testata ADUC
PRIVACY: regole e diritti sul trattamento dei dati personali
Scarica e stampa il PDF
Scheda Pratica di Rita Sabelli
4 maggio 2010 12:30
 

Il cosiddetto "codice della privacy" , il d.lgs.196/2003, regola il trattamento dei dati personali definendolo "qualunque operazione di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione di dati personali, effettuate con o senza ausilio di strumenti elettronici".

Sono esclusi dalla disciplina i trattamenti effettuati da persone fisiche a fini esclusivamente personali, quando pero' gli stessi non vengano diffusi ne' resi "pubblici" in alcun modo e che vengano custoditi nel rispetto delle regole di sicurezza.

In questo quadro, volendo prendere confidenza con la terminologia di legge (e con quella conseguentemente adoperata negli avvisi inerenti il proprio diritto alla privacy):
Il titolare e' la persona (fisica o giuridica), la pubblica amministrazione, l'associazione o qualsiasi altro ente a cui competono le decisioni sulla finalita' e modalita' di gestione dei dati. Puo' effettuare in proprio il trattamento o affidarlo ad un responsabile, altra persona fisica o giuridica, pubblica amministrazione, ente, etc.  Il titolare o il responsabile affidano l'esecuzione delle operazioni di trattamento agli incaricati, persone fisiche che debbono operare sotto loro autorita' rispettando le loro istruzioni.
L'interessato e' la persona (fisica o giuridica), ente o associazione a cui si riferiscono i dati personali raccolti e trattati.

Indice scheda
REGOLE DI TRATTAMENTO
DIRITTI DEL SOGGETTO INTERESSATO
COME ESERCITARE I PROPRI DIRITTI
TUTELA DAVANTI AL GARANTE
RIFERIMENTI NORMATIVI
LINK UTILI

REGOLE DI TRATTAMENTO
Il trattamento dei dati deve ovviamente essere fatto in modo corretto e lecito, ma soprattutto deve essere esplicito e determinato lo scopo per cui i dati sono stati raccolti.

Rispetto a tale scopo, i dati gestiti non devono essere eccedenti, e la loro conservazione deve durare per un periodo di tempo NON superiore a quello necessario. I dati devono essere completi ed esatti e mantenuti aggiornati.

I titolari del trattamento devono rispettare gli eventuali codici di deontologia e di buona condotta predisposti dall'Autorita' garante (ve ne sono per le banche, per le investigazioni private, per gli avvocati, etc.).

Per effettuare il trattamento dei dati i titolari sono obbligati -salvo precise eccezioni- a fornire informativa ai soggetti interessati e a raccoglierne l'espresso consenso.

Informativa obbligatoria
Nel momento in cui i dati vengono raccolti o inseriti per la registrazione, al soggetto interessato che li fornisce dev'essere data informativa relativa all'utilizzo degli stessi e ai suoi diritti.
Cio' oralmente o per iscritto, specificando:
- lo scopo e le modalita' del trattamento cui sono destinati i dati;
- l'obbligo o la facolta' del conferimento dei dati (alcuni dati potrebbero essere superflui, ma si deve tener conto che, a seconda del caso, non comunicare i propri dati potrebbe di fatto impedire l'utilizzo del servizio o del contratto oggetto dell'informativa);
- le conseguenze di un eventuale rifiuto di rispondere;
- i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione degli stessi;
- i diritti esercitabili dall'interessato sanciti dall'art.7 del codice (vedi piu' avanti);
- gli estremi del titolare e dell'eventuale responsabile in Italia (per titolari esteri).

Il garante della Privacy puo' fissare contenuti semplificati per l'informativa in determinati settori, come per i servizi di assistenza telefonica e informazione al pubblico o nell'ambito contabile delle piccole e medie imprese.

Nota
- l'informativa non deve essere rilasciata se i dati sono richiesti a fronte di un obbligo di legge (regolamento o normativa comunitaria) oppure ai fini di svolgimento di investigazioni difensive in ambito penale o per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario;
- il trattamento da parte di soggetti pubblici e' consentito solo per lo svolgimento delle funzioni istituzionali.

Consenso al trattamento
Per il trattamento dei dati personali e' necessario il consenso del soggetto interessato, che puo' riguardare l'intero trattamento o una o piu' operazioni.
Deve essere dato in forma scritta e deve essere esplicito, riferito ad ogni singolo trattamento chiaramente individuato. Di norma il consenso segue -o e' contestuale- la consegna dell'informativa, e puo' anche essere riportato -su moduli prestampati dove si risponde mettendo una crocetta su caselle contenenti le risposte SI e NO o "Do il Consenso" e "Nego il consenso"- nello stesso documento.

Per esempio, se tra le finalita' di trattamento specificati nell'informativa vi e' -oltre a quella principale- l'attivita' "promozionale, commerciale, di marketing", e/o la "comunicazione dei dati a soggetti terzi" per studi di mercato, o altre attivita' (di pubblicita' e vendita), deve essere data all'interessato facolta' di concedere o negare il consenso per ognuna di queste opzioni.

Ovviamente il consenso al trattamento dei dati legato ad un'attivita' essenziale per lo svolgimento di quella per la quale sono stati raccolti (per esempio per gestire l'utenza in un contratto di fornitura di gas o di elettricita') deve essere dato. Talvolta, in questi casi, e' gia' "presegnata" la casella "Do il consenso", perche' un rifiuto renderebbe impossibile rendere il servizio.

Il consenso puo' non essere richiesto se il trattamento
- e' necessario per adempiere ad obblighi di legge;
- e' necessario per eseguire obblighi derivanti da un contratto sottoscritto dall'interessato o per adempiere a sue richieste;
- e' necessario per la salvaguardia della vita o dell'incolumita' fisica di un terzo. Se cio' riguarda invece lo stesso soggetto interessato e questi non puo' dare il proprio consenso per impossibilita' fisica o per incapacita', il consenso e' manifestato da chi esercita legalmente la potesta' , da un congiunto, da un familiare, da un convivente o dal responsabile della struttura presso cui dimora l'interessato;
- e' necessario per lo svolgimento di attivita' difensive in ambito penale, o comunque a far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per questa finalita' e per il periodo strettamente necessario allo scopo. La deroga in questo caso non riguarda la diffusione;
- e' necessario per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, sempre che non prevalgano i diritti e le liberta' fondamentali, la dignita' e il legittimo interesse dell'interessato. Anche in questo caso la deroga non riguarda la diffusione;
- e' necessario per esclusivi scopi scientifici o statistici, o per scopi storici presso archivi privati dichiarati di notevole interesse storico;
- e' effettuato da associazioni od enti no-profit in riferimento ai soggetti che con loro hanno contatti regolari o agli aderenti, per il perseguimento di scopi determinati e legittimi individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo. In questo caso deve comunque essere data l'informativa, e la deroga non riguarda la diffusione;
- riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, coi limiti che la legge fissa per tale conoscibilita' ;
- riguarda dati relativi allo svolgimento di attivita' economiche, stante il rispetto delle norme di segreto aziendale e industriale;
- e' effettuato da soggetti pubblici, esclusi gli organismi sanitari e gli esercenti professioni sanitarie, che comunque, lo ricordiamo, possono usare i dati solo per finalita' istituzionali.

Comunicazione e diffusione dei dati
Nell'ambito del trattamento dei dati rientrano anche la loro comunicazione e diffusione, ovvero, rispettivamente, portarli a conoscenza di specifici soggetti terzi (comunicazione), oppure renderli conoscibili in qualunque forma a un numero indeterminato di persone (diffusione).

Per queste attivita' e' necessario, come gia' visto, sia aver consegnato l'informativa sia aver ottenuto lo specifico consenso (con le previste deroghe).

La comunicazione e diffusione sono sempre vietate quando:
- riguardano dati personali dei quali e' stata ordinata la cancellazione, oppure quando e' decorso il periodo di tempo previsto -o necessario- ai fini della finalita' di utilizzo;
- riguardano trattamenti con finalita' diverse da quelle indicate nella notificazione fatta al Garante da parte del titolare, se prevista (*);
- in caso di divieto specificatamente previsto dal Garante della Privacy o dall'Autorita' giudiziaria.

I divieti ovviamente non valgono per le comunicazioni e diffusioni richieste dalle forze di polizia, dall'autorita' giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalita' di difesa o sicurezza dello Stato o di prevenzione, accertamento e repressione di reati.

La comunicazione dei dati da parte di un soggetto pubblico ad un altro soggetto pubblico e' ammessa quando prevista dalla legge o da un regolamento, oppure quando e' necessaria per lo svolgimento di funzioni istituzionali. La comunicazione ad un soggetto privato e' invece possibile solo quando prevista dalla legge o da un regolamento, cosi' come la diffusione.

Nota (*): La notificazione e' la comunicazione preventiva che i titolari devono fare al Garante in casi di raccolta e trattamento di dati particolari (dati sulla salute e vita sessuale trattati ai fini di procreazione assistita, sulla rilevazione di malattie mentali, infettive e diffusive, sulla seriopositivita', sul trapianto di organi e tessuti, etc. etc.).

Trasferimento dei dati all'estero
Il trasferimento dei dati personali verso uno Stato non appartenente all'Unione europea e' consentito solo al verificarsi di una di queste condizioni:
- l'interessato abbia manifestato il proprio consenso espresso (in forma scritta se si tratta di dati sensibili);
- sia necessario per l'esecuzione di obblighi derivanti da un contratto firmato dall'interessato o per adempiere a sue specifiche richieste;
- sia necessario per la salvaguardia di un interesse pubblico individuato da una legge o da un regolamento;
- sia necessario per la salvaguardia della vita o dell'incolumita' fisica di un terzo. Se cio' riguarda l'interessato e quest'ultimo non puo' prestare il proprio consenso per impossibilita' fisica o incapacita' di agire o di intendere e volere, il consenso e' manifestato da chi esercita' la potesta', da un congiunto, da un familiare, da un convivente o dal responsabile della struttura presso cui dimora l'interessato;
- sia necessario per lo svolgimento di attivita' difensive in ambito penale, o comunque a far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per questa finalita' e per il periodo strettamente necessario allo scopo;
- sia necessario per accogliere una richiesta di accesso a documenti amministrativi o di una richiesta di informazioni da un pubblico registro, elenco, atto o documento conoscibile da chiunque;
- sia necessario per esclusivi scopi scientifici o statistici, o per scopi storici presso archivi privati dichiarati di notevole interesse storico;
- concerna dati riguardanti persone giuridiche, enti o associazioni;
- sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti dell'interessato.

I trasferimenti in un Paese non appartenente all'Unione europea e' sempre vietato quando l'ordinamento di detto Paese o di un Paese di transito non assicuri un livello di tutela e di sicurezza adeguato.

Cessazione del trattamento
Se per qualsiasi ragione il trattamento di un determinato titolare cessa, i dati possono essere:
- distrutti (se per esempio un determinato contratto viene disdetto);
- ceduti ad altro titolare, purche' destinati ad un trattamento compatibile agli scopi per i quali i dati sono stati raccolti (se per esempio un titolare subentra ad un altro);
- conservati per fini esclusivamente personali e NON destinati a comunicazioni sistematiche o alla diffusione;
- conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformita' alla legge.

Dati sensibili
E' cosi definito il dato che rivela l'origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le idee politiche, l'adesione a partiti, sindacati, associazioni religiose, etc, nonche' i dati che rivelano lo stato di salute e la vita sessuale.

Questi dati possono essere oggetto di trattamento solo con il consenso scritto dell'interessato, previa autorizzazione del Garante che il titolare e' tenuto a chiedere ed ottenere.

Tutto cio' non e' necessario quando:
- il trattamento riguarda dati relativi agli aderenti a confessioni religiose e ai soggetti che hanno contatti regolari con dette confessioni, quando effettuato dai relativi organi religiosi e a patto che i dati non vengano diffusi o comunicati fuori dalle confessioni stesse;
- il trattamento riguarda dati di adesione ad associazioni od organizzazioni sindacali, di categoria o simili.

I dati sensibili possono essere trattati anche senza consenso (ma con autorizzazione del Garante) quando:
- e' effettuato da associazioni, enti od organizzazioni senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale (compresi partiti o movimenti politici) per il perseguimento di scopi determinati individuati dall'atto costitutivo, dallo statuto o dal contratto collettivo. Cio' a patto che i dati non vengano diffusi ne' comunitati all'esterno dell'associazione o partito e che agli interessati sia consegnata adeguata informativa;
- e' necessario per la salvaguardia della vita o dell'incolumita' fisica di un terzo. Se cio' riguarda invece lo stesso soggetto interessato e questi non puo' dare il proprio consenso per impossibilita' fisica o per incapacita', il consenso e' manifestato da chi esercita legalmente la potesta' , da un congiunto, da un familiare, da un convivente o dal responsabile della struttura presso cui dimora l'interessato;
- e' necessario per lo svolgimento di attivita' difensive in ambito penale, o comunque a far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per questa finalita' e per il periodo strettamente necessario allo scopo. La deroga in questo caso non riguarda la diffusione;
- e' necessario ad adempiere un obbligo di legge (decreto o norma comunitaria), anche per la gestione del rapporto di lavoro e per materie di sicurezza.

In ogni caso, i dati relativi allo stato di salute NON possono essere MAI diffusi.

Dati giudiziari
Sono cosi' definiti i dati che rivelano l'esistenza di provvedimenti giudiziari e di sanzioni dipendenti da reato che siano a carico dell'interessato, nonche' il suo stato di imputato o indagato.

Questi dati possono essere trattati da privati o enti pubblici economici solo in presenza di un'autorizzazione data dalla legge o dal Garante, che definisca -tra le altre cose- le rilevanti finalita' di interesse pubblico di tale trattamento.

DIRITTI DEL SOGGETTO INTERESSATO
L'articolo 7 del codice e' forse il piu' importante perche' specifica i diritti del soggetto interessato, colui i cui dati sono gestiti e trattati. Di tali diritti l'interessato deve essere reso edotto con consegna dell'informativa.

Come prima cosa, l'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma chiara.

L'interessato puo' inoltre ottenere indicazione:
- dell'origine dei dati personali detenuti e gestiti da un determinato titolare;
- della finalita' e modalita' del trattamento;
- della logica applicata in caso di trattamento effettuato con mezzi elettronici;
- degli estremi identificativi del titolare, dei responsabili e dell'eventuale responsabile nel territorio italiano (in caso di titolari esteri);
- dei soggetti o categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza.

Ai sensi di questo articolo, l'interessato ha anche diritto di ottenere;
- l'aggiornamento, la rettifica oppure l'integrazione dei dati;
- la cancellazione la trasformazione in forma anonima o il blocco (conservazione senza altro trattamento) dei dati quando siano trattati in violazione di legge;
- l'attestazione che le operazioni di cui sopra (aggiornamento o cancellazione) sono state portate a conoscenza di tutti coloro a cui i dati sono stati comunicati o diffusi (esclusi i casi in cui tale comunicazione si riveli impossibile).

L'interessato puo' opporsi al trattamento dei dati personali che lo riguardano, anche se esso e' pertinente allo scopo della raccolta, se ha motivi legittimi per farlo (per esempio se un contratto e' stato attivato in maniera indebita).

Puo' sempre opporsi al trattamento, invece, se esso riguarda invio di materiale pubblicitario, la vendita diretta o il compimento di ricerche di mercato e di comunicazioni commerciali, nonche' il trasferimento dei dati a terzi per scopi simili. Se in precedenza aveva dato il consenso per questo tipo di trattamenti puo' in qualsiasi momento revocarlo, dandone comunicazione al titolare, senza che cio' renda inefficace l'eventuale rapporto contrattuale, di utenza o altro.

Note:

- i diritti qui esposti non possono essere esercitati se il trattamento dei dati e' fatto in base alle disposizioni di legge inerenti la lotta al riciclaggio di denaro, in materia di estorsione o nell'ambito di indagini delle commissioni parlamentari di inchiesta, con finalita' inerenti la politica monetaria e valutaria, ai fini dello svolgimento di investigazioni difensive in ambito giudiziario, per ragioni di giustizia, dalle forze di Polizia, etc.;
- i diritti qui esposti che non riguardano dati oggettivi NON possono essere esercitati se concernono la rettifica o l'integrazione di giudizi, opinioni o altri apprezzamenti di tipo soggettivo, oppure indicazioni su condotte da tenere o di decisioni del titolare del trattamento.

COME ESERCITARE I PROPRI DIRITTI

La richiesta inerente i propri diritti non ha una forma particolare (benche' sia consigliabile riferirsi all'art.7 suddetto) e puo' essere inoltrata, anche tramite incaricato delegato, per fax, posta elettronica o raccomandata a/r (consigliabile). In caso di richieste di informazioni, a seconda delle circostanze, puo' bastare la richiesta verbale.
Vi dev'essere ovviamente un interesse proprio o legato a ragioni familiari. Per il riconoscimento e' sufficiente mostrare o allegare un documento nonche', nel caso, della delega.
La richiesta puo' essere rinnovata con un intervallo non inferiore a 90 giorni.

Il titolare del trattamento deve agevolare sempre l'accesso ai propri dati da parte del soggetto interessato, nonche' semplificare i modi e ridurre i tempi di riscontro alle richieste (predisponendo appositi uffici preposti alle relazioni con il pubblico, per esempio).

Le risposte possono esser comunicate oralmente (dipende, come visto sopra, dal tipo di richiesta e dalla circostanza), fatte visionare tramite computer o -dietro specifica richiesta- inviate per email o per posta. Se l'estrazione dei dati risulta difficoltosa puo' essere data copia di atti e documenti che contengono i dati. Se sono presenti codici o sigle, devono essere dati i parametri utili per la loro comprensione.

La resa delle informazioni e' gratuita, a meno che

- risulti confermato che i dati richiesti NON sono presenti. In questo caso potrebbe dover esser pagato un contributo spese non superiore all'importo stabilito dal garante, che attualmente ci risulta in euro 10 (2,5 euro se i dati sono trattati con strumenti elettronici e la risposta negativa e' fornita verbalmente -vedi provvedimento n.14 del 23/12/2004). Il contributo non e' dovuto se i dati, non presenti, risultano comunque esser stati trattati in precedenza;
- venga richiesta la riproduzione dei dati su un supporto particolare (audiovisivi, lastre, nastri o altri specifici supporti magnetici). In questo caso la spesa massima e' di euro 20. Non rientrano tra i supporti "speciali" i normali floppy disk o i cd rom (si veda il provvedimento n.14 del 23/12/2004).

Per esercitare i propri diritti si puo' utilizzare il modulo predisposto dal Garante: clicca qui

TUTELE DAVANTI AL GARANTE
Nel caso in cui la richiesta inviata al gestore dei dati (titolare del trattamento) rimanesse inascoltata o non producesse l'effetto desiderato, e' possibile rivolgersi al garante con una segnalazione, un reclamo o un ricorso.

Per il ricorso e' necessario che sia decorso inutilmente il termine utile per ricevere una risposta, 15 giorni.

Ovviamente rimane sempre l'alternativa di ricorso all'autorita' giudiziaria a cui ci si puo' rivolgere anche per opporsi a provvedimenti del Garante della Privacy relativi a ricorsi.

Per approfondimenti si veda la scheda PRIVACY: TUTELA DAVANTI AL GARANTE O AL GIUDICE: clicca qui

RIFERIMENTI NORMATIVI
- D.lgs.196/2003 "Codice in materia di protezione dei dati personali", Parte I, art.1-45
(che ha abrogato e sostituito, tra le altre, la legge 675/1996).

LINK UTILI
- Testo del D.lgs.196/2003: clicca qui
- Sito del Garante della privacy con informazioni e modulistica: clicca qui

Articoli e schede collegati:
- TELEMARKETING: EVITARLO CON L'ISCRIZIONE NEL REGISTRO DELLE OPPOSIZIONI: clicca qui
- ASSEGNI E CARTE IRREGOLARI: iscrizione al CAI e sanzioni: clicca qui
- CATTIVI PAGATORI E CENTRALI RISCHI: LE NUOVE REGOLE: clicca qui
PRIMO PIANO
 
ADUC - Associazione per i Diritti degli Utenti e Consumatori