|
|
|
|
|
|
NewsLetter |
RELAZIONE
Nel 1996, dopo un lungo percorso normativo che ha interessato l’arco di più
legislature, il Parlamento ha varato la prima legge italiana di carattere
generale sulla tutela delle persone rispetto al trattamento dei dati personali,
la n. 675, approvando contestualmente un’articolata legge delega –la n. 676- per
rendere possibile la successiva integrazione e, se necessario, modificazione
delle relative disposizioni.
Con tale delega si è così individuato uno strumento risultato poi valido e che,
nel corso degli ultimi sei anni, ha permesso di completare gradualmente
l’impianto normativo già complesso della protezione dei dati, che è stato
progressivamente allineato alla disciplina comunitaria cui si ispirava e a vari
accordi e convenzioni internazionali. Ha consentito inoltre di apportare, in
determinati casi, alcune correzioni necessarie per la migliore attuazione dei
principi affermati nel 1996, anche alla luce dell’esperienza applicativa,
significativa ed intensa, via via maturata.
Il Parlamento, il Governo e l’autorità di garanzia istituita in materia hanno
cooperato attivamente negli ultimi anni per arricchire e specificare questi
strumenti di garanzia e di tutela.
Dall’8 maggio 1997 in poi, tale processo si è sviluppato in particolare
attraverso nove decreti legislativi e due dd.P.R., nonché tramite molte altre
specifiche disposizioni, legislative e regolamentari, inserite in speciali
provvedimenti, che hanno potenziato ulteriormente il congruo numero di norme
vigenti in materia.
Il termine per adottare i decreti legislativi integrativi e correttivi della
delega è poi scaduto il 31 dicembre 2001.
Tuttavia, il legislatore ha previsto opportunamente, nel 2001, la successiva
adozione di un testo unico delle disposizioni in materia di tutela delle persone
e di altri soggetti rispetto al trattamento dei dati personali e delle
disposizioni “connesse”, al fine di coordinarvi le norme vigenti e di apportarvi
le integrazioni o modificazioni necessarie sia a tale coordinamento, sia “per
assicurarne la migliore attuazione” (art. 1, comma 4, legge 24 marzo 20o1, n.
127).
Quest’ultimo riferimento alle possibili integrazioni o modificazioni apportabili
alle norme riunite nel testo unico, al fine appunto di assicurarne la migliore
attuazione (sia di quelle riferite direttamente e strettamente alla protezione
dei dati personali, sia delle altre norme “connesse” cui si è già accennato)
corrisponde (e, per certi profili, è più ampio) all’analogo riferimento già
presente nei criteri di delega per i decreti legislativi correttivi previsti
dall’art. 2 della legge di delega n. 676/1996 e che ha permesso, negli ultimi
anni, vari interventi di adeguamento su tutto l’arco delle disposizioni della
legge n. 675/1996 (non solo sul piano del diritto sostanziale, ma anche sui
profili sanzionatori –pene edittali; specificazione di nuovi illeciti- ed
organizzativo-istituzionali relativi all’Ufficio del Garante).
Sulla base della nuova delega del 2001 il Governo ha pertanto iniziato un
impegnativo processo di monitoraggio delle norme da riunire (direttamente
relative alla protezione dei dati o ad essa connesse) sulla base della
considerazione che la delega per la riunificazione della disciplina in materia
presuppone non solo una ricognizione compilativa delle disposizioni vigenti, ma
anche misurati e parziali interventi di armonizzazione e di adeguamento delle
norme riunite in un unico testo, nel rispetto delle scelte di fondo già più
volte ponderate dal Parlamento, dei connessi principi, del loro ambito
applicativo e dell’impianto di garanzia derivante dall’attuale normativa.
Un’apposita commissione di studio costituita da numerosi esperti è stata
pertanto istituita presso il Dipartimento per la funzione pubblica,
autorevolmente presieduta dal prof. Cesare Massimo Bianca.
Il lavoro di ricognizione e di studio si è rivelato da subito più complesso del
previsto e reso più impegnativo anche per effetto dell’intervento, medio tempore,
di nuove convenzioni e direttive comunitarie -in particolare la n. 2002/58/CE
del 12 luglio 2002- , che ha reso necessario un breve differimento al 30 giugno
2003 del termine di delega (art. 26 della legge 3 febbraio 2003, n. 14).
Invertendo la linea di tendenza di precedenti testi unici “misti”
legislativo-regolamentari, il lavoro della commissione di studio si è poi
orientato, da ultimo, verso la diversa prospettiva di un unico testo di rango
legislativo, anziché misto, dovendosi (all’epoca della conclusione dei lavori e
in futuro) tener conto dei nuovi orientamenti del disegno di legge di
semplificazione 2001 (già approvato dalle Camere e attualmente in fase di nuovo
esame dopo il rinvio da parte del Presidente della Repubblica: AS 776-B/bis), in
tema di riassetto normativo e di codificazione, orientamenti applicabili per
effetto di talune disposizioni transitorie anche a determinate deleghe
legislative in corso.
Ciò spiega come oggi si proponga opportunamente di adottare un solo testo unico
di matrice unicamente legislativa, con conseguente assorbimento o eliminazione
di varie disposizioni di rango regolamentare non più necessarie, e con la
contestuale previsione di un disciplinare tecnico per le c.d. misure minime di
sicurezza, il quale potrà essere flessibilmente adeguato all’evoluzione del
settore con decreti ministeriali non regolamentari.
L’adozione di un solo testo di rango legislativo, anziché anche regolamentare,
si rivela tra l’altro assai più consono al rango dei diritti e delle libertà
fondamentali tutelati dalla disciplina in questione. Permette inoltre di
semplificare notevolmente l’impianto, l’articolazione e la “leggibilità” delle
norme che si intende inserire nel testo, essendosi eliminati dal testo delle
norme riunite a livello legislativo i vari riferimenti alle disposizioni
regolamentari di attuazione (e potendosi fare a meno, viceversa, dei
corrispondenti richiami che figurano nelle norme regolamentari attualmente in
applicazione).
L’integrazione delle vigenti norme legislative con alcuni dettagli attualmente
disciplinati a livello regolamentare consente peraltro di ridurre e semplificare
le norme di cui oggi si intende effettuare una riunione, con conseguenti ovvii
benefici sul piano sistematico e per l’interprete.
Il testo unico di cui si propone la denominazione convenzionale di “codice” (in
sintonia con gli indirizzi del d.d.l. di semplificazione) recherà in allegato a
scopo conoscitivo, nel rispetto di quanto stabilito da vari decreti legislativi
già adottati in materia, gli esistenti codici di deontologia e di buona condotta
(e quelli che verranno via via inseriti, una volta adottati), la cui allegazione
(ritenuta indispensabile in ossequio all’art. 20, comma 4, del d.lg. n.
467/2001, nonché per esigenze di agevole conoscenza della materia) non fa mutare
le caratteristiche giuridiche -non legislative- di questa nuova fonte.
Il rispetto delle disposizioni dei codici di deontologia e di buona condotta
resta, per espressa previsione di rango legislativo introdotta da precedenti
decreti legislativi, “essenziale” per determinare la liceità del trattamento dei
dati personali ivi disciplinato, sebbene i codici continueranno a venire a
giuridica esistenza -e ad essere eventualmente emendati- secondo i noti
meccanismi procedurali non legislativi già osservati e che coinvolgono le entità
maggiormente rappresentative del settore considerato.
Il “codice” reca anzitutto alcune nuove disposizioni direttamente connesse al
quadro comunitario e internazionale, per aggiornare quanto già contenuto nel
decreto legislativo n. 171/1998 alle nuove regole della direttiva n. 2002/58/CE
e per completare o perfezionare il recepimento della direttiva n. 95/46/CE/CE
(ad esempio, relativamente al principio di stabilimento e alla legge
applicabile, o per taluni aspetti relativi ai flussi transfrontalieri di dati
personali, ai numeri di identificazione personale e ai dati sensibili).
Il lavoro di ricognizione delle norme da riunire nel “codice” ha interessato
molte altre disposizioni non modificate, integrate o aggiornate nel testo.
Ciò in quanto, pur ricorrendo i presupposti per un loro inserimento nel
“codice”, si è ritenuto in linea generale -salvi specifici casi- proporzionato e
ragionevole, e in sintonia con lo spirito della delega, non alterare la coerenza
interna di altri testi normativi organici che, al loro interno, recano norme
rilevanti in tema di tutela della riservatezza.
Ci si riferisce, in particolare, a disposizioni incriminatici del codice penale,
oppure a previsioni contenute in altri testi unici di cui non si è ravvisata
necessaria una modifica e per le quali, dovendosi determinare la loro futura
collocazione sistematica, è stata valutata l’esigenza di assicurare la
contrapposta omogeneità o del testo unico di settore già vigente o in fase di
preparazione (documentazione amministrativa; enti locali; pubblico impiego;
igiene e sicurezza del lavoro; ecc.) oppure (in caso di stralcio da tali testi
unici delle norme sulla privacy da collocare nell’odierno “codice”), del
“codice” sulla protezione dei dati personali.
Sul piano sistematico, prima ancora di valutare la collocazione dei vari
precetti, si è ritenuto doveroso porre in maggiore evidenza nella parte iniziale
del “codice” le disposizioni generali riguardanti i diritti e le libertà
fondamentali, le principali generali garanzie e le connesse sfere di
responsabilità. Ciò tenendo conto dell’erronea tendenza registratasi in passato,
volta ad enfatizzare -e, talvolta, a drammatizzare- i profili legati a taluni
adempimenti a carico del titolare del trattamento.
Si è voluto così, come si vedrà a proposito dell’art. 2 del codice, valorizzare
gli aspetti di garanzia della persona e burocratizzare, altresì, quelli
concernenti gli adempimenti formali e le stesse modalità di esercizio dei
diritti, che si è voluto entrambi ispirare meglio ai principi di semplificazione
ed efficacia, senza pregiudizio alcuno per i livelli di garanzia.
Altre disposizioni non sono state poi riassorbite nell’alveo del codice in
quanto (ad esempio, alcune norme della legge sull’AIDS) disciplinano taluni
profili di tutela della riservatezza in stretta connessione con altri aspetti
che non possono, ratione materiae, essere qui collocati. Analogamente, si è
ritenuto inopportuno inserire nel codice specifici decreti di interesse
“interno” di una sola, specifica amministrazione pubblica (es.: decreti o
regolamenti di ricognizione dei dati sensibili) che, inglobati nel testo,
avrebbero portato il “codice” a dimensioni elefantiache, comprensive degli
innumerevoli decreti adottati da tutte le amministrazioni pubbliche.
Si è voluto infine strutturare meglio la successione delle disposizioni
applicabili da un lato ai soli soggetti pubblici e, dall’altro, ai privati
-compresi i concessionari di pubblici servizi- e agli enti pubblici economici,
in modo da ridurre le possibili sviste nel considerare applicabili agli uni o
agli altri disposizioni cogenti solo per taluni di essi.
L’attività di semplificazione ha permesso di ridurre di una buona percentuale,
stimabile attorno al 30 % circa, il numero delle disposizioni vigenti in materia
(stima effettuata confrontando le vecchie e nuove disposizioni e tenendo conto
delle molteplici norme del tutto innovative, nonché della frammentazione di
attuali lunghi articoli in articoli composti di un solo comma).
Analoga semplificazione, anche in questo caso senza alcuna incidenza nei livelli
di garanzia, è stata perseguita a proposito dell’illustrazione normativa delle
varie ipotesi di esercizio dei diritti (art. 7), per i tempi per l’espressione
di pareri (art. 154, comma 5), per la possibilità di esprimerli anche su
schemi-tipo di provvedimento (es., art. 20, comma 2: in modo da facilitarne
l’utilizzo da parte di più soggetti), sui modelli-tipo per la presentazione di
reclami (art. 143, comma 3), ecc.
Da ultimo, sono stati apportati alcuni interventi sul “linguaggio” del codice,
laddove necessario e possibile in rapporto anche alla normativa comunitaria,
tenuto conto, al contempo, dell’opposta esigenza di non innovare rispetto a
nozioni ed espressioni da tempo entrate nell’applicazione quotidiana e nel
linguaggio comune degli operatori.
Il “codice” si compone di tre Parti, che contengono, rispettivamente:
a) le disposizioni generali, riguardanti le regole “sostanziali” della
disciplina del trattamento dei dati personali, applicabili a tutti i
trattamenti, salvo eventuali (cfr. art. 6) regole specifiche per i trattamenti
effettuati da soggetti pubblici o privati;
b) disposizioni particolari per specifici trattamenti, ad integrazione o
eccezione alle disposizioni generali di cui alla lettera a) ;
c) le disposizioni relative alle azioni di tutela dell’interessato e al sistema
sanzionatorio.
Consultando l’apposita tavola di corrispondenza delle disposizioni del codice
alla normativa previgente è possibile consultare, agevolmente, il quadro
completo dei nuovi riferimenti normativi. In alcuni casi la formulazione delle
disposizioni del codice è stata chiarita, semplificata o adeguata, nella
terminologia, a nuovi contesti normativi intervenuti in questi anni o al
progresso tecnologico.
Il commento che segue si limita a illustrare particolari interventi di
integrazione e modifica delle disposizioni vigenti, risultati necessari per
assicurare il coordinamento e la razionalizzazione della normativa in materia di
protezione dei dati personali e la sua migliore attuazione, nel rispetto dei
principi contenuti nella legge-delega n. 127 del 2001 (art. 1, comma 4, l. n.
127 del 2001), nonché le disposizioni adottate a completamento della direttiva
95/46/CE e in attuazione della direttiva 2002/58/CE. Viene al contrario evitato
un articolato commento delle disposizioni vigenti non modificate.
COMMENTO ALL’ARTICOLATO
PARTE I – Disposizioni generali
TITOLO I – Principi generali
Art. 1 (Diritto alla protezione dei dati personali)
L’art. 1 introduce nell’ordinamento il “diritto alla protezione dei dati
personali”, diritto fondamentale della persona, autonomo rispetto al più
generale diritto alla riservatezza già richiamato dall’articolo 1 della legge n.
675/1996, come chiarisce anche il successivo art. 2. Un diritto che tiene conto
delle molteplici prerogative legate al trattamento dei dati personali, anche
oltre quelle attinenti al riserbo e alla tutela della vita privata. In tal modo
il legislatore italiano si adegua al quadro normativo comunitario che, nella
Carta dei diritti del cittadino europeo, garantisce già tale diritto
fondamentale (art. 8) che si accinge ad assumere una connotazione ancora più
solenne nel quadro dei lavori della Convenzione europea.
Art. 2 (Finalità)
L’art. 2 individua le finalità dell’intervento normativo, precisando che il
codice garantisce che il trattamento dei dati personali si svolga nel rispetto
dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato,
e in particolare del diritto alla riservatezza e del “nuovo” diritto alla
protezione dei dati personali. La norma, che riproduce, per questa parte, l’art.
1, comma 1, della legge n. 675/1996, rispetto alla definizione previgente si
riferisce indistintamente all'interessato e non a persone fisiche o giuridiche,
collegandosi, così, anche a diritti fondamentali eventualmente riconosciuti in
altra sede dall’ordinamento anche a soggetti diversi da persone fisiche.
L'art. 2, inoltre, codifica l'importante “principio di semplificazione
nell’elevata tutela” secondo il quale il grado alto di tutela dei diritti è
assicurato nel rispetto dei principi di semplificazione, armonizzazione ed
efficacia delle modalità con le quali sono esercitati i medesimi diritti o
devono essere adempiuti gli obblighi previsti a carico dei titolari del
trattamento.
Art. 3 (Principio di necessità nel trattamento dei dati)
L’art. 3 introduce il “principio di necessità” nel trattamento dei dati
personali, in base al quale, sin dalla loro configurazione, i sistemi
informativi ed i software devono essere predisposti in modo da assicurare che i
dati personali o identificativi siano utilizzati solo se indispensabili per il
raggiungimento delle finalità consentite, e non anche quando i medesimi
obiettivi possano essere raggiunti mediante l’uso di dati anonimi o che comunque
consentano una più circoscritta identificazione degli interessati. Il principio
introdotto integra e completa, con riferimento alla configurazione stessa
dell’ambiente in cui i dati sono trattati, il principio di pertinenza e non
eccedenza dei dati trattati già operante in relazione al trattamento dei
medesimi dati (art. 11, già art. 9, l. n. 675/1996).
Si tratta di una regola di ordine generale, prevista anche nella legislazione
tedesca, e operante, benché non specificamente sanzionata, in specie per i
sistemi e i programmi che verranno d’ora in poi predisposti.
Art. 4 (Definizioni)
L'art. 4 contiene le definizioni, raggruppate in un'unica disposizione, anche se
riguardanti materie e trattamenti ben diversi fra loro, per consentirne
un’agevole consultazione.
Il comma 1 riguarda le definizioni "generali" già contenute nell'art. 1, comma
2, della legge n. 675/1996, alle quali sono state apportate alcune integrazioni:
a) alla lett. a), la definizione di trattamento include anche la
"consultazione", in attuazione di quanto previsto dall’art. 2, par. 1, lett. b)
della direttiva 95/46/CE;
b) la lett. c), contiene la definizione di "dati identificativi" già applicabile
in base alla normativa previgente in materia di trattamenti per scopi statistici
e di ricerca scientifica (art. 10, comma 5, d. lg. n. 281/1999);
c) le lett. d) ed e), recepiscono in forma di definizioni le nozioni di dati
sensibili e di dati “giudiziari”, indicate, rispettivamente, agli articoli 22,
comma 1, e 24 della legge n. 675/1996. La definizione di dati “giudiziari" è
stata aggiornata tecnicamente a seguito all'adozione del testo unico in materia
di casellario giudiziale e, inoltre, integrata in misura ragionevole con il
riferimento alla qualità di imputato o di indagato, senza prendere in
considerazione le violazioni amministrative, in attuazione di quanto previsto
dalla direttiva 95/46/CE (art. 8, comma 5, il quale si riferisce ai trattamenti
riguardanti "infrazioni"). Analoga operazione è stata effettuata per la
definizione di "incaricati" (ricavata, in particolare, dall'art. 19 della legge
n. 675/1996), con la quale si chiarisce, fra l’altro, che gli incaricati del
trattamento possono essere solo persone fisiche (art. 4, comma 1, lett. h);
d) alla lett. l), la definizione di "comunicazione" precisa che tale non può
considerarsi la comunicazione effettuata nei confronti dell'interessato, del
rappresentante del titolare nel territorio dello Stato, del responsabile o
dell'incaricato, in linea con la citata direttiva europea 95/46/CE in base alla
quale tali soggetti sono considerati “destinatari” dei dati e non rientrano
nella nozione di "terzo" (art. 2, par. 1, lett. f), dir. 95/46/CE).
Il comma 2 contiene le definizioni necessarie per i trattamenti effettuati
nell'ambito delle comunicazioni elettroniche (cfr. in particolare, Parte II,
Titolo X), le quali riproducono pressoché pedissequamente le definizioni
riportate nella direttiva n. 2002/58/CE sul trattamento dei dati personali e
sulla tutela della vita privata nel settore delle comunicazioni elettroniche,
nonché quelle, espressamente richiamate, della direttiva "quadro" n. 2002/21/CE
in materia di reti e servizi di comunicazione elettronica. Al riguardo va
rilevato che la definizione di "comunicazione" di cui alla citata direttiva
2002/58 è riferita, nel testo, alla "comunicazione elettronica" per distinguerla
dalla "comunicazione" tout court di cui al comma 1 dell'articolo in commento.
Il comma 3 reca le definizioni relative alle misure minime di sicurezza di cui
al Titolo V della Parte I e al disciplinare tecnico allegato al codice. Si
tratta in gran parte di definizioni "nuove" indicative degli specifici
adempimenti cui sono tenuti i titolari del trattamento a tutela della sicurezza
dei dati e dei sistemi.
Il comma 4 riproduce le definizioni contenute nel d. lg. n. 281/1999 in materia
di trattamenti per scopi storici, statistici e scientifici, con la sola
sostituzione, meramente formale, della locuzione "scopi di ricerca scientifica"
con la locuzione "scopi scientifici".
Art. 5 (Oggetto ed ambito di applicazione)
L'art. 5 accorpa le disposizioni previgenti contenute in tre diversi articoli (artt.
2, 5 e 6, l. n. 675/1996).
Per quanto riguarda il diritto nazionale applicabile (artt. 2 e 6, comma 1, l.
n. 675/1996), l’art. 5 completa il recepimento del principio comunitario di
“stabilimento” del titolare del trattamento, indicato dalla direttiva quale
criterio di applicazione della normativa nazionale, recepimento avviato con il
d. lg. n. 467/2001 (art. 4 dir. n. 95/46/CE). A tal fine, esso chiarisce che il
codice disciplina il trattamento di dati personali, effettuato da chiunque "è
stabilito" nel territorio dello Stato (oppure effettuato in un luogo comunque
soggetto alla sovranità dello Stato), anche se riguarda dati detenuti all'estero
(art. 5, comma 1).
Il comma 3 riproduce la disposizione relativa al trattamento effettuato per fini
esclusivamente personali (art. 5, l. n. 675/1996).
Art. 6 (Disciplina del trattamento)
L'art. 6 individua l'ambito di applicabilità delle disposizioni del codice. Esso
fornisce una guida utile per il lettore, chiarendo che le disposizioni della
Parte I, che recano le regole "sostanziali" per il trattamento dei dati
personali, si applicano a tutti i trattamenti, salvo quanto previsto da
eventuali disposizioni della Parte II in relazione ai particolari trattamenti
ivi indicati. Nella Parte II, infatti, alcuni trattamenti, in ragione della loro
specificità, sono disciplinati con disposizioni che in alcuni casi integrano, in
altri derogano alle norme contenute nella Parte I.
TITOLO II – Diritti dell'interessato
Art. 7 (Diritto di accesso ai dati personali ed altri diritti)
Art. 8 (Esercizio dei diritti)
Art. 9 (Modalità di esercizio)
Art. 10 (Riscontro all'interessato)
Le disposizioni del titolo II individuano i diritti dell'interessato e ne
disciplinano l'esercizio (art. 13, l. n. 675/1996).
Per quanto riguarda l’individuazione dei diritti dell'interessato, rispetto alla
normativa previgente l'art. 7, comma 1, lett. e) attribuisce, in più,
all'interessato il diritto di conoscere i soggetti ai quali i dati possono
essere comunicati o che ne possono comunque venire a conoscenza. La norma dà
attuazione all'art. 12, par. 1, lett. a), primo punto, della direttiva 95/46/CE
e completa il quadro dei diritti dell'interessato in ordine al diritto di
conoscere in sede di accesso i soggetti cui i dati possono essere comunicati,
mentre la legge n. 675/1996 prevedeva soltanto il diritto di essere previamente
informati sui soggetti "destinatari" dei dati medesimi (art. 10, comma 1, lett.
d), l. n. 675/1996 e analoga disposizione dell'art. 13 del codice).
L’art. 7, inoltre, adegua alla predetta direttiva europea la disposizione che
prevede il diritto dell’interessato di opporsi al trattamento dei propri dati
personali effettuato per finalità di marketing o di ricerche di mercato,
eliminando in questa sede l’ulteriore riferimento ad essere informato del
medesimo trattamento, ridondante rispetto alla direttiva comunitaria e
all'obbligo di informativa già previsto a carico del titolare. Inoltre, dal
testo è stato espunto il riferimento alle “informazioni commerciali”
inconferente rispetto allo specifico profilo in esame (art. 7, comma 4, lett.
b), del codice, già art. 13, lett. e), l. n. 675/1996).
Per quanto riguarda l'esercizio dei diritti, l'art. 8, con una formulazione più
chiara rispetto a quella previgente e più aderente alla realtà normativa,
chiarisce che se, di regola, i diritti sono esercitati con richiesta rivolta al
titolare o al responsabile (art. 8, comma 1), in relazione ad alcuni trattamenti
possono essere esercitati solo attraverso una segnalazione al Garante
(trattamenti effettuati in applicazione della normativa in materia di
riciclaggio, di sostegno alle vittime di estorsioni, di politica monetaria,
effettuati per finalità di investigazioni difensive o per l'esercizio di un
diritto, da fornitori di servizi di comunicazione elettronica in relazione a
telefonate in entrata, o, infine, effettuati per ragioni di giustizia, da forze
di polizia o da altri soggetti pubblici per finalità di prevenzione o
repressione di reati, o da commissioni parlamentari d'inchiesta) (art. 8, comma
2).
In tali casi, pertanto, in relazione alla specificità dei trattamenti, non è
esperibile dall'interessato un ricorso al Garante (che può essere presentato,
invece, per altri trattamenti, quando la richiesta rivolta al titolare non sia
stata soddisfatta, in tutto o in parte), ma è importante sottolineare che le
diverse modalità di esercizio dei diritti non incidono sul livello di tutela
garantito all’interessato, essendo già consentita dalla legge vigente
un’eventuale verifica della liceità e correttezza dei trattamenti di dati, con
opportune modalità connesse alla specificità dei contesti in esame (con le
modalità di cui agli artt. 157, 158 e 159 ovvero, in relazione a trattamenti
particolarmente "delicati", con le particolari modalità previste dall'art. 160:
v. infra).
In relazione ai trattamenti appena descritti è stato peraltro chiarito dal punto
di vista tecnico che tali specifiche modalità sono relative al trattamento nel
suo complesso, anziché, come prima imprecisamente previsto, per i soli dati
“raccolti”.
Un’importante chiarimento riguarda la nozione di “pregiudizio” richiamata
dall’art. 14 della legge n. 675/1996 in relazione ai limiti all’esercizio dei
diritti dell’interessato. In base a tale disposizione, infatti, il pregiudizio è
rilevante al duplice fine: a) di “differire” l’accesso ai dati personali in caso
di pregiudizio per lo svolgimento di investigazioni difensive o per l’esercizio
di un diritto; b) di consentire, viceversa, il medesimo accesso ai dati relativi
a chiamate in entrata (altrimenti non accessibili), in presenza di un
pregiudizio riguardante lo svolgimento delle medesime indagini. L’art. 8, nel
confermare tale disciplina, ha precisato che il pregiudizio deve essere
“effettivo e concreto”. Il chiarimento è il frutto dell'esperienza applicativa
di questi primi anni, che ha visto verificarsi tentativi di applicazione della
norma in disarmonia con quanto previsto da alcune disposizioni del d.lg. n.
171/1998 che tutelano l’utente chiamante e quello chiamato, e risponde ad una
prassi interpretativa già sperimentata e applicata anche dal Garante nell'ambito
di vari procedimenti instaurati con ricorso.
Al comma 4 la norma reca un espresso riferimento alla disciplina dei dati
personali di tipo valutativo; la disposizione è stata meglio esplicitata in
relazione alle osservazioni svolte dalla Commissione giustizia del Senato, al
fine di chiarirne meglio l’ambito applicativo.
Per quanto riguarda le modalità di esercizio dei diritti, la richiesta di
accesso ai dati personali che riguardano l’interessato è esercitata "liberamente
e senza costrizioni" (art. 9, comma 5). Con tale nuova disposizione il codice dà
pedissequa attuazione ad un importante principio contenuto nella direttiva
95/46/CE (art. 12, par. 1, lett. a). Un altro intervento di mera precisazione
tecnica da segnalare riguarda (anche in questo caso in sintonia con l’esperienza
applicativa) l’ambito operativo dell’esercizio dei diritti riferiti a persone
decedute, che, in base alla più chiara formulazione della norma, viene più
espressamente riconosciuto a chi ha un interesse proprio, o agisce a tutela
dell’interessato o per ragioni familiari meritevoli di protezione.
Quanto, infine, alle modalità di riscontro all'interessato, nell'art. 10 sono
state inserite alcune previsioni "suggerite" anch’esse dall'esperienza
applicativa della legge n. 675/1996, volte a incrementare il livello di
intelligibilità e di chiarezza espositiva del riscontro assicurato dal titolare
(art. 10, commi 4, 5 e 6). Le norme stabiliscono, infatti, che quando
l'estrazione dei dati è particolarmente difficoltosa, il titolare può anche
esibire o consegnare copia del documento contenente i dati personali richiesti.
Inoltre, un buon livello di intelligibilità dei dati richiede una grafia
comprensibile e la possibilità di decifrare eventuali codici o sigle adoperati,
nonché la possibilità di conoscere anche dati di terzi quando la scomposizione
dei dati personali da parte del titolare renderebbe incomprensibili i dati
relativi all'interessato.
Inoltre, il comma 3 dell'art. 10 chiarisce che si applica anche in caso di
esercizio del diritto d'accesso la particolare garanzia prevista per
l’interessato in caso di riscontro di una richiesta effettuata in ambito
sanitario e riguardante dati idonei a rivelare la salute (art. 84, in base al
quale tali dati possono essere resi noti solo tramite un medico designato
dall'interessato o dal titolare). La norma chiarisce implicitamente che tale
cautela non si applica quando la richiesta non è rivolta ad un organismo
sanitario, ma ad un altro soggetto pubblico o privato.
TITOLO III – Regole generali per il trattamento dei dati
CAPO I - Regole per tutti i trattamenti
Art. 11 (Modalità del trattamento e requisiti dei dati)
Art. 12 (Codici di deontologia e di buona condotta)
Art. 13 (Informativa)
Art. 14 (Definizione di profili e della personalità dell'interessato)
Art. 15 (Danni cagionati per effetto del trattamento)
Art. 16 (Cessazione del trattamento)
Art. 17 (Trattamento che presenta rischi specifici)
Il capo I in esame contiene regole valide per tutti i trattamenti, effettuati da
soggetti pubblici o privati, e relativi a dati "comuni", sensibili o giudiziari.
Resta ferma, come si è accennato, la possibilità di norme integrative o di
eccezione per i trattamenti disciplinati nella Parte II (art. 6).
Le disposizioni riproducono sostanzialmente le corrispondenti norme previgenti,
salvo alcuni chiarimenti e piccole integrazioni.
Nell'art. 12, che attribuisce al Garante il potere di promuovere l'adozione di
codici di deontologia e di buona condotta, la disposizione già contenuta
nell'art. 31, comma 1, lett. h) della legge n. 675/1996 è stata integrata con la
previsione che i codici deontologici sono allegati al presente codice e che il
rispetto delle norme in essi contenute costituisce condizione essenziale per la
liceità dei trattamenti, come già del resto previsto per un ampio arco di codici
da varie esistenti previsioni che sono state ora ripartite, ratione materiae,
nell’ambito dei pertinenti titoli della Parte II (art. 6, d. lg. n. 281/1999 e
art. 20, d. lg. n. 467/ 2001).
Nell'art. 13, comma 1, che riguarda l'informativa all'interessato, il diritto di
quest'ultimo di venire a conoscenza dell'ambito di comunicazione dei dati che lo
riguardano è conformato alla "nuova" definizione di comunicazione di cui si è
detto sopra (art. 13, comma 1, lett. d)) e sono chiarite, per dirimere ogni
eventuale altro dubbio interpretativo, le modalità con le quali deve essere
indicato il responsabile del trattamento, ove designato (art. 13, comma 1, lett.
f)). Inoltre, si prevede che il Garante possa individuare modalità semplificate
per l'informativa all'interessato, in particolare quando essa è resa da
call-center. Tale previsione tiene conto dell'avvertita esigenza di assicurare,
in maniera agevole, il rispetto dell'obbligo di fornire l'informativa anche per
trattamenti in cui il contatto diretto con l'interessato non vede quest’ultimo
fisicamente presente.
Al comma 4, in attuazione di una specifica previsione della direttiva europea n.
95/46, si è previsto che, quando l'informativa riguarda dati non raccolti presso
l'interessato, essa deve contenere anche le "categorie di dati trattati" (art.
11, par. 1, lett. c), dir. 95/46/CE).
Al comma 5, si è precisato che il Garante può prescrivere misure appropriate a
garanzia dell’interessato quando l’informativa non è dovuta perché comporta un
impiego di mezzi che il Garante stesso giudichi manifestamente sproporzionati o
risulti impossibile (come è avvenuto ad esempio in caso di cartolarizzazione).
Nell’art. 14, comma 2, si è opportunamente aggiunto, per motivi di agevole
conoscibilità e, al tempo stesso, di flessibilità della disciplina, che le
adeguate garanzie devono essere previste all’interno del codice stesso oppure da
una decisione dell’Autorità in applicazione dell’istituto del c.d. “prior
checking”.
All'art. 16, è stato opportunamente precisato che in caso di cessazione dei
trattamenti i dati possono essere ceduti ad altro titolare, purché destinati ad
un trattamento "in termini compatibili" agli scopi originariamente perseguiti, e
non più "per finalità analoghe", così omologando la disposizione a quanto
previsto per il trattamento effettuato da un unico titolare in base al principio
di compatibilità del trattamento dei dati (art. 11, comma 1, lett. b), già 9,
comma 1, lett. b), l. n. 675/1996).
CAPO II - Regole ulteriori per i soggetti pubblici
Art. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti
pubblici)
Art. 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili
e giudiziari)
Art. 20 (Principi applicabili al trattamento di dati sensibili)
Art. 21 (Principi applicabili al trattamento di dati giudiziari)
Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari)
Il capo II contiene la disciplina specifica del trattamento effettuato da
soggetti pubblici, prevedendo, per questi ultimi, regole ulteriori rispetto a
quelle appena descritte nel capo I e valide per i trattamenti effettuati da
qualunque soggetto.
L'art. 18 fissa alcuni importanti principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici, riguardanti, cioè, sia dati comuni, sia dati
sensibili o giudiziari:
a) tali trattamenti sono consentiti soltanto per lo svolgimento di funzioni
istituzionali;
b) i soggetti pubblici devono altresì rispettare i presupposti ed i limiti
stabiliti, oltre che dal codice, anche da altre disposizioni di legge o di
regolamento;
c) i soggetti pubblici non devono richiedere il consenso dell'interessato, salvo
per i trattamenti effettuati da esercenti professioni sanitarie o da organismi
sanitari pubblici, nei limiti stabiliti dal relativo capo della Parte II;
d) ai trattamenti effettuati da soggetti pubblici si applicano i medesimi
divieti di comunicazione e diffusione dei dati previsti per i trattamenti
effettuati da soggetti privati (art. 25).
L'art. 19 riproduce senza sostanziali modifiche la disciplina dei trattamenti di
dati “comuni” (art. 27, l. n. 675/1996), con la sola precisazione delle modalità
con le quali deve essere effettuata la comunicazione al Garante nel caso di
comunicazione di dati ad un altro soggetto pubblico per la quale non sussista
una specifica disposizione normativa "di copertura" (art. 19, comma 2). La
disposizione va coordinata con quanto previsto dall'art. 39 (Obblighi di
comunicazione) e, in base alla nuova disciplina, il soggetto pubblico può
avviare la comunicazione dei dati ad un altro soggetto pubblico decorsi
quarantacinque giorni dalla comunicazione al Garante, ferma restando la
possibilità di una diversa determinazione dell'Autorità adottata anche
successivamente al decorso del termine.
Gli articoli 20, 21 e 22 contengono la disciplina del trattamento di dati
sensibili e giudiziari, che, com'è noto, presentava allo stato della normativa
previgente al presente codice notevoli affinità soprattutto sotto il profilo
delle modalità del trattamento (art. 22, commi 3 e 3-bis, l. n. 675/1996 e d. lg.
11 maggio 1999, n. 135). Tale omogeneità - pur nel rispetto di alcune
specificità della disciplina delle due diverse tipologie di dati - è messa
chiaramente in luce dal codice attraverso un più puntuale raccordo delle
relative norme.
Pochi, ma significativi gli interventi di razionalizzazione del sistema.
All'art. 20 si chiarisce che l'atto con il quale i soggetti individuano i tipi
di dati e di operazioni ha natura regolamentare, considerata la particolare
delicatezza dei dati trattati, e si precisa, inoltre, che i regolamenti sono
adottati in conformità al parere reso dal Garante sui relativi schemi (art. 20,
comma 2). Il parere può essere reso anche su schemi-tipo in modo da agevolare il
più possibile l'omogeneità degli atti regolamentari adottati dalle pubbliche
amministrazioni e la speditezza della relativa adozione. Un’ apposita
disposizione transitoria prevede che le pubbliche amministrazioni che non
abbiano ancora adottato il regolamento di competenza vi provvedano entro il 30
settembre 2004 (art. 181, comma 1, lett. a)). Tale adempimento assume
particolare importanza per una piena attuazione delle elevate garanzie previste
dalla direttiva europea per il trattamento di dati sensibili o giudiziari (art.
8, dir. 95/46/CE).
Infine nell'art. 22 (nel quale sono confluite, in maniera coordinata, le varie
disposizioni del d. lg. n. 135/1999 sulle modalità dei trattamenti in questione)
si segnalano alcuni altri interventi per la migliore attuazione dei principi in
tale delicata materia:
a) si continua a prevedere che i soggetti pubblici debbano prestare particolare
attenzione alla prevenzione di possibili danni per l'interessato, conformando il
trattamento dei dati sensibili e giudiziari in modo da prevenire il rischio di
violazioni dei diritti fondamentali della persona (art. 22, comma 1);
b) viene sviluppato il principio di proporzionalità nel trattamento dei dati
sensibili o giudiziari con il riferimento all’"indispensabilità" (e non più
soltanto alla "necessità" o “essenzialità”) dell'uso di essi rispetto ad
attività che non potrebbero essere adempiute mediante il ricorso a dati anonimi
o a dati personali di diversa natura (art. 22, comma 3). Ciò al fine di
armonizzare le varie disposizioni sparse in materia e di unificare le
espressioni utilizzate, anche in riferimento alle autorizzazioni generali
rilasciate dal garante a soggetti privati in tema di dati sensibili.
CAPO III - Regole ulteriori per privati ed enti pubblici economici
Art. 23 (Consenso)
Art. 24 (Casi nei quali può essere effettuato il trattamento senza il consenso)
Art. 25 (Divieti di comunicazione e diffusione)
Art. 26 (Garanzie per i dati sensibili)
Art. 27 (Garanzie per i dati giudiziari)
Il capo III contiene, in maniera pressoché speculare a quello che precede
(riguardante i soggetti pubblici), la disciplina specifica del trattamento
effettuato da soggetti privati, riguardante sia i dati “comuni”, sia i dati
sensibili o giudiziari.
Per quanto riguarda i dati comuni, l’art. 23 (già 11 della legge n. 675/1996)
chiarisce meglio, anche in accoglimento di quanto espressamente richiesto in
sede di parere dalla Commissione giustizia del Senato, che il consenso al
trattamento dei dati personali deve essere “espresso liberamente e
specificamente in riferimento al trattamento chiaramente individuato,” e non
solo reso “in forma specifica”, in linea con quanto richiesto dalla direttiva
europea (art. 2, par. 1, lett. h, dir. n. 95/46/CE).
Coerentemente con l'esigenza di razionalizzare e coordinare meglio dal punto di
vista sistematico la materia, le pertinenti disposizioni di questo capo, ove
possibile, sono state accorpate.
In tal senso, nel medesimo art. 23 è stato aggiunto un comma il quale precisa
che il consenso al trattamento dei dati sensibili e giudiziari è manifestato in
forma scritta, come già previsto nella norma generale sul trattamento dei dati
sensibili (art. 26, comma 1).
Nell'art. 24 sono state riunite, in ragione della sostanziale omogeneità della
disciplina, le disposizioni che autorizzano il trattamento di dati personali
anche in assenza del consenso, unificando, in sostanza, i previgenti articoli 12
e 20 della legge n. 675/1996. L'art. 24 fa salve le specificità riconosciute, in
alcuni casi, per la comunicazione e, soprattutto, per la diffusione dei dati
(lett. c), f) e g)). La disciplina risulta ora più chiara, essendo state
eliminate alcune duplicazioni ed apportate talune opportune precisazioni.
In particolare, fra l’altro:
a) in relazione alle lettere a) e b), è stato meglio specificato, in conformità
a quanto previsto dalla direttiva europea (art. 7, par. 1, lett. c), dir.
95/46/CE), il presupposto di liceità del trattamento relativo alla sussistenza
di un obbligo legale, riferita ora correttamente alla necessità di adempiere
comunque ad un obbligo previsto dalla legge, e non più solo al caso di "dati
raccolti e detenuti" in base al medesimo obbligo. Inoltre, in sintonia con il
diritto vivente, si è chiarito che il trattamento è consentito quando è comunque
necessario per adempiere, prima della conclusione del contratto, a specifiche
richieste dell'interessato e non solo per eseguire “misure” precontrattuali su
richiesta del medesimo interessato. Quest'ultimo intervento, ripetuto in maniera
speculare nell'articolo 43 (già 28 della legge n. 675/1996), in relazione al
trasferimento di dati all'estero, completa l'allineamento alla direttiva europea
delle disposizioni concernenti trattamenti effettuati in relazione a rapporti
precontrattuali, già avviato con il decreto legislativo n. 467/2001 (art. 7,
par. 1, lett. b), dir. 95/46/CE);
b) alla lettera e), si è chiarito che il presupposto di liceità del trattamento
riferito all'esigenza di salvaguardare la vita o l'incolumità di un terzo è
comunque applicabile anche fuori dei precedenti casi in cui veniva specificato
che l'interessato non può, per incapacità o altri motivi, prestare il proprio
consenso. Inoltre, in relazione al caso in cui la medesima finalità riguardi la
vita o l'incolumità dell'interessato, la disciplina è stata allineata a quella
vigente in ambito sanitario in relazione al trattamento di dati idonei a
rivelare lo stato di salute per finalità di cura della persona, che in base alle
disposizioni previgenti risultava più rigorosa rispetto a quella del trattamento
di dati comuni o sensibili effettuato da soggetti diversi da quelli sanitari. La
disciplina prevede, ora, che anche in questi ultimi casi, se manca il consenso
della persona incapace o altrimenti impossibilitata a prestarlo è necessario
acquisire il consenso dei prossimi congiunti o familiari, e si può procedere al
trattamento dei dati personali dell'interessato solo se sia impossibile
acquisire anche il consenso di tali soggetti o vi è rischio grave ed imminente
per la salute della persona, purché il consenso sia acquisito successivamente
(art. 82, comma 2);
c) è stato soppresso l’ormai inutile riferimento specifico alla comunicazione
effettuata nell’ambito di gruppi bancari o fra società controllate o collegate,
in quanto la disposizione era legata al generalizzato sistema delle
notificazioni di trattamenti correlati che il codice ha sostanzialmente
eleminato (cfr. art. 37 – Notificazione del trattamento). La medesima esigenza,
peraltro, può essere comunque efficacemente soddisfatta in applicazione
dell’istituto del bilanciamento degli interessi del titolare con i diritti
dell’interessato (art. 24, comma 1, lett. g);
d) si è esteso l'esonero dall'obbligo di acquisire il consenso ai trattamenti in
ambito “interno” effettuati da organismi "no-profit" anche in relazione a dati
comuni, in conformità a quanto già previsto per i dati sensibili, a condizione
che le modalità di utilizzo dei dati siano esplicitate in un'apposita
determinazione resa nota agli associati con l'informativa (analoga condizione è
stata inserita per i trattamenti di dati sensibili all’art. 26, comma 4, lett.
a));
e) la lettera i) reca un miglior coordinamento con la disciplina in materia di
trattamenti per scopi storici, statistici o scientifici.
Per quanto riguarda il trattamento dei dati sensibili, si segnalano alcuni
interventi di razionalizzazione del sistema e per il pieno adeguamento della
normativa alla direttiva 95/46/CE (art. 26)
Anzitutto, conformemente a quanto previsto per i soggetti pubblici, si è
nuovamente ricordato che anche i soggetti privati nel trattare dati sensibili
devono altresì rispettare i presupposti ed i limiti stabiliti dal codice, da
disposizioni di legge o di regolamento.
Un importante intervento di razionalizzazione della disciplina, riguarda il
trattamento di dati sensibili effettuati da confessioni religiose.
L’art. 8, par. 2, lett. d), della dir. 95/46/CE prevede che i trattamenti
effettuati da associazioni o altri organismi senza scopo di lucro operanti in
ambito religioso, filosofico, politico o sindacale sono consentiti anche senza
il consenso degli interessati, se effettuati in base a "garanzie adeguate" e
purché siano utilizzati - all'"interno" degli organismi - i soli dati degli
aderenti o delle persone che hanno contatti abituali con gli organismi stessi
nell'ambito delle loro finalità lecite. Il particolare regime si giustifica in
ragione del fine perseguito dagli organismi (in ogni caso non di lucro) e del
“limite” rappresentato dalla circolazione dei dati solo all’interno degli
organismi.
Per quanto riguarda l’ambito religioso, il decreto legislativo n. 135/1999, in
materia di trattamento di dati sensibili da parte di soggetti pubblici, ha dato
una prima attuazione a tale disciplina in riferimento alle confessioni religiose
i cui rapporti con lo Stato sono regolati da accordi o intese (art. 22, comma
1-bis, l. n. 675/1996, introdotto dal d. lg. n. 135/1999), “autorizzando” le
stesse a trattare i dati in questione anche senza il consenso degli interessati
e senza l’obbligo di rispettare l’autorizzazione del Garante, nel rispetto,
tuttavia, di idonee garanzie da adottare in relazione ai trattamenti effettuati.
Successivamente il decreto legislativo n. 467/2001 ha integrato il medesimo
articolo 22 della legge n. 675/1996 prevedendo che tutti gli organismi senza
scopo di lucro, anche a carattere religioso, possono trattare i dati sensibili
senza il consenso dell’interessato, ma nel rispetto dell’autorizzazione del
Garante. L’art. 26, comma 3, lett. a) del codice completa, ora, l'intervento
normativo, armonizzando meglio la disciplina normativa delle confessioni
religiose, anche in riferimento alla giurisprudenza costituzionale e alle
garanzie di cui le medesime confessioni si dotano nel rispetto dei principi
contenuti in un’autorizzazione del Garante. Un’apposita disposizione transitoria
(art. 181, comma 6) consente, in ogni caso, alle confessioni religiose che,
prima dell’entrata in vigore del codice, abbiano già determinato e adottato le
garanzie richieste nell’ambito del rispettivo ordinamento, di proseguire le
attività di trattamento nel rispetto delle medesime.
Per quanto riguarda i casi in cui il trattamento è consentito anche senza il
consenso dell'interessato, previa autorizzazione del Garante, si evidenzia:
a) la disciplina dei trattamenti effettuati da organismi senza scopo di lucro -
analogamente a quanto sopra descritto in relazione al trattamento di dati comuni
– è stata adeguata ad un criterio di maggiore garanzia e trasparenza prevedendo
che tali organismi individuino con espressa determinazione le modalità di
utilizzo dei dati, rendendola nota agli interessati all’atto dell’informativa
(art. 26, comma 4, lett. a));
b) è stato apportato un intervento analogo a quello già descritto per il
trattamento di dati comuni necessario per salvaguardare la vita o l'incolumità
di un terzo o dell'interessato (art, 26, comma 4, lett. b));
c) in relazione al diritto di "rango pari" a quello dell'interessato -
presupposto di liceità del trattamento di dati idonei a rivelare lo stato di
salute per finalità di esercizio di un diritto – è stato precisato, in
conformità alla giurisprudenza e al diritto vivente, che tale diritto è relativo
ad un diritto della personalità o ad un altro diritto o libertà fondamentale e
inviolabile; tale precisazione normativa ricorre, ovviamente, in ogni altro caso
in cui nel codice si fa riferimento ad un diritto di rango pari (artt. 60, 71 e
92) (art. 26, comma 4, lett. c));
d) in attuazione di una specifica disposizione della direttiva europea (art. 8,
par. 2, lett. b), dir. 95/46/CE), è stato introdotto un ulteriore presupposto di
liceità del trattamento in relazione a ciò che è necessario per adempiere a
specifici obblighi previsti dalla normativa, anche comunitaria, in materia di
gestione del rapporto di lavoro, nei limiti previsti dall'autorizzazione del
Garante e ferme restando le disposizioni del codice di deontologia e di buona
condotta (art. 26, comma 4, lett. d).
TITOLO IV - I soggetti che effettuano il trattamento
Art. 28 (Titolare del trattamento)
Per quanto riguarda i soggetti che effettuano il trattamento, rispetto alla
normativa previgente, l'art. 28 chiarisce (sebbene ciò sia pacifico sul piano
giuridico e dell’applicazione pratica) che nel caso in cui il trattamento è
effettuato da una persona giuridica, da una pubblica amministrazione o da altro
ente, “titolare” è l'entità nel suo complesso, oppure l'unità periferica che
esercita un potere decisionale autonomo sulle finalità del trattamento, anziché
la persona fisica incardinata nell'organo o preposta all'ufficio.
Art. 29 (Responsabile del trattamento)
L'art. 29, per fugare ogni possibile dubbio interpretativo emerso in qualche
caso, chiarisce ancor più che la nomina del responsabile è meramente facoltativa
e compete al solo titolare. Nella disposizione è espunto il riferimento agli
incaricati, ora opportunamente inserito nella disposizione che riguarda questi
ultimi (art. 30).
Art. 30 (Incaricati del trattamento)
L’art. 30 chiarisce, confermando una sperimentata prassi applicativa considerata
corretta anche dal Garante, che alla designazione espressa e specifica degli
incaricati - da effettuarsi in ogni caso per iscritto e con riguardo a
specifiche mansioni - è "parificata" la preposizione della persona fisica ad una
unità organizzativa per la quale sia individuato per iscritto l'ambito del
trattamento consentito agli addetti ivi preposti. Tale previsione rappresenta
un’indubbia forma di semplificazione dell'adempimento per i titolari o
responsabili, che tuttavia non va a detrimento della sua efficacia.
TITOLO V - Sicurezza dei dati e dei sistemi
Capo I - Misure di sicurezza
Art. 31 (Obblighi di sicurezza)
L’art. 31 riproduce pedissequamente l’art. 15 della legge n. 675/1996.
Art. 32 (Particolari titolari)
L’art. 32 riguarda le particolari modalità di applicazione delle misure di
sicurezza da parte di fornitori di servizi di comunicazione elettronica e
ripropone pressoché integralmente, salvo per la terminologia che è adeguata alla
direttiva 2002/58/CE, l’art. 2 del d.lg. n. 171/1998. Per quanto riguarda il
rapporto fra l’adozione delle misure di sicurezza e i relativi costi, è
confermata la scelta effettuata con il d. lg. n. 171/1998. La norma, infine, in
attuazione di una specifica previsione della predetta direttiva 2002/58, prevede
che le misure debbano essere adottate anche per salvaguardare l’integrità dei
dati trattati e delle comunicazioni elettroniche contro il rischio di
intercettazione o altra abusiva cognizione ed utilizzazione (art. 5, dir. cit).
Capo II - Misure minime di sicurezza
Art. 33 (Misure minime)
Art. 34 (Trattamenti con strumenti elettronici)
Art. 35 (Trattamenti senza l'ausilio di strumenti elettronici)
Art. 36 (Adeguamento)
Il capo II individua le note misure “minime” di sicurezza demandando la
determinazione delle modalità di applicazione alle disposizioni contenute nel
Disciplinare tecnico allegato al codice (allegato B).
Rispetto alle disposizioni contenute nel d.P.R. 28 luglio 1999, n. 318, emanato
in attuazione dell’art. 15 della legge n. 675/1996, il sistema delle misure
minime di sicurezza viene semplificato e aggiornato sulla base dell’esperienza
applicativa degli ultimi tre anni e dell’evoluzione tecnologica.
Si segnalano, in particolare, alcuni aspetti caratterizzanti il nuovo sistema.
Ai fini dell’applicazione delle misure minime richieste, si conferma la
distinzione fra trattamenti effettuati con strumenti elettronici e trattamenti
“cartacei”, mentre, per quanto riguarda i primi, si evidenzia la diversa
configurazione della distinzione, presente a determinati effetti nel d.P.R.
318/1999, tra trattamenti effettuati con elaboratori non accessibili da altri
elaboratori o terminali e trattamenti con elaboratori “accessibili” in rete, e,
tra questi ultimi, dell’ulteriore distinzione tra l’accessibilità attraverso
reti disponibili o non disponibili al pubblico.
Non ha più una sua espressa rilevanza formale la figura dell’amministratore di
sistema, mentre viene confermato l’obbligo di provvedere alla custodia di copie
delle parole chiave per l’autenticazione, qualora sia tecnicamente
indispensabile per garantire l’accesso ai dati in caso di impedimento di un
incaricato.
Per il trattamento con strumenti elettronici si prevede l’obbligo di adottare
l’autenticazione informatica dell’utente, anche mediante l’utilizzo di eventuali
sistemi biometrici, e adeguate procedure di gestione delle relative credenziali
di autenticazione.
Il titolare deve curare l’aggiornamento periodico dell’individuazione
dell’ambito del trattamento consentito ai singoli incaricati, la protezione
degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati,
ad accessi non consentiti e a determinati programmi informatici, la tenuta di un
aggiornato documento programmatico sulla sicurezza e l’adozione di tecniche di
cifratura o di codici identificativi per determinati trattamenti di dati idonei
a rivelare lo stato di salute o la vita sessuale effettuati da organismi
sanitari.
Per i casi residuali in cui la limitatezza tecnologica degli strumenti in uso o
la loro obsolescenza non consentano di attuare completamente il dettato
normativo, si prevede l’obbligo da parte del titolare di descrivere in un
documento a data certa, da custodire presso la propria struttura, gli
impedimenti tecnici che hanno reso impossibile o parziale l’immediata
applicazione delle misure minime di sicurezza. Viene inoltre introdotto, in
relazione alla possibile inadeguatezza di alcuni elaboratori a consentire
l’applicazione delle misure minime, un termine di un anno per dare tempo ai
titolari di adeguare la propria dotazione tecnologica in modo da consentire
l’applicazione delle misure minime di sicurezza (art. 180).
Per quanto riguarda le modalità di applicazione delle misure minime di sicurezza
da adottare, sono state apportati gli adeguamenti richiesti dalla Commissione
giustizia della Camera. In particolare, nel Disciplinare tecnico che reca tali
modalità, sono state stabilite due scadenze periodiche (semestrale e annuale)
per gli adempimenti a carico del titolare del trattamento e uniformate le
scadenze rispondenti a finalità omogenee (punti 14 e 15 del Disciplinare). E’
stato infine determinato il termine di aggiornamento periodico
dell’individuazione dell’ambito del trattamento consentito agli incaricati
(punto 27 del Disciplinare).
TITOLO VI - Adempimenti
Art. 37 (Notificazione del trattamento)
Art. 38 (Modalità di notificazione)
Gli articoli 37 e 38 completano l'intervento di semplificazione e
razionalizzazione del sistema delle notificazioni già avviato dal decreto
legislativo n. 467/2001, rivelatosi, sulla base dell’esperienza, per alcuni
aspetti non indispensabile rispetto alle reali finalità di trasparenza
perseguite dalla direttiva comunitaria. Con le modifiche apportate, si
snelliscono gli adempimenti in favore sia di soggetti privati, sia della
pubblica amministrazione. Si prevede, infatti, l'individuazione di un elenco “in
positivo” di un numero più ristretto di categorie di trattamenti soggetti a
notificazione, modificando il precedente impianto della normativa che, com'è
noto, prevedeva un obbligo più ampio di effettuare la notificazione e
individuava, poi, alcuni casi di esonero dall’obbligo o forme semplificate di
notificazione. Il codice, completando, come si è detto, l'intervento normativo
avviato dal d.lg. n. 467/2001, che aveva individuato le linee generali del nuovo
sistema e demandato ad un regolamento governativo la determinazione dei casi e
della modalità della notificazione, individua in positivo le tipologie dei
trattamenti oggetto di notificazione al Garante in quanto suscettibili di recare
pregiudizio ai diritti e alle libertà dell’interessato.
Si tratta, in sintesi, dei seguenti trattamenti, tutti relativi ad ambiti di
particolare delicatezza:
a) dati genetici, biometrici o dati sull’ubicazione di persone od oggetti, da
chiunque effettuati;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati per
particolari finalità sanitarie (a fini di procreazione assistita, prestazione di
servizi sanitari per via telematica relativi a banche di dati o alla fornitura
di beni, indagini epidemiologiche, ecc.);
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da
organismi senza scopo di lucro;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il
profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di
consumo ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica,
con esclusione, però, dei trattamenti tecnicamente indispensabili per fornire i
medesimi servizi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del
personale, ma solo nei casi in cui ciò avvenga per conto terzi, nonché dati
sensibili utilizzati per sondaggi di opinione e simili;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici
e relative al rischio sulla solvibilità economica e simili (c.d “centrali
rischi”).
A completamento del sistema si prevede che il Garante possa prevedere con
proprio provvedimento adottato in sede di controllo preliminare (art. 17), che
siano soggetti a notificazione anche altri trattamenti in ragione del rischio
derivante per i diritti dell'interessato.
Vari sono, inoltre, gli interventi di ulteriore semplificazione del sistema.
L’art. 37 prevede, anzitutto, che l’Autorità possa individuare, nell'ambito dei
trattamenti individuati dalla norma e appena descritti, eventuali trattamenti
non suscettibili, in concreto, di recare pregiudizio agli interessati e quindi
sottratti all'obbligo di notificazione.
La notificazione potrà essere, poi, effettuata su un modello più snello di
quello attuale, mentre un altro significativo elemento di semplificazione è
riscontrabile nella soppressione dell'obbligo di effettuare una specifica
notifica dei dati destinati all'estero (cfr. art. 43, rispetto al previgente
art. 28, l. n. 675/1996). Il titolare del trattamento, pertanto, deve provvedere
alla notifica nei soli casi previsti dall'articolo 37, con un adempimento
richiesto una tantum (salvo, ovviamente, l'obbligo di notificare le eventuali
modifiche del trattamento o la sua cessazione) e sempre con un unico atto anche
quando il trattamento comporta un trasferimento di dati all'estero (art. 37,
comma 3).
Le notificazioni sono inserite nel registro dei trattamenti tenuto dal Garante,
ove sono consultabili da chiunque con modalità agevoli. Infine, una norma di
chiusura conferma la piena attuazione del principio di massima trasparenza dei
trattamenti previsto, oltre che dalla normativa comunitaria, dalla Convenzione
del Consiglio d'Europa n. 108 del 1981, prevedendo che, in ogni caso, il
titolare del trattamento il quale non è tenuto all'obbligo di notificazione ai
sensi dell'art. 37, deve fornire all'interessato, ad eventuale richiesta, le
notizie contenute nel modello predisposto per le notificazioni, salvo che il
trattamento riguardi registri o elenchi pubblici.
Art. 39 (Obblighi di comunicazione)
Come già anticipato nella parte relativa ai soggetti pubblici, l'art. 39
specifica le modalità e gli effetti della comunicazione al Garante dei flussi di
dati in ambito pubblico. La disposizione prevede la possibilità di effettuare la
comunicazione dei dati decorsi 45 giorni dalla comunicazione al Garante, ferma
restando la possibilità di una determinazione dell'Autorità anche successiva
all'avvio del flusso dei dati ,e si applica anche al trattamento di dati idonei
a rivelare lo stato di salute previsto dal programma di ricerca biomedica e
sanitaria di cui all'art. 110.
Art. 40 (Autorizzazioni generali)
Art. 41 (Richieste di autorizzazione)
Nessuna modifica riguarda il procedimento per il rilascio delle autorizzazioni
del Garante, salva la previsione di un termine ritenuto più congruo per
un’efficace valutazione dei trattamenti sottoposti all'esame dell'Autorità (45
giorni).
TITOLO VII - Trasferimenti dei dati all'estero)
Art. 42 (Trasferimenti all'interno dell'Unione europea)
Art. 43 (Trasferimenti consentiti in Paesi terzi)
Art. 44 (Altri trasferimenti consentiti)
Art. 45 (Trasferimenti vietati)
Il titolo VII reca la disciplina del trasferimento dei dati all'estero (già
contenuta nell'art. 28 della legge n. 675/1996), riportata, ora, nel codice in
maniera più chiara ed organica con la formulazione di tre distinte disposizioni.
In sintesi, gli interventi di razionalizzazione tendono nuovamente, in linea con
la direttiva 95/46/CE:
a) a semplificare il sistema del trasferimento dei dati verso Paesi non
appartenenti all'Unione europea, con l’esclusione dell'obbligo di notificare
specificamente al Garante il trasferimento dei dati (l’obbligo è adempiuto, una
tantum, con l’unica notifica eventualmente dovuta ai sensi dell’art. 37) e con
la conseguente soppressione dell’obbligo di attendere il decorso del termine
originariamente prima di poter procedere al trasferimento dei dati (art. 28,
comma 2, l. n. 675/1996);
b) ad assicurare la piena simmetria della disciplina del trattamento dei dati
personali effettuato a fini di trasferimento dei dati all'estero con quella
relativa al trattamento sul territorio nazionale (art. 43, comma 1, lett. b) e
d)).
PARTE II
Disposizioni relative a specifici settori
Nei Titoli I, II e III della Parte II (Trattamenti in ambito giudiziario -
Trattamenti da parte di forze di polizia – Difesa e sicurezza dello Stato) sono
contenute disposizioni relative a particolari trattamenti effettuati da soggetti
pubblici (rispettivamente, in ambito giudiziario per ragioni di giustizia, da
forze di polizia nell'ambito del C.e.d. del Dipartimento della pubblica
sicurezza o per finalità di prevenzione, accertamento o repressione di reati,
ovvero dagli organismi preposti alla tutela della sicurezza nazionale o in
materia di difesa).
Il codice recepisce i principi in materia di protezione dei dati personali in
relazione a tali trattamenti (già assoggettati in parte alla disciplina
contenuta nella legge n. 675/1996, in base all'art. 4 della medesima legge), pur
con gli adattamenti indispensabili in ragione della specificità degli interessi
perseguiti in tali settori.
TITOLO I – Trattamenti in ambito giudiziario
Capo I – Profili generali
Art. 46 (Titolari dei trattamenti)
L'art. 46 individua i titolari dei trattamenti effettuati in tale ambito negli
uffici giudiziari, nel CSM e negli altri organi di autogoverno e nel Ministero
della giustizia, in relazione alle rispettive attribuzioni e prevede
l'individuazione dei trattamenti, limitatamente a quelli effettuati con
strumenti elettronici, in banche dati centrali o interconnesse.
Art. 47 (Trattamenti per ragioni di giustizia)
Il successivo art. 47 individua le disposizioni del codice applicabili a tali
trattamenti, dalle quali rimangono escluse quelle non agevolmente compatibili
con un efficace perseguimento dell'interesse pubblico perseguito, e individua
l'ambito di applicabilità della particolare disciplina in commento in relazione
alle "ragioni di giustizia" di cui è fornita una specificazione sulla base
dell’esperienza applicativa. L’art. 47 chiarisce che si devono intendere
effettuati per ragioni di giustizia i trattamenti di dati personali direttamente
correlati alla trattazione giudiziaria di affari e di controversie, o che, in
materia di trattamento giuridico ed economico del personale di magistratura,
hanno una diretta incidenza sulla funzione giurisdizionale.
Le medesime ragioni di giustizia non ricorrono, ad esempio, per l’ordinaria
attività amministrativo-gestionale di personale e mezzi. Rispetto a questi
ultimi trattamenti, pertanto, trova applicazione in toto la pertinente
disciplina del codice.
Della tutela dell'interessato nei confronti dei trattamenti effettuati per
“ragioni di giustizia”, si è già detto nel commento agli articoli 7 e 8 del
codice. Si rammenta in questa sede che in relazione a tali trattamenti il
Garante effettua, ove necessario, i necessari accertamenti, anche su
segnalazione dell'interessato, con le particolari modalità di cui all'art. 160,
secondo opportuni moduli più proficuamente sperimentati, che tengono conto della
particolare collocazione istituzionale degli organi interessati (v. infra).
Art. 48 (Banche di dati di uffici giudiziari)
L'art. 48 favorisce le modalità di collegamento dell’autorità giudiziaria con
altre banche di dati della pubblica amministrazione. In tal senso si prevede che
ferma restando la necessità del rispetto delle eventuali previsioni normative
sull’acquisizione dei dati, questa può avvenire anche per via telematica sulla
base di convenzioni che agevolino la consultazione degli archivi, nel rispetto
delle regole di correttezza nel trattamento di dati personali (art. 11) e del
principio, già descritto, di necessità del trattamento (art. 3).
Art. 49 (Disposizioni di attuazione)
L'art. 49 prevede l'adozione di norme regolamentari per l'attuazione dei
principi del codice sia nella materia penale sia in quella civile.
Capo II – Minori
Art. 50 (Notizie o immagini relative a minori)
L’art. 50 estende ai procedimenti giudiziari in materie diverse da quella penale
il divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o
immagini idonee a consentire l’identificazione di un minore (art. 13 d.P.R. 22
settembre 1988, n. 448).
Capo III – Informatica giuridica
Art. 51 (Principi generali)
Art. 52 (Dati identificativi degli interessati)
Gli articoli 51 e 52 contengono norme tendenti ad agevolare lo sviluppo
dell'informatica giuridica nel rispetto dei principi in materia di protezione
dei dati personali.
Con il primo articolo, in termini analoghi a quelli previsti dal recente d.d.l.
relativo alla legge di semplificazione, si favorisce la conoscibilità dei dati
identificativi dei giudizi pendenti e delle decisioni giudiziarie adottate
mediante reti di comunicazione elettronica anche attraverso il sito internet
dell’autorità giudiziaria, senza innovare sulle esistenti disposizioni
processuali sulla conoscibilità di atti giudiziari. Per favorire un’efficace
applicazione di tale disposizione, una norma di attuazione consente di adeguare
i sistemi informativi entro un anno dall'entrata in vigore del codice (art. 181,
comma 5).
Con l'art. 52 si definiscono le modalità con cui garantire le parti in giudizio
nel caso di riproduzione di una decisione giudiziaria (ivi compreso il lodo
arbitrale rituale) in qualunque forma (su riviste giuridiche, mediante compact
disk, o mediante la rete internet), ferma restando, ovviamente, la pubblicazione
della sentenza nelle forme previste dai codici di rito. L’ambito applicativo
della disposizione è stato precisato in accoglimento di una specifica
osservazione della Commissione giustizia del Senato, chiarendo che essa riguarda
la “riproduzione” di sentenze o altri provvedimenti giurisdizionali e per
“finalità d’informazione giuridica”. Il sistema si articola in una semplice
procedura che sfocia nell’apposizione, sull'originale della decisione, di un
timbro che attesti la volontà dell'interessato di precludere l'indicazione delle
proprie generalità o altri dati identificativi in caso di diffusione dell'atto o
della relativa massima giuridica, con il conseguente divieto di diffusione di
tali dati da parte di qualunque soggetto. Tale annotazione può anche essere
apposta d'ufficio dal giudice, a tutela della dignità dell'interessato.
Un divieto specifico è previsto in caso di decisioni giudiziarie concernenti
minori in ordine ai quali non è consentito, anche in assenza della predetta
annotazione, la diffusione delle generalità, di altri dati identificativi o di
altri dati anche relativi a terze persone dai quali possa ricavarsi l'identità
del minore (art. 52, comma 5).
Un’apposita disposizione transitoria prevede precisi limiti di applicabilità del
divieto di diffusione dei dati relativi a persone non minori, contenuti in
decisioni adottate prima dell'entrata in vigore del codice, in relazione a
riviste già pubblicate (art. 181, comma 5).
TITOLO II – Trattamenti da parte di Forze di polizia
Capo I – Profili generali
Art. 53 (Ambito applicativo e titolari dei trattamenti)
Il titolo II disciplina i trattamenti effettuati dal Centro elaborazione dati
del Dipartimento della pubblica sicurezza, ovvero dalle forze di polizia, organi
di pubblica sicurezza e altri soggetti pubblici per finalità di tutela
dell’ordine o della sicurezza pubblica e di prevenzione, accertamento o
repressione dei reati, individuando le disposizioni del codice applicabili a
tali trattamenti.
L’art. 53, inoltre, prevede l’individuazione, con decreto ministeriale, dei
trattamenti effettuati con l’ausilio di strumenti elettronici e dei relativi
titolari.
Art. 54 (Modalità di trattamento e flussi di dati)
Analogamente a quanto previsto per l’autorità giudiziaria (art. 48) l'art. 54
favorisce le modalità di collegamento dell’autorità di pubblica sicurezza e
delle forze di polizia con altre banche di dati di altri soggetti. In tal senso
si prevede che, nei casi in cui una previsione normativa autorizza
l'acquisizione dei dati, questa può avvenire anche per via telematica sulla base
di convenzioni che agevolino la consultazione degli archivi, nel rispetto delle
regole di correttezza nel trattamento di dati personali (art. 11) e del
principio, già descritto, di necessità del trattamento (art. 3).
L’art. 54, inoltre, prevede per il Centro elaborazione dati l’obbligo di
assicurare l’aggiornamento dei dati ivi registrati anche mediante opportuni
collegamenti con il casellario giudiziale e dei carichi pendenti del Ministero
della giustizia. Analoga previsione è stabilita per gli organi e uffici di
polizia.
Art. 55 (Particolari tecnologie)
L’art. 55 stabilisce che i trattamenti che implicano maggiori rischi di danno
per l’interessato (in relazione, ad esempio, a banche di dati contenenti dati
genetici o biometrici) devono essere comunicati previamente al Garante (art. 39)
e devono essere effettuati nel rispetto delle misure stabilite dal Garante per
tutti i trattamenti che presentano rischi per i diritti dell’interessato (art.
17).
Art. 56 (Tutela dell’interessato)
L’art. 56 estende le disposizioni sull’accesso ai dati destinati a confluire nel
Centro elaborazioni di cui alla legge 1 aprile 1981, n. 121, anche agli altri
trattamenti effettuati dagli organi e uffici di polizia con strumenti
elettronici, assicurando, così, piena tutela ai diritti dell’interessato.
Art. 57 (Disposizioni di attuazione)
L’art. 57 prevede l’attuazione dei principi del codice in relazione al
trattamento di dati effettuato da forze di polizia o dagli altri soggetti cui si
applica il presente titolo, anche mediante l’integrazione e la modifica della
normativa vigente in materia (d.P.R. n. 378/1982, di attuazione della predetta
legge n. 121/1981). La norma prevede specifici “criteri” per l’individuazione
delle modalità del trattamento, anche in attuazione della Raccomandazione del
Consiglio d’Europa n. R(87)15 del 17 settembre 1987 sui trattamenti di dati
personali effettuati per finalità di polizia e di prevenzione e repressione di
reati.
TITOLO III – Difesa e sicurezza dello Stato
Capo I – Profili generali
Art. 58 (Disposizioni applicabili)
L'art. 58, riguarda i trattamenti effettuati dai servizi di informazione e di
sicurezza previsti dalla legge n. 801/1977 e da altri soggetti pubblici per
finalità di difesa o di sicurezza dello Stato, ovvero su dati coperti dal
segreto di Stato. Esso specifica quali sono le sole disposizioni del codice
applicabili a tali trattamenti.
In ragione della specificità di tali trattamenti e della loro particolare
delicatezza, l'articolo stabilisce che con decreto del Presidente del Consiglio
si provveda, non solo all'individuazione delle misure minime di sicurezza (come
già previsto dalla legge n. 675/1996), ma anche alla determinazione delle
modalità di applicazione a tali trattamenti della normativa del codice. La
disposizione assume particolare importanza al fine di assicurare, anche in
sintonia con orientamenti giurisprudenziali internazionali in materia di diritti
dell’uomo, la necessaria trasparenza alle tipologie di trattamenti effettuati
per tali finalità, in relazione ai tipi di operazioni e di dati oggetto di
trattamento e alle esigenze di aggiornamento e conservazione dei dati medesimi.
TITOLO IV – Trattamenti in ambito pubblico
Capo I - Accesso a documenti amministrativi.
Art. 59 (Accesso a documenti amministrativi)
Art. 60 (Dati idonei a rivelare lo stato di salute e la vita sessuale)
L'art. 59 ribadisce la compatibilità delle disposizioni in materia di accesso ai
documenti amministrativi con quelle che regolano il diritto di accesso ai dati
personali. La norma deve essere letta anche in combinato con la modifica
apportata all'articolo 24, comma 3, della legge n. 241/1990, che fa salva
l'applicabilità della disciplina prevista dal presente codice nei casi in cui la
richiesta di accesso ai dati raccolti mediante strumenti informatici riguarda
dati personali del richiedente (v. amplius il commento all’art. 176, comma 1).
La norma riproduce inoltre la previsione già contenuta nell'art. 16 del d.lg. n.
135/1999, in materia di trattamenti di dati sensibili da parte di soggetti
pubblici, prevedendo che le attività finalizzate all'applicazione della
disciplina in materia di accesso ai documenti amministrativi sono di rilevante
interesse pubblico. Al riguardo il successivo art. 60 prevede che il trattamento
è consentito se la situazione giuridicamente rilevante che si intende tutelare
con la richiesta di accesso è di rango almeno pari ai diritti dell'interessato,
ovvero consiste in un diritto della personalità o in un altro diritto o libertà
fondamentale e inviolabile. La disposizione chiarisce in modo inequivoco i
presupposti per il trattamento di tali dati sensibili oggetto di una richiesta
di accesso ai documenti, in linea con l'orientamento interpretativo espresso
dalla giurisprudenza amministrativa sul predetto art. 16 del d. lg. n. 135/1999.
Capo II - Registri pubblici e albi professionali.
Art. 61 (Utilizzazione di dati pubblici)
L'art. 61 disciplina, fra l'altro, il trattamento dei dati personali contenuti
in albi professionali, in applicazione dei principi in materia di comunicazione
e diffusione di dati da parte di soggetti pubblici (art. 19, commi 2 e 3),
consentendone il trattamento anche mediante reti di comunicazione elettronica.
La disposizione, inoltre, ad integrazione di tali principi (specifica
"copertura" normativa o perseguimento di finalità istituzionali), fa salva la
possibilità che, a richiesta dell'interessato, siano inseriti nell'albo anche
altri dati, purchè pertinenti rispetto all'attività professionale, o siano
comunicate a terzi altre informazioni.
Capo III - Stato civile, anagrafi e liste elettorali.
Art. 62 (Dati sensibili e giudiziari)
Art. 63 (Consultazione di atti)
Il capo si limita sostanzialmente a riprodurre la disposizione che individua
quali finalità di rilevante interesse pubblico, la tenuta degli atti e dei
registri dello stato civile, delle anagrafi e delle liste elettorali (già art.
7, d. lg. n. 135/1999), con la precisazione che vi sono ricomprese anche le
finalità relative al rilascio di documenti di riconoscimento e al cambiamento
delle generalità.
In relazione a tali materie, inoltre, si segnalano nelle disposizioni
transitorie alcuni interventi che adeguano la normativa vigente ai principi in
materia di protezione dei dati personali (art. 177).
Capo IV - Finalità di rilevante interesse pubblico.
Art. 64 (Cittadinanza, immigrazione e condizione dello straniero)
Art. 65 (Diritti politici e pubblicità dell’attività di organi)
Art. 66 (Materia tributaria e doganale)
Art. 67 (Attività di controllo e ispettive)
Art. 68 (Benefici economici ed abilitazioni)
Art. 69 (Onorificenze, ricompense e riconoscimenti)
Art. 70 (Volontariato e obiezione di coscienza)
Art. 71 (Attività sanzionatorie e di tutela)
Art. 72 (Rapporti con enti di culto)
Art. 73 (Altre finalità in ambito amministrativo e sociale)
Nel capo IV sono riportate pressoché pedissequamente le disposizioni che
individuano le finalità di rilevante interesse pubblico, già contenute agli
articoli 8 e seguenti del citato d. lg. n. 135/1999. L'art. 73 riporta le altre
finalità di rilevante interesse pubblico individuate, in materia amministrativa
e sociale, dal Garante, ai sensi dell'art. 22, comma 3, della legge n. 675/1996,
con il provvedimento n. 1/P/2000 del 30 dicembre 1999-13 gennaio 2000,
pubblicato nella G.U. n. 26 del 2 febbraio 2000.
Per quanto riguarda le finalità di rilevante interesse pubblico in materia di
attività sanzionatorie e di tutela, allo scopo di chiarire alcuni dubbi
applicativi, in accoglimento delle osservazioni formulate dalla Commissione
giustizia della Camera dei deputati, nell’articolo 71, comma 1, lett. b), è
stata inserita la previsione che, nell’ambito di tali finalità volte a far
valere il diritto di difesa in sede amministrativa o giudiziaria, rientrano
anche le attività effettuate per consentire l’acquisizione da parte del
difensore di documenti in possesso della pubblica amministrazione, ai sensi
dell’articolo 391- quater del codice di procedura penale.
Non sono riprodotte nel presente capo, perché riportate nei capi del codice ove
sono trattate le rispettive materie, oltre a quelle appena descritte in materia
di accesso ai documenti amministrativi (già art. 16, d. lg. n. 135/1999) e di
tenuta degli atti e dei registri dello stato civile, delle anagrafi e delle
liste elettorali (già art. 7, d. lg. n. 135/1999), le disposizioni concernenti
le finalità di rilevante interesse pubblico in materia di:
a) rapporto di lavoro (art. 112, già art. 9, d. lg. n. 135/1999);
b) istruzione (art. 95, già art. 12, d. lg. n. 135/1999);
c) tutela della salute, interruzione della gravidanza, tossicodipendenze e
portatori di handicap (artt. 85 e 86, già artt. 17-20, d. lg. n. 135/1999);
d) statistica, ricerca storica ed archivi (art. 98, già artt. 22 e 23, d. lg. n.
135/1999).
La disposizione che prevede quale finalità di rilevante interesse pubblico
l’applicazione della normativa in materia di immigrazione (art. 64) deve essere
applicata in coordinamento con le recenti disposizioni introdotte dalla legge n.
189/2002, in relazione alle quali resta consentita la raccolta dei dati
biometrici ivi previsti nel rispetto, ovviamente, dei principi in materia di
protezione dei dati personali.
Per quanto riguarda le finalità di rilevante interesse pubblico inserite in
questo capo si segnalano alcuni interventi integrativi volti a meglio precisare
l’ambito di applicabilità delle disposizioni. In particolare, si considerano di
rilevante interesse pubblico le finalità:
a) relative alla tenuta degli elenchi dei giudici popolari (art. 65, comma 1,
lett. a));
b) connesse alla disciplina in materia di violazione del termine ragionevole del
processo (art. 71, comma 1, lett. b));
c) di polizia amministrativa, opportunamente non limitata al livello locale
(art. 73, comma 2, lett. f));
d) di tutela delle risorse idriche e di difesa del suolo (art. 73, comma 2,
lett. f)).
Capo V – Particolari contrassegni.
Art. 74 (Contrassegni su veicoli e accessi a centri storici)
L'articolo 74 individua alcune cautele a garanzia della riservatezza delle
persone in relazione al trattamento di dati personali contenuti in contrassegni
di circolazione, destinati all'esposizione all'interno di veicoli, anche
relativi a persone handicappate. La disposizione prende in esame i principi a
suo tempo richiamati dal Garante con un provvedimento generale (adottato il 19
gennaio 1999), già in larga parte applicati in ambito locale.
TITOLO V – Trattamento di dati personali in ambito sanitario
Capo I - Profili generali
Art. 75 (Ambito applicativo)
Art. 76 (Esercenti professioni sanitarie e organismi sanitari pubblici)
Gli art. 75 e 76 definiscono l'ambito di applicazione del capo e i presupposti
di liceità del trattamento dei dati idonei a rivelare lo stato di salute da
parte degli esercenti le professioni sanitarie e degli organismi sanitari
pubblici. L’articolo riproduce pedissequamente il previgente art. 23 della legge
n. 675/1996 chiarendo che tale trattamento è effettuato con il consenso
dell’interessato e anche senza l’autorizzazione del Garante, se riguarda dati e
operazioni indispensabili per perseguire una finalità di tutela della salute o
dell'incolumità fisica dell'interessato, ovvero anche senza il consenso
dell’interessato e previa autorizzazione del Garante, se la finalità riguarda un
terzo o la collettività.
L’art. 76 inoltre, anticipa, che nei casi in cui è richiesto, il consenso può
essere prestato con forme semplificate e secondo le modalità contenute nel capo
II.
Capo II – Modalità semplificate per informativa e consenso
Il capo II introduce modalità semplificate per il rilascio dell’informativa e
per la prestazione del consenso dell’interessato in relazione al trattamento di
dati in ambito sanitario, recependo integralmente e ulteriormente semplificando
(con particolare riguardo a quello a fini amministrativi), le proposte formulate
da una apposita commissione istituita presso il Ministero della salute per la
redazione dello schema di regolamento ministeriale già previsto dalla normativa
previgente (art. 23, comma 1-bis, l. n. 675/1996).
Art. 77 (Casi di semplificazione)
L’art. 77 individua l’ambito oggettivo e soggettivo di tali forme di
semplificazione chiarendo che esse riguardano sia il rilascio dell’informativa,
sia la prestazione del consenso dell’interessato (e, più in generale, le
modalità del trattamento dei dati) e si applicano a tutti i soggetti operanti in
ambito sanitario, pubblici o privati.
Art. 78 (Informativa del medico di medicina generale o del pediatra)
L’art. 78 individua le modalità di semplificazione per l’informativa
all’interessato da parte del medico “di famiglia” (o del pediatra), sotto tre
profili:
a) per quanto riguarda l’ambito “oggettivo” di applicazione, l’informativa può
essere fornita, con un unico atto, per il complessivo trattamento di dati
relativo al paziente (diagnosi, cura, riabilitazione, ecc.) e può riguardare
anche dati raccolti presso terzi;
b) sotto il profilo “soggettivo”, essa può riguardare anche il trattamento di
dati “correlato” a quello del medico “di famiglia”, effettuato da altro
professionista che con quello venga, in vario modo, in contatto professionale
nell’interesse del paziente;
c) infine, circa le modalità, l’informativa è resa preferibilmente per iscritto,
ma anche con modalità alternative come le più recenti carte tascabili o altri
simili strumenti, integrandola oralmente, se necessario.
Il comma 5 contiene un’importante previsione sul contenuto dell’informativa, in
base alla quale essa deve evidenziare analiticamente eventuali trattamenti
potenzialmente rischiosi per i diritti e le libertà fondamentali
dell’interessato, come quelli effettuati a fini di ricerca scientifica o di
sperimentazione clinica, oppure effettuati mediante il ricorso alle più moderne
tecnologie, in particolare in forma di teleassistenza o telemedicina.
Art. 79 (Informativa da parte di organismi sanitari)
L’art. 79 estende le predette modalità semplificate in ambiti più ampi rispetto
a quello dei singoli professionisti con cui il paziente può venire in contatto
più direttamente, in relazione, cioè, agli organismi sanitari pubblici e privati
nel loro complesso, anche in riferimento ad una pluralità di prestazioni erogate
da distinti reparti dello stesso organismo o di più strutture ospedaliere o
aziende sanitarie. E’ evidente l’intento della norma di semplificare il più
possibile il rilascio dell’informativa assicurando al contempo l’effettività
dell’adempimento. Infatti si precisa che i vari organismi o strutture devono
annotare l’avvenuta informativa con modalità uniformi, tali da consentire ogni
verifica al riguardo da parte di altri reparti ed unità o di altre strutture.
Art. 80 (Informativa da parte di altri soggetti pubblici)
L’art. 80 prevede la possibilità di un’unica informativa anche a fini
amministrativi e per una pluralità di trattamenti di dati, quando i trattamenti
siano effettuati dai competenti servizi o strutture di soggetti pubblici
operanti in ambito sanitario o della prevenzione e sicurezza del lavoro. In tal
caso la norma precisa che, a ulteriore garanzia dell’interessato, l’informativa
è integrata con appositi avvisi, agevolmente visibili al pubblico o diffusi
anche con strumenti telematici.
Art. 81 (Prestazione del consenso)
L’art. 81 disciplina le modalità semplificate per la prestazione del consenso,
applicabili, ove necessario, in tutti i casi descritti in relazione agli
articoli 78 e 79.
Il consenso al trattamento dei dati, nei casi in cui è necessario ai sensi del
presente codice o di altra disposizione di legge, può essere manifestato con
un'unica dichiarazione. Non si richiede che sia necessariamente prestato in
forma scritta dall’interessato, ma è sufficiente che il medico o l’organismo
annoti il consenso medesimo. L’art. 81, poi, “raccorda” il rilascio
dell’informativa con la prestazione del consenso nel caso di informativa resa
dal medico “di famiglia” per conto di più professionisti, prevedendo che, in tal
caso, gli altri professionisti siano messi in condizione di conoscere l’avvenuta
prestazione del consenso mediante l’apposizione di un bollino o altro segno
sulla tessera sanitaria, anche con riferimento a eventuali “specificità”
dell’informativa resa.
Art. 82 (Emergenza e tutela della salute e dell’incolumità fisica)
L’art. 82 disciplina i casi in cui, in relazione a situazioni di emergenza,
anche connesse allo stato di salute del paziente, l’informativa e il consenso
possono intervenire in un momento successivo alla prestazione medica resa dal
sanitario.
A parte i casi in cui sussistono emergenze di carattere pubblico, sanitarie o di
igiene, il trattamento dei dati idonei a rivelare lo stato di salute del
paziente è consentito anche in assenza del suo consenso – purchè questo e la
relativa informativa intervengano successivamente - quando:
a) l’interessato non è in grado di prestare il proprio consenso per incapacità o
impossibilità e non può acquisirsi neanche il consenso delle persone che, già in
base alla normativa previgente, possono esprimere il consenso per conto
dell’interessato (chi esercita legalmente la potestà,un prossimo congiunto,
ecc.);
b) nel caso di rischio grave per la salute o l’incolumità dell’interessato;
c) quando la prestazione medica potrebbe essere altrimenti pregiudicata
dall’acquisizione preventiva del consenso.
Art. 83 (Altre misure per il rispetto dei diritti dell’interessato)
L’art. 83 prevede la possibilità per i soggetti cui si riferisce il presente
capo di adottare, nell’ambito dell’organizzazione dei servizi, altre misure a
garanzie dei diritti dell’interessato (distanze di cortesia, riservatezza nei
colloqui, regole di condotta analoghe al segreto professionale per gli
incaricati che non vi sono già sottoposti, ecc.).
Art. 84 (Comunicazione di dati all’interessato)
L’art. 84 riproduce l’art. 23, comma 2, della legge n. 675/1996 in base al quale
i dati personali idonei a rivelare lo stato di salute possono essere resi noti
all’interessato da parte di esercenti le professioni sanitarie ed organismi
sanitari, solo per il tramite di un medico designato. Poiché la norma ha il
chiaro intento di evitare al paziente di venire a conoscenza di notizie sul suo
stato di salute da soggetti professionalmente non preposti a tale compito, che
spesso è alquanto delicato, la norma è stata integrata prevedendo la sua
inapplicabilità in riferimento ai dati personali già conosciuti dal medesimo
interessato in quanto da lui forniti in precedenza. In ogni caso si prevede
ulteriormente che possa essere espressamente incaricato a tale scopo anche altro
personale sanitario che abbia rapporti diretti con il paziente.
Capo III – Finalità di rilevante interesse pubblico
Art. 85 (Compiti del Servizio sanitario nazionale)
Art. 86 (Altre finalità di rilevante interesse pubblico)
Gli articoli 85 e 86 riproducono le disposizioni del d. lg. n. 135/1999 che
individuavano le finalità di rilevante interesse pubblico. Le disposizioni
chiariscono che si tratta, in ogni caso, di finalità relative ad attività a
carattere amministrativo. Pertanto, i soggetti che operano nell’ambito del SSN o
gli altri organismi sanitari pubblici, se ricorrono tali finalità, possono
trattare dati idonei a rivelare lo stato di salute dell’interessato anche in
assenza del suo consenso, previa identificazione delle operazioni eseguibili e
dei tipi di dati idonei a rivelare lo stato di salute, ai sensi dell’articolo
20, alla quale deve essere assicurata ampia pubblicità. Particolari cautele sono
previste, in ogni caso, per il trattamento dei dati identificativi
dell’interessato.
Capo IV – Prescrizioni mediche
Art. 87 (Medicinali a carico del Servizio sanitario nazionale)
Art. 88 (Medicinali non a carico del Servizio sanitario nazionale)
Art. 89 (Casi particolari)
Il capo IV reca la disciplina delle modalità di rilascio delle prescrizione
mediche, riproducendo la normativa vigente opportunamente razionalizzata al fine
di garantire la riservatezza dell’interessato e tenendo conto, anche in questo
caso, delle indicazioni formulate dalla commissione menzionata all’inizio del
presente capo..
Si distinguono diverse modalità di rilascio delle prescrizioni a secondo che le
“ricette” siano a carico o meno del SSN.
Per le prime, l’esigenza, già contenuta nel d. lg. n. 282/1999, è di permettere
di risalire all'identità dell'interessato solo in caso di necessità connesse al
controllo della correttezza della prescrizione, ovvero a fini di verifiche
amministrative o per scopi epidemiologici e di ricerca. In tal senso il modello
di “ricetta” già in uso è integrato da un tagliando predisposto su carta o con
tecnica di tipo copiativo e unito ai bordi della prescrizione, posizionato in
modo da “coprire” le generalità dell’interessato, e separabile temporaneamente,
ove necessario.
Sulle prescrizioni non a carico del SSN, invece, non sono riportate le
generalità dell’interessato, salvo che il medico lo ritenga necessario per
consentirne l’individuazione quando particolari situazioni lo richiedano.
Sono fatte salve disposizioni particolari, come per le prescrizioni relative al
c.d. dccreto “Di Bella” o in materia di tossicodipendenze.
Capo V – Dati genetici
Art. 90 (Trattamento dei dati genetici e donatori di midollo osseo)
L’art. 90, ai commi 1 e 2, riproduce la disposizione previgente in materia di
dati genetici chiarendo più in dettaglio il contenuto della necessaria
autorizzazione del Garante al trattamento di tali dati, con riferimento, in
particolare, all’informativa all’interessato.
Al comma 3, l’art. 90 inserisce nel codice per omogeneità di materia una
disposizione in materia di riservatezza nel caso di trapianto di midollo osseo
(art. 4, comma 3, l. 6 marzo 2001, n. 52), abrogando l’originaria disposizione
(art. 183, comma 3, lett. c)).
Capo VI – Disposizioni varie
Art. 91 (Dati trattati mediante carte)
L’art. 91 riguarda i trattamenti di dati idonei a rivelare lo stato di salute o
la vita sessuale dell’interessato eventualmente registrati su carte anche non
elettroniche o trattati mediante le medesime carte, come, ad esempio, la carta
nazionale dei servizi.
Ferma restando l’esigenza di una “copertura” normativa di tali trattamenti, la
delicatezza di essi, per la natura dei dati e le particolari tecnologie
adoperate, richiede che siano effettuati solo se necessari, nel rispetto del
principio di necessità più volte richiamato (art. 3), e nell’osservanza delle
misure eventualmente prescritte dal Garante nei modi di cui all’articolo 17,
trattandosi di trattamenti che possono presentare specifici rischi per i diritti
e le libertà fondamentali.
Art. 92 (Cartelle cliniche)
L’art. 92 introduce alcune importanti disposizioni in materia di trattamento di
dati contenuti nelle cartelle cliniche e nelle accluse schede di dimissione
ospedaliera.
Da un lato, si favorisce l’intelligibilità dei dati ivi contenuti da parte del
medesimo interessato (art. 10), tutelando al contempo dati di terzi
eventualmente presenti, come nel caso in cui, ad esempio, dal particolare stato
di salute della madre possano ricavarsi dati relativi al nascituro.
Dall’altro, si assicura l’accesso alle informazioni ivi contenute anche a terzi,
nei limiti dei principi del presente codice. In tal senso, si prevede, infatti,
che a tali dati si possa avere accesso far valere o difendere un diritto in sede
giudiziaria ai sensi dell’articolo 26, comma 4, lettera c), o per tutelare, in
conformità alla disciplina sull’accesso ai documenti amministrativi, una
situazione giuridicamente rilevante, purché in entrambi i casi la situazione
soggettiva da far valere sia di rango pari a quello dell’interessato, ovvero
consistente in un diritto della personalità o in un altro diritto o libertà
fondamentale e inviolabile.
Art. 93 (Certificato di assistenza al parto)
L’art. 93 fa parte di un più complessivo intervento tendente a inserire nel
codice alcune disposizioni che riguardano la riservatezza dei dati contenuti nel
certificato di assistenza al parto, già previste dall’art. 16 del d.P.R. 28
dicembre 2000, n. 445, recante il testo unico in materia di documentazione
amministrativa, che viene, pertanto, abrogato in parte qua (art. 183, comma 3,
lett. d)). La disciplina è completata dall’art. 109 che riguarda gli aspetti
della rilevazione di tali dati a fini statistici (v. infra).
L’art. 93, inoltre, raccorda tale disciplina con il diritto all’anonimato della
madre, di cui all’art. 30 del d.P.R. 3 novembre 2000, n. 396, in materia di
stato civile, prevedendo che il certificato di assistenza al parto (ed anche la
cartella clinica), ove comprensivi dei dati personali che rendono identificabile
la madre, possono essere rilasciati in copia integrale a chi vi abbia interesse
solo decorsi cento anni dalla formazione del documento. Prima di tale termine,
la richiesta di accesso al certificato o alla cartella non è, ovviamente,
preclusa, ma devono essere adottate le opportune cautele per scongiurare l’identificabilità
della madre che voglia rimanere anonima.
Art. 94 (Banche di dati, registri e schedari in ambito sanitario)
L’art. 94 prevede la specifica applicazione del principio di necessità nel
trattamento dei dati al trattamento di dati idonei a rivelare lo stato di salute
contenuti in banche di dati o altri archivi o registri tenuti in ambito
sanitario.
TITOLO VI – Istruzione
Capo I - Profili generali
Art. 95 (Dati sensibili e giudiziari)
L’art. 95 riproduce la disposizione che individua quali finalità di rilevante
interesse pubblico quelle in materia di istruzione e di formazione (già art. 12,
d. lg. n. 135/1999).
Art. 96 (Trattamento di dati relativo a studenti)
L’art. 96, riproduce l’art. 330-bis del d. lg. 16 aprile 1994, n. 297,
introdotto dal d. lg. n. 281/1999, concernente il trattamento di dati relativi a
studenti e la pubblicazione dell'esito degli esami, e conferma la vigenza di
altre disposizioni in materia di tutela del diritto dello studente alla
riservatezza.
TITOLO VII – Trattamento per scopi storici, statistici o scientifici
Capo I - Profili generali
Art. 97 (Ambito applicativo)
Art. 98 (Finalità di rilevante interesse pubblico)
Art. 99 (Compatibilità fra scopi e durata del trattamento)
Art. 100 (Dati relativi ad attività di studio e di ricerca)
Il Capo I contiene disposizioni comuni al trattamento di dati personali
effettuato per scopi storici, statistici o scientifici, già disciplinato, oltre
che da specifiche disposizioni della legge n. 675/1996, dal d. lg. 30 luglio
1999, n. 281.
All’art. 98, per evidente esigenza di armonizzazione normativa, sono ora
considerate finalità di rilevante interesse pubblico anche quelle concernenti i
trattamenti effettuati per scopi scientifici, che così si aggiungono agli scopi
storici e alle finalità di statistica (già artt. 22 e 23, d. lg. n. 135/1999).
L'art. 100 riproduce il disposto dell'art. 6, comma 4, del decreto legislativo 5
giugno 1998, n. 204, in materia di diffusione di dati a fini di ricerca e
collaborazione in campo scientifico e tecnologico, riportato nell'ambito del
codice per omogeneità di materia.
Capo II - Trattamento per scopi storici.
Art. 101 (Modalità di trattamento)
Art. 102 (Codice di deontologia e di buona condotta)
Art. 103 (Consultazione di documenti conservati in archivi)
Il Capo II contiene le disposizioni riguardanti il trattamento di dati personali
effettuato per scopi storici, in ordine alle quali non si riscontrano specifici
interventi di razionalizzazione.
L'art. 103 dispone che per la consultazione dei documenti conservati negli
archivi di Stato o in quelli storici degli enti pubblici ovvero in archivi
privati si applicano le pertinenti disposizioni del testo unico in materia di
beni culturali e ambientali, approvato con il d. lg. n. 490 del 1999, nel quale
sono confluite le disposizioni del d. P.R. 30 settembre 1963, n. 1049, già
modificato dal citato d. lg. n. 281/1999.
Capo III - Trattamento per scopi statistici o scientifici
Art. 104 (Ambito applicativo e dati identificativi)
Art. 105 (Modalità di trattamento)
Art. 106 (Codici di deontologia e di buona condotta)
Art. 107 (Trattamento di dati sensibili)
Art. 108 (Sistema statistico nazionale)
Art. 109 (Dati statistici relativi all’evento della nascita)
Il Capo III contiene le disposizioni riguardanti il trattamento di dati
personali effettuato per scopi statistici o scientifici.
In ordine a tali trattamenti nell'art. 105 si riscontra un importante intervento
di semplificazione in relazione all'obbligo di fornire all'interessato
l'informativa di cui all'art. 13.
L'art. 105, infatti, stabilisce che quando specifiche circostanze individuate
dai rispettivi codici di deontologia sono tali da consentire ad un soggetto di
rispondere in nome e per conto di un altro, in quanto familiare o convivente,
l'informativa all'interessato di cui all'art. 13 è validamente prestata anche
per il tramite del soggetto legittimato alla risposta (art. 105, comma 4). La
semplificazione può trovare applicazione nell’ambito delle procedure di
rilevamento di dati statistici in occasione del censimento della popolazione.
Inoltre l'informativa non è dovuta in relazione al trattamento effettuato per
scopi statistici o scientifici rispetto a dati originariamente raccolti per
altri scopi, quando richiederebbe uno sforzo sproporzionato rispetto al diritto
tutelato, purché siano, però, adottate idonee forme di pubblicità alternative,
individuate dai medesimi codici deontologici (art. 105, comma 4).
L'art. 108 chiarisce che il trattamento dei dati personali da parte di soggetti
che fanno parte del Sistan è disciplinato altresì dal decreto legislativo 6
settembre 1989, n. 322, già modificato dal decreto legislativo n. 281/1999.
L'art. 109 riproduce, in parte, il disposto dell'art. 16, comma 3, del d.P.R. 28
dicembre 2000, n. 445, recante il testo unico in materia di documentazione
amministrativa, concernente i dati statistici relativi all'evento della nascita,
aggiornato in base al d.m. n. 349/2001. Come anticipato in altra parte della
relazione, la norma completa, sotto il profilo degli adempimenti a fini
statistici (il che giustifica la sua collocazione in questo capo) la
disposizione dell’articolo 93 (Certificato di assistenza al parto).
L'art. 110 riguarda il trattamento di dati idonei a rivelare lo stato di salute
per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico
(già art. 5, d. lg. n. 282/1999), che può essere effettuato anche senza il
consenso dell'interessato quando il medesimo trattamento è previsto da una
disposizione di legge o rientra in un programma di ricerca biomedica o
sanitaria. La disposizione è stata integrata, come già anticipato nel commento
all'art. 39, prevedendo la previa comunicazione del trattamento al Garante e
l'avvio del medesimo solo dopo il decorso dei 45 giorni ivi previsti. Inoltre la
possibilità di trattare i dati dell'interessato senza il suo consenso è stata
estesa all'ipotesi in cui non sia possibile, a causa di particolari ragioni,
informarlo e il programma di ricerca sia oggetto di parere favorevole del
competente comitato etico e sia, altresì, autorizzato dal Garante.
TITOLO VIII – Lavoro e previdenza sociale
Capo I – Profili generali
Art. 111 (Codice di deontologia e di buona condotta)
L’art. 111 riproduce l’art. 20, comma 2, lett. b) del d. lgs. n. 467/2001 in
tema di codice di deontologia e di buona condotta relativo al trattamento di
dati in materia di gestione del rapporto di lavoro, in osservanza dei pareri
espressi dalle Commissioni giustizia della Camera e del Senato .
Art. 112 (Finalità di rilevante interesse pubblico)
L’art. 112 riproduce l’articolo 9, del d. lgs. n. 135/1999 che individua le
finalità di rilevante interesse pubblico in materia di lavoro, in osservanza dei
pareri espressi dalle Commissioni giustizia della Camera e del Senato.
Capo II – Annunci di lavoro e dati riguardanti prestatori di lavoro
Art. 113 (Raccolta di dati e pertinenza)
L’art. 113 precisa che restano ferme le disposizioni dell’art. 8 della legge 25
maggio 1970 n. 300, (“statuto dei lavoratori”) sul divieto di indagini sulle
opinioni dei lavoratori, che riguarda il trattamento di dati sensibili.
Capo III – Divieto di controllo a distanza e telelavoro
Art. 114 (Controllo a distanza)
L’art. 114, analogamente a quanto già descritto in relazione all’art. 113,
precisa che restano ferme le disposizioni dell’art. 4 della legge 25 maggio 1970
n. 300, sul divieto di controllo a distanza dei lavoratori.
Art. 115 (Telelavoro e lavoro a domicilio)
L’art. 115, riproduce alcune disposizioni extravaganti in materia di
riservatezza nell’ambito del lavoro domestico (art. 6, l. 2 aprile 1958, n.
339), che sono, conseguentemente, abrogate (art. 179, comma 1).
Capo IV – Istituti di patronato e di assistenza sociale
Art. 116 (Conoscibilità di dati su mandato dell’interessato)
L’art. 116, in osservanza dei pareri espressi dalle Commissioni giustizia della
Camera e del Senato, riproduce l’art. 12 della legge 30 marzo 2001, n. 152, che
viene conseguentemente abrogato (art. 183, comma 3, lett. b).
TITOLO IX – Sistema bancario, finanziario ed assicurativo
Capo I – Sistemi informativi
Art. 117 (Affidabilità e puntualità nei pagamenti)
L’art. 117 riproduce l’art. 20, comma 2, lett. e) del d. lg. n. 467/2001 recante
il codice di deontologia e di buona condotta relativo al trattamento di dati in
materia di affidabilità e puntualità nei pagamenti. In osservanza del parere
espresso dalla Commissione giustizia del Senato, la parola “favorire” è stata
sostituita dalla parola “garantire”.
Art. 118 (Informazioni commerciali)
L’art. 118 riproduce l’art. 20, comma 2, lett. d) del d. lg. n. 467/2001 recante
il codice di deontologia e di buona condotta relativo al trattamento di dati in
materia di informazioni commerciali. In osservanza del parere espresso dalla
Commissione giustizia del Senato, la parola “favorire” è stata sostituita dalla
parola “garantire”.
Art. 119 (Dati relativi al comportamento debitorio)
L’art. 119, contiene una norma di “chiusura” relativa ai trattamenti effettuati
nell’ambito di banche di dati per finalità connesse ai comportamenti debitori
(es. registro dei protesti), al fine di assicurare modalità del trattamento e
termini di conservazione dei dati omogenei. A tale scopo l’art. 119 chiarisce
che con il codice di deontologia e di buona condotta di cui all’articolo 118
(relativo al trattamento di dati in materia di informazioni commerciali) sono
altresì individuati termini armonizzati di conservazione dei dati personali
contenuti, in particolare, in banche di dati, registri ed elenchi tenuti da
soggetti pubblici e privati, riferiti, appunto, al comportamento debitorio
dell’interessato, in casi diversi da quelli già disciplinati nel codice di cui
all’articolo 117, che riguarda i trattamenti effettuati nell’ambito delle c.d.
“centrali rischi” private. Al riguardo una specifica disposizione transitoria
stabilisce che dalla data di efficacia delle disposizioni del codice
deontologico di cui all’art. 118, i termini di conservazione dei dati indicati
dal presente articolo, eventualmente previsti da norme di legge o di
regolamento, si osserveranno nella misura indicata nel medesimo codice (art.
183, comma 5).
Art. 120 (Sinistri)
L’art. 120 si riferisce alla banca di dati dei sinistri istituita per la
prevenzione e il contrasto di comportamenti fraudolenti nel settore delle
assicurazioni obbligatorie per i veicoli presso L’ISVAP, prevedendo che il
medesimo organismo stabilisca le modalità per l’accesso alle informazioni ivi
raccolte da parte degli organi giudiziari e delle pubbliche amministrazioni
competenti in materia di prevenzione e contrasto di comportamenti fraudolenti,
nonché delle imprese di assicurazione. La norma era contenuta nell’art. 2, comma
5 quater 1, del d.l. 28 marzo 2000, n. 70, convertito, con modificazioni, dalla
legge n. 137/2000, che viene conseguentemente abrogato in parte qua (art. 183,
comma 3, lett. f)).
TITOLO X – Comunicazioni elettroniche
Capo I – Servizi di comunicazione elettronica
Le disposizioni del presente titolo danno attuazione alla direttiva 2002/58 del
Parlamento europeo e del Consiglio del 12 luglio 2002, relativa al trattamento
dei dati personali e alla tutela della vita privata nel settore delle
comunicazioni elettroniche, secondo quanto previsto dall’articolo 26 della legge
3 febbraio 2003, n. 14 (legge comunitaria 2002) che ha prorogato il termine per
l’adozione del presente codice anche al fine del previo recepimento della
predetta direttiva.
Com’è noto, la direttiva 2002/58 ha sostituito la precedente direttiva 97/66/CE
del 15 dicembre 1997, relativa al trattamento dei dati personali e alla tutela
della vita privata nel settore delle telecomunicazioni, recepita nel nostro
ordinamento con il decreto legislativo 13 maggio 1998, n. 171 e con alcuni
mirati interventi di completamento apportati al medesimo d. lg. n. 171/1998 dal
decreto legislativo n. 467/2001 (artt. 21, 22 e 23, in materia di modalità di
pagamento alternative alla fatturazione, di informazione al pubblico
sull’identificazione della linea chiamante e collegata, nonché in materia di
chiamate di emergenza).
Il titolo in commento, pertanto, nel “riportare” nel codice le disposizioni
previgenti contenute nel d. lg. n. 171/1998, le modifica ed integra al fine di
attuare le disposizioni della direttiva n. 2002/58 innovative o specificative
della precedente direttiva.
La corrispondenza degli articoli del codice con gli articoli del d. lg. n.
171/1998, può agevolmente essere confrontata ricorrendo alla tavola sinottica
allegata al codice, dove, per ulteriore chiarezza, sono state riportate anche le
pertinenti disposizioni della direttiva 2002/58.
Di seguito, pertanto, come del resto in tutta la presente relazione, si
riportano solo alcuni chiarimenti in relazione alle “novità” introdotte in
attuazione della direttiva in esame.
Art. 121 (Servizi interessati)
Le disposizioni del presente titolo si applicano al trattamento dei dati
personali connesso alla fornitura di servizi di comunicazione elettronica
accessibili al pubblico su reti pubbliche di comunicazioni, per le cui
definizioni, in parte innovative rispetto a quanto previsto dalla direttiva
97/66, in ragione del progresso tecnologico registrato in questi anni, si
rimanda all’art. 4.
Art. 122 (Informazioni raccolte nei riguardi dell’abbonato o dell’utente)
L’art. 122 recepisce una nuova previsione della direttiva 58/2002 (art. 5, par.
3). La disposizione introdotta vieta l’uso di una rete di comunicazione
elettronica per accedere a informazioni archiviate nell’apparecchio terminale di
un abbonato o di un utente, a fini di archiviazione di informazioni o di
monitoraggio delle operazioni effettuate dall’utente medesimo. Si prevede,
tuttavia, che il codice di deontologia da adottare in materia (cfr. art. 133)
possa individuare i presupposti in presenza dei quali l’uso della rete nei modi
predetti può essere consentito, purché si tratti di scopi legittimi relativi a
specifici servizi richiesti dall’abbonato o dall’utente, e quest’ultimo abbia
espresso il proprio consenso informato.
Art. 123 (Dati relativi al traffico)
Nell’art. 123, che riguarda il trattamento dei dati relativi al traffico, si
individua il periodo di tempo entro il quale il fornitore può trattare i dati
strettamente necessari per la fatturazione, a fini di documentazione in caso di
contestazione della fattura o per la pretesa del pagamento (non superiore a sei
mesi, salvo in caso di contestazione). In aderenza al parere espresso dalla
Commissione giustizia del Senato, la disposizione chiarisce meglio l’ambito
temporale di conservazione dei dati in caso di contestazione.
Rispetto alla previgente disposizione (art. 4, comma 3, d. lg. 171/1998), il
comma 3 è integrato con la previsione che il consenso espresso dall’abbonato o
dall’utente al trattamento dei dati personali a fini di commercializzazione di
servizi di comunicazione elettronica o per la fornitura di servizi a valore
aggiunto, può essere revocato in ogni momento.
Il comma 4, interamente innovativo, introduce una specifica garanzia di
trasparenza per l’abbonato o per l’utente, precisando che nel fornire
l’informativa di cui all’articolo 13, il fornitore del servizio, in relazione ai
trattamenti appena descritti, deve informare espressamente l’abbonato o l’utente
sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e
sulla durata dei medesimi trattamenti (art. 6, par. 4, dir. 2002/58).
Art. 124 (Fatturazione dettagliata)
L’art. 124 riguarda le modalità di documentazione dei dati di traffico ai fini
della fatturazione. Com’è noto, già in base alla normativa previgente (art. 5,
d. lg. n. 171/1998), l’abbonato ha diritto di ricevere in dettaglio, a richiesta
e senza alcun aggravio di spesa, la dimostrazione degli elementi che compongono
la fattura (data e ora di inizio della conversazione, numero selezionato,
scatti, ecc.).
Il citato art. 21 del d. lg. n. 467/2001 aveva già integrato tale normativa
apportandovi, in linea con quanto previsto dalla precedente direttiva 97/66,
alcuni correttivi per assicurare il contemperamento dell’esigenza degli abbonati
di visionare il dettaglio del proprio traffico telefonico ai fini del pagamento
della fattura con la riservatezza di altri utenti, in relazione, in particolare,
alla disponibilità di modalità di pagamento alternative alla fatturazione. Il
codice completa l’intervento di attuazione della corrispondente ed analoga
previsione della nuova direttiva 2002/58, stabilendo che il fornitore del
servizio è tenuto ad abilitare l’utente ad effettuare comunicazioni e a
richiedere servizi da qualsiasi terminale, gratuitamente e in modo agevole,
avvalendosi per il pagamento di modalità alternative alla fatturazione, anche
impersonali, quali carte di credito o di debito o carte prepagate. L’art. 124,
peraltro, conferma la previsione del “mascheramento” sulle fatture delle ultime
tre cifre dei numeri chiamati, ma in linea con il progressivo adeguamento dei
fornitori alla previsione comunitaria, a seguito dell’ampia diffusione nel
nostro Paese dei mezzi di pagamento alternativi, prevede che il Garante,
accertata l’effettiva disponibilità di tali mezzi, può autorizzare il fornitore
ad indicare nella fatturazione i numeri completi delle comunicazioni.
Per i casi in cui si adotti il “mascheramento”, l’art. 124 contiene, inoltre,
un’importante integrazione precisando che l’abbonato può richiedere la
comunicazione “in chiaro” dei numeri chiamati per esclusivi fini di specifica
contestazione dell’esattezza di determinati addebiti o di periodi limitati.
Art. 125 (Identificazione della linea)
L’art. 125 riproduce pressoché pedissequamente l’art. 6 del d. lg. n. 171/1998,
come integrato dall’art. 22 del d. lg. n. 467/2001.
Art. 126 (Dati relativi all’ubicazione)
Del tutto innovativo è l’art. 126, che dà attuazione alla disposizione della
direttiva 2002/58 che ha previsto il trattamento di dati relativi all’ubicazione
dell’abbonato o dell’utente. Per “dati relativi all’ubicazione”, si intende ogni
dato trattato in una rete di comunicazione elettronica che indica la posizione
geografica dell’apparecchiatura terminale dell’utente di un servizio di
comunicazione elettronica accessibile al pubblico (art. 4).
L’art. 126 prevede che se tali dati sono diversi da quelli relativi al traffico
e sono effettivamente oggetto di trattamento, nei limiti in cui l’attuale
tecnologia lo consenta, essi possono essere trattati solo se anonimi o se
l’utente o l’abbonato ha manifestato previamente il proprio consenso, anche in
questo caso revocabile in ogni momento. Gli stessi soggetti conservano, inoltre,
il diritto di richiedere l’interruzione temporanea del trattamento di tali dati.
Anche tale norma prevede, a fini di trasparenza, uno specifico onere informativo
per il fornitore del servizio in relazione alla natura dei dati, agli scopi e
alla durata del trattamento, nonché sull’eventualità che i dati siano trasmessi
ad un terzo per la prestazione di un servizio a valore aggiunto.
Art. 127 (Chiamate di disturbo e di emergenza)
L’art. 127 riguarda le chiamate di disturbo o di emergenza e ricalca pressoché
pedissequamente quella previgente (art. 7, d. lg. n. 171/1998, come modificato
dall’art. 23, d. lg. n. 467/2001), salvo due precisazioni relative alle chiamate
di disturbo che consentono una più agevole applicazione della norma:
a) la richiesta di rendere temporaneamente inefficace la soppressione della
presentazione dell’identificazione della linea chiamante e di conservare i dati
relativi alla provenienza della chiamata ricevuta, nel caso in cui sia preceduta
da una richiesta telefonica deve essere inoltrata comunque in forma scritta
entro quarantotto ore e non più entro ventiquattro ore, termine apparso, in sede
applicativa, troppo stringente per l’abbonato;
b) i dati conservati possono essere comunicati all’abbonato che dichiari di
utilizzarli per esclusive finalità di tutela rispetto a chiamate di disturbo.
Per quanto riguarda le chiamate di emergenza, la norma precisa che i servizi
abilitati in base alla legge a ricevere chiamate d’emergenza sono individuati
con decreto del Ministro delle comunicazioni, sentiti il Garante e l’Autorità
per le garanzie nelle comunicazioni.
Art. 128 (Trasferimento automatico della chiamata)
L’art. 128 riproduce pressoché pedissequamente l’art. 8 del d. lg. n. 171/1998.
Art. 129 (Elenchi di abbonati)
L’art. 129 riguarda gli elenchi degli abbonati. La norma conferma l’assetto
secondo cui le modalità di inserimento e di successivo utilizzo dei dati
personali relativi agli abbonati negli elenchi cartacei o elettronici a
disposizione del pubblico, sono individuate dal Garante con proprio
provvedimento, in cooperazione con l’Autorità per le garanzie nelle
comunicazioni anche in riferimento ai dati già raccolti prima dell’entrata in
vigore del presente codice.
Art. 130 (Comunicazioni indesiderate)
L’art. 130 riguarda le comunicazioni indesiderate (c.d. spamming), già oggetto
di previsione normativa nell’art. 10 del d. lg. n. 171/1998, e dà piena
attuazione al principio codificato nell’art. 13 della direttiva 2002/58 in base
al quale l’uso di