Legge sulla privacy
La legge n.675 del 31 dicembre 1996 è intitolata Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, ma è generalmente nota come legge sulla privacy. Venne introdotta per rispettare gli Accordi di Schengen ed entrò in vigore nel maggio 1997. Con il tempo a tale norma si sono affiancate ulteriori diverse leggi, riguardanti singoli specifici aspetti del trattamento dei dati.
Il Decreto Legislativo 30 giugno 2003, n. 196, ha riordinato la normativa adesso nota come "Codice di protezione dei dati personali" entrato in vigore il primo gennaio 2004.
| Indice |
La normativa
NB: se non indicato diversamente, si fa riferimento alla legge n.675 del 31.12.1996.
Finalità
Le finalità del d. lgs. 196/03 consistono nel riconoscimento del diritto del singolo sui propri dati personali e, conseguentemente, nella disciplina delle diverse operazioni di gestione (tecnicamente "trattamento") dei dati, riguardanti la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi.
Il diritto assoluto di ciascuno sui propri dati è esplicitamente riconosciuto dall'art. 1 del testo unico, in cui si afferma: "Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale diritto appartiene alla categoria dei diritti della personalità.
Il diritto sui propri dati è differente dal diritto alla riservatezza, in quanto non riguarda solamente informazioni inerenti la propria vita privata, ma si estende in generale a qualunque informazione relativa ad una persona, anche se non coperta da riserbo (sono dati personali ad esempio il nome o l'indirizzo della propria abitazione).
Lo scopo della legge non è quello di impedire il trattamento dei dati, ma di evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Infatti definisce i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.
Concetti e definizioni
La norma introduce o perlomeno definisce alcuni termini, quali:
- banca dati
- trattamento dei dati
- dato personale
- dato anonimo
- dati sensibili (artt. 4,22,26)
- titolare del trattamento dei dati
- responsabile del trattamento dei dati
- incaricato del trattamento dei dati
- interessato a cui si riferiscono i dati personali
- comunicazione e diffusione di dati
- misure minime di sicurezza
e introduce la figura del Garante per la protezione dei dati.
La legge considera in modo diverso:
- dati sensibili e (per deduzione) dati ordinari
- soggetti pubblici (esclusi enti pubblici economici) e soggetti privati
- dati detenuti a fini personali e ... gli altri
Mentre non distingue (se non per aspetti tecnici o marginali) tra
- dati su supporto informatico e dati su supporto cartaceo
- persone fisiche e persone giuridiche
Vengono considerati in modo particolare e trattati a parte:
- dati trattati per finalità storiche
- dati trattati per finalità statistiche o di ricerca scientifica
- dati sanitari
- dati giudiziari
- trattamento dei dati per attività giornalistiche
Diritti riconosciuti dalla legge
Il soggetto cui si riferiscono i dati ha il diritto di accesso alle informazioni che lo riguardino da altri detenute. Tale diritto gli è riconosciuto dall'art. 7 del d. lgs. 196/03 e comprende la facoltà di conoscere: quali dati vengono trattati, come e con quali fini avviene il trattamento, l'autore del trattamento, i soggetti a cui detti dati possono essere comunicati.
In ragione del diritto d'accesso l'interessato può poi chiedere che i dati da altri detenuti corrispondano al vero, pretendendone l'aggiornamento o la cancellazione a seconda dei casi. Se poi i dati sono trattati in maniera difforme dalla legge, l'interessato può chiedere la cancellazione degli stessi o il blocco del trattamento.
Tutela dei diritti
Chi sia leso nei diritti sui propri dati riconosciuti dal d. lgs. 196/03 (raccolta dei dati senza il consenso, consenso acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso) può ricorrere al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e consti contenuti) o al giudice civile (con costi e tempi maggiori). Se invece a seguito del trattamento dei dati non conforme alla legge si è subito un danno (non necessariamente economico, dunque anche consistente nel disagio arrecato dal fatto) il risarcimento può essere concesso solamente dal giudice civile.
Aspetti controversi
La detenzione di dati è un'attività pericolosa?
L'art.15 (Danni cagionati per effetto del trattamento di dati personali) dice che:
- 1.Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art.2050 del codice civile
Il citato articolo (Responsabilità per l'esercizio di attività pericolose) a sua volta dice che:
- Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno.
In pratica vi è un'inversione dell'onere della prova, in quanto non è il danneggiato a dover dimostrare che chi deteneva i dati non è stato attento, ma è quest'ultimo a dover dimostrare che ha fatto tutto il possibile per evitare il danno, il quale però evidentemente si è verificato! Questo riferimento all'art.2050 del c.c. viene considerato da alcuni eccessivo, in quanto tale articolo viene pensato piuttosto per coloro che producono esplosivi o trasportano prodotti particolarmente nocivi, e non per qualcosa cosí innocuo, burocratico e pulito come il trattamento di dati. Ma essendo la sussistenza di un danno (o meglio, il pericolo che un danno si verifichi) elemento centrale per la configurazione della fattispecie, ed essendo certamente ben individuabile l'eventuale danno in queste materie, almeno formalmente si tratta di un riferimento ineccepibile.
L'Analisi Economica del Diritto (EAL=Economic Analysis of Law) dà inoltre un giudizio favorevole al richiamo all'art.2050, in quanto si è in una tipica situazione:
- il danneggiato non ha vantaggi dall'attività del danneggiante
- il danneggiato non può far nulla per ridurre il rischio di essere danneggiato
- il danneggiato non ha le informazioni necessarie per dimostrare il comportamento colposo del danneggiante
- il danneggiante è l'unico a ricavare dei vantaggi nello svolgere l'attività pericolosa
- il danneggiante è l'unico che può ridurre il rischio
- il danneggiante è l'unico a sapere cosa ha fatto
Dunque è il danneggiante che può soppesare vantaggi/rischi/costi della sua attività, ma solo il danneggiato a subirne le conseguenze. In questo caso l'EAL ritiene che, tenendo conto di costi e benefici di tutte le parti, una norma come la 2050 ottimizza il rapporto costi-benefici della collettività.
Norme collegate
La 675/1996 viene accompagnata da numerose altre leggi, decreti legislativi, decreti del presidente della repubblica e regolamenti:
- Legge 676/1996, 31 dicembre 1996: Legge delega;
- D.L. n.135, 11 maggio 1999: Disposizioni integrative sul trattamento di dati sensibili da parte dei soggetti pubblici;
- D.L. n.281, 30 luglio 1999: Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica;
- D.L. n.282, 30 luglio 1999: Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario;
- D.P.R. n.318, 28 luglio 1999: Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali;
- Provvedimento del Garante per la protezione dei dati, n.1/P/2000: Individuazione dei dati sensibili da parte dei soggetti pubblici;