere idonee ad evitare il danno che, dal trattamento, potrebbe derivare all interessato. Spetta al titolare del trattamento, di volta in volta, individuare le misure più idonee a garantire un trattamento sicuro che non sia fonte di danno per l interessato. Le misure idonee sono il risultato di una scelta accurata del titolare, il quale deciderà sulla base del bilanciamento di tutte le variabili in gioco: conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta 15. Il titolare che non garantisce misure idonee al trattamento, può essere colpito da responsabilità civile e, di conseguenza, essere obbligato a risarcire il danno in base al disposto dell art. 15 del CdP, il quale rimanda all art del Codice Civile (responsabilità per l esercizio di attività pericolose). La disposizione richiamata si riferisce alle fattispecie in cui taluno provochi dei danni a terzi nello svolgimento di un attività ritenuta pericolosa per sua natura o per natura dei mezzi adoperati ; colui che esercita tale tipo di attività deve risarcire il danno, ed ha facoltà di scagionarsi solamente dimostrando di aver adottato tutte le misure idonee ad evitare l evento dannoso. Si tratta di una presunzione speciale di colpa a carico del titolare del trattamento. Grava, infatti, su 14 La sanzione stabilita per la violazione amministrativa è da diecimila euro a centoventimila euro (art. 162, comma 2-bis, CdP). 15 Art. 31 Codice della Privacy. 18

19 quest ultimo (che esegue l attività ritenuta pericolosa) l onere di provare 16 di aver adottato tutte le misure necessarie (ossia idonee) per evitare il danno, facendo riferimento ad adeguate prassi tecniche conosciute di sicurezza informatica, mentre il danneggiato deve solo dimostrare l esistenza del danno segue: in particolare l allegato b) Venendo, ora, all esame più dettagliato delle misure minime di sicurezza, il punto di riferimento è necessariamente l Allegato B, il quale ne contiene l elenco preciso. Il primo passo consiste nella predisposizione di un sistema di autenticazione informatica. Ciò significa che il trattamento dei dati personali deve essere consentito solo agli incaricati muniti di credenziali di autenticazione. Queste ultime sono costituite da un codice, per l identificazione dell incaricato, associato ad una parola chiave segreta e conosciuta esclusivamente dall incaricato stesso, il quale è, altresì, obbligato ad adottare tutte le cautele necessarie per assicurarne la segretezza. La password deve essere composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all incaricato (ad esempio il 16 In deroga alla regola generale, l art. 15 CdP (e anche l art c.c.) inverte l onere probatorio spettante all attore. Di regola, infatti, nel nostro ordinamento, l onere probatorio spetta a colui che agisce in giudizio; egli, è tenuto a provare i fatti posti a fondamento del diritto su cui si basa la domanda, mentre il convenuto può limitarsi a contestare la verità di tali fatti, o la loro inidoneità a costituire il fondamento del diritto vantato, o può indicare la sussistenza di altri fatti che modificano o estinguono il diritto dell attore. L inversione dell onere della prova è un meccanismo che il legislatore adopera ogni volta che lo svolgimento di una determinata attività richieda una livello di attenzione tale da tradursi in regole tecniche. Chi esercita un attività pericolosa ai sensi dell articolo 2050 c.c. per liberarsi dalla domanda dell attore, ha l onere di dimostrare di aver adottato tutte le misure adeguate, ossia tutte quelle cautele di prudenza, e di perizia, che si ritengono normalmente appropriate in relazione alla natura dell attività, e che devono essere, com è ovvio, conformi alle prescrizioni normative. 19

20 nome, la data di nascita ecc) ed è modificata da quest ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi (se il trattamento riguarda dati comuni). In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. In tema di gestione delle credenziali, l allegato b) prevede, inoltre, che in caso di non utilizzo delle stesse per almeno sei mesi, si debba disattivarle; fanno eccezione a tale regola le ipotesi di utilizzo esclusivamente finalizzato alla gestione tecnica per le quali non è prevista tale scadenza di modifica. È prevista l adozione di un sistema di autorizzazione per gli incaricati, ai quali siano stati attribuiti differenti profili di accesso ai dati. In tal caso, l allegato b), impone di limitare l accesso ai soli dati effettivamente necessari alla realizzazione delle operazioni di trattamenti cui sono preposti gli incaricati. Per raggiungere tale obbiettivo si configurano (prima che il trattamento abbia inizio) i profili di autorizzazione per ciascun incaricato o per classi omogenee di incaricati. Ciò fatto, con cadenza annuale si dovrà verificare la sussistenza delle condizioni per la conservazione dei suddetti profili di autorizzazione. Atro aspetto, assai delicato, riguarda la protezione dei dati personali contro il rischio di intrusione e dell azione di programmi diretti a danneggiare o interrompere un sistema informatico 17, mediante l attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale. Lo strumento più idoneo ad evitare l azione dei programmi pericolosi è un valido e aggiornato antivirus. L allegato b), al punto 16, ne prescrive un aggiornamento semestrale ma, com è noto, un adeguata protezione impone l aggiornamento quotidiano, soprattutto se l elaboratore è, spesso, connesso alla rete Internet. L antivirus è u programma che si occupa di monitorare il sistema informatico, tenendo sotto controllo tutti i files che vengono caricati in memoria e procedendo ad una scansione degli stessi al fine di individuare eventuali programmi che possano arrecare danni al sistema informatico. La connessione in Rete, sia pubblica che privata, sottopone l elaboratore ad elevati rischi di intrusione indesiderata (il cosiddetto vandalismo 17 Si veda, in tal senso, l art. 615-quinquies del codice penale ( diffusione di programmi diretti a danneggiare o interrompere un sistema informatico ), espressamente menzionato al punto 16 dell allegato b) d.lgs. 196/03 20