In Italia il "diritto alla protezione dei dati personali" è garantito dal primo articolo del "Codice in materia di protezione dei dati personali" (anche noto come decreto legislativo 30 giugno 2003, n. 196 o Testo Unico sulla privacy) il quale dichiara: " Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale protezione consiste, oltre che alla garanzia dell'adozione di appropriate misure di sicurezza quando si trattano i dati personali, anche nel diritto alla “riservatezza”.
Il diritto alla riservatezza (privacy in inglese) ha un importanza molto sentita nella norma italiana, tanto che, essa viene di fatto denominata “legge sulla privacy”.
Lo spirito della legge non è di impedire il trattamento dei dati ma di evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Il Codice, in pratica, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni. Il Codice definisce in maniera chiara ed inequivocabile diritti degli interessati, cioè di coloro a cui si riferiscono i dati.
ALCUNE NOZIONI:
COSA SONO I DATI PERSONALI
Dal "Codice in materia di protezione dei dati personali", Art. 4 punto b), si definiscono "DATO PERSONALE", qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
DATI PARTICOLARI, SENSIBILI O GIUDIZIARI
- dati particolari sono il sottoinsieme dei dati personali formati da dati sensibili e dati giudiziari.
- dati sensibili sono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
- dati giudiziari sono i dati personali relativi al casellario giudiziale, alle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o che rivelano la qualità di imputato o di indagato.
NORME PIÙ IMPORTANTI SULLA PRIVACY PER LE AZIENDE:
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Il Garante per la protezione dei dati personali è un organo collegiale costituito da quattro membri, eletti due dalla Camera dei deputati e due dal Senato della Repubblica con voto limitato. Essi eleggono nel loro ambito un presidente, il cui voto prevale in caso di parità. I membri sono scelti tra persone che assicurino indipendenza e che siano esperti di riconosciuta competenza delle materie del diritto o dell’informatica, garantendo la presenza di entrambe le qualificazioni.
COMPITI DEL GARANTE:
- Controllo della conformità dei trattamenti di dati personali a leggi e regolamenti e la segnalazione ai titolari o ai responsabili dei trattamenti delle modifiche da adottare per conseguire tale conformità;
- esame delle segnalazioni, dei ricorsi e dei reclami degli interessati;
- adozione dei provvedimenti previsti dalla normativa in materia tra cui, in particolare, le autorizzazioni generali per il trattamento dei dati sensibili;
- promozione, nell’ambito delle categorie interessate, della sottoscrizione dei codici di deontologia e di buona condotta;
- divieto, in tutto od in parte, ovvero il blocco del trattamento di dati personali quando per la loro natura, oppure per le modalità o gli effetti di tale trattamento, vi sia il rischio concreto di un rilevante pregiudizio per l’interessato;
- segnalazione al Governo dei provvedimenti normativi di settore, la cui adozione si manifesti opportuna, e la formulazione dei pareri richiesti dal Presidente del Consiglio o da ciascun ministro in ordine ai regolamenti ed agli atti amministrativi inerenti alla materia della protezione dei dati personali;
- predisposizione di una relazione annuale sull’attività svolta e sullo stato di attuazione della legge e la sua trasmissione al Parlamento e al Governo;
- partecipazione alle attività comunitarie ed internazionali di settore, quale componente delle autorità comuni di controllo previste da convenzioni internazionali (Europol, Schengen, Sistema informativo doganale);
- controllo, anche a richiesta degli interessati, sui trattamenti dei dati personali effettuati da forze di polizia e dai servizi di informazione e di sicurezza;
- l’indicazione degli accorgimenti da adottare nell’uso dei dati "semi-sensibili" (cd. prior checking, introdotto dal d.lg. n. 467/2001).
OSSERVAZIONI:
ARTICOLO 7 DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI - DIRITTI DI ACCESSO AI DATI PERSONALI ED ALTRI DIRITTI
Il sopracitato articolo definisce che l'interessato presenta i seguenti diritti:
-ottenimento della conferma dell'esistenza o meno dei dati personali che lo riguardano, anche se non ancora registrati;
-origine dei dati personali;
-finalità e modalità del trattamento;
-logica applicata in caso in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
-quando vi ha interesse l'aggiornamento e/o l'integrazione dei dati;
-la cancellazione, la trasformazio
Articolo 7: l'interessato ha diritto di ottenere:
- la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile
- l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
- la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
L'interessato, infine, ha diritto di opporsi, in tutto o in parte:
- per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
- al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
ARTICOLO 13 DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI - INFORMATIVA
Il sopracitato articolo stabilisce che l'interessato o la persona presso la quale sono raccolti i dati personali, devono essere informati oralmente o per iscritto circa le finalità, le modalità e la natura del trattamento cui sono destinati i dati.
ARTICOLO 23 DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI - CONSENSO
Il sopracitato articolo stabilisce che il trattamento di dati personali di privati o di enti pubblici economici è ammesso solo con il consenso espresso dall'intestatario in forma orale o in forma scritta quando il trattamento riguarda dati sensibili.
ARTICOLO 31 DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI - OBBLIGHI DI SICUREZZA
Il sopracitato articolo stabilisce che i dati personali, oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l´adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito.
ARTICOLO 34 DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI - TRATTAMENTI CON STRUMENTI ELETTRONICI
Il sopracitato articolo, definisce le misure minime di sicurezza in caso di trattamento con strumenti elettronici. Tale trattamento è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico, contenuti nell'allegato B), le seguenti misure minime:
- autenticazione informatica;
- adozione di procedure di gestione delle credenziali di autenticazione;
- utilizzazione di un sistema di autorizzazione;
- aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
- adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
- tenuta di un aggiornato documento programmatico sulla sicurezza;
- adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
ARTICOLO 35 DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI - TRATTAMENTI SENZA L'AUSILIO DI STRUMENTI ELETTRONICI
Il sopracitato articolo, definisce le misure minime di sicurezza in caso di trattamenti senza l'ausilio di strumenti elettronici. Tale trattamento è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico, contenuti nell'allegato B), le seguenti misure minime:
- aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
-
previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
-
previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.
Il nuovo regolamento è entrato in vigore il 24 maggio 2016 ma troverà applicazione negli Stati solo alla data del 25 maggio 2018: le imprese e le pubbliche amministrazioni hanno pertanto due anni (un periodo di tempo congruo ma non troppo ampio) per organizzarsi e adeguarsi alle nuove regole.
