Questo articolo è il primo di una serie di contenuti attraverso i quali PMI.it vuole offrire ai propri lettori un approfondimento ragionato sulla privacy, tema non solo di attualità ma di grande interesse per chi, come le aziende, si trova nella condizione di dover gestire dati personali: dagli indirizzi di posta elettronica dei propri clienti ai dati dei propri fornitori.
Affronteremo il delicato argomento con sette diversi interventi,nel primo introdurremo i concetti chiave della legge, nei successivi verranno invece presi in esame i casi particolari: come ad esempio il documento programmatico della sicurezza, il valore dell’informativa e il ruolo della sicurezza dei dati.
A corredo degli articoli verranno forniti modelli pratici di documenti già predisposti per far fronte alle più comuni necessità. Particolare attenzione sarà prestata alle fattispecie che riguardano siti o servizi web: esempi e moduli saranno a questo proposito contestualizzati nell’ambito più proprio del settore telematico.
Concetti basilari
La legge 31 dicembre 1996 n. 675 ha introdotto in Italia il concetto di privacy, ovvero normativa a tutela di dati personali. In seguito la legge 675 è stata abrogata e sostituita integralmente dal decreto legislativo 196 del 30 giugno 2003 definito anche Testo unico della privacy, al quale si farà costante riferimento nel corso degli articoli.
Fondamentale per il rispetto degli adempimenti previsti dalla disciplina sulla privacy è la conoscenza delle definizioni chiave contenute nell’articolo 4 del decreto legislativo 196/2003. Prima di analizzare i diversi adempimenti previsti dalla normativa, bisogna capire a cosa e a chi si riferisce questa legge.
Oggetto della normativa sulla privacy è il trattamento di dati, intendendo per trattamento ogni operazione effettuata anche senza l’utilizzo di strumenti elettronici su dati (raccolta, conservazione, registrazione, organizzazione, consultazione, elaborazione, modificazione, selezione e così via).
I dati possono essere catalogati, a secondo dell’informazione che viene fornita dal soggetto, in diverse tipologie (dati personali, identificativi, sensibili, giudiziari e anonimi) per ognuna delle quali sono previsti degli obblighi da rispettare. Naturalmente più è delicato il dato trattato più gli adempimenti richiesti saranno maggiori.
L’articolo 2 e l’articolo 3 del decreto legislativo 196/2003 impongono dei limiti di carattere generale al trattamento dei dati, specificando che questo deve svolgersi nel rispetto dei diritti e delle libertà fondamentali dell’interessato.
Proprio per questo motivo i dati oggetto del trattamento devono essere:
- Determinati, raccolti e registrati per scopi legittimi
- Mantenuti per il tempo strettamente necessario ad adempiere allo scopo per il quale sono stati raccolti o trattati
- Esatti, aggiornati, nonché pertinenti alle finalità per le quali sono stati raccolti.
Questo è in linea generale l’oggetto della normativa, esaminiamo ora a chi si rivolge.
I soggetti cui si riferisce la legge sono fondamentalmente due:
- Il titolare del trattamento (il webmaster di un sito, il gestore di un forum, di un blog o di una newsletter) colui che entrando in contatto con i dati è tenuto ad applicare le misure previste per la loro tutela.
- L’interessato, cioè il soggetto (utente) che fornisce i dati.
Attenzione, anche nel caso in cui il trattamento di dati sia fatto per fini esclusivamente personali (p.es. raccolta di firme sul proprio sito) dovranno comunque essere rispettate le disposizioni in materia di privacy relative agli obblighi di sicurezza minimi previsti dall’articolo 31.
Il titolare del trattamento, i responsabili e gli incaricati
Il titolare del trattamento, persona fisica o giuridica, è colui a cui competono le decisioni sulla finalità, sulle modalità di effettuazione del trattamento di dati personali, sugli strumenti utilizzati per le varie operazioni, sulle misure di sicurezza adottate per la protezione dei dati. Il titolare è una figura di massima importanza e su di lui ricadono tutti gli adempimenti previsti dalla normativa.
Il titolare deve:
- Controllare la raccolta ed i requisiti dei dati oggetto del trattamento
- Inoltrare al Garante, ove richiesto, la notifica dell’inizio e dello svolgimento del trattamento, nonché l’eventuale trasferimento dei dati all’estero
- Richiedere l’autorizzazione per trattare i dati sensibili
- Chiedere e verificare il consenso dell’interessato
- Adottare le misure di sicurezza (articolo 31)
- Rispondere civilmente e penalmente per le sanzioni irrogate in caso di eventuali violazioni .
Il titolare del trattamento può nominare, sempre con atto scritto, uno o più responsabili per il trattamento dei dati, la nomina del responsabile non esonera il titolare del trattamento dalle responsabilità civili e pensali derivanti da eventuali comportamenti scorretti o dal mancato adempimento delle norme da parte del responsabile.
Il titolare è tenuto ad effettuare, con periodicità, delle verifiche sul rispetto delle norme della privacy da parte del responsabile.
Oltre al responsabile, il titolare può nominare anche degli incaricati che si occupino dei diversi settori (ad esempio il webmaster di un sito può nominare un responsabile del Forum che raccolga e controlli i dati degli utenti iscritti e un incaricato che archivi i suddetti dati).
La designazione degli incaricati deve avvenire per iscritto con l’indicazione delle operazioni che possono essere effettuate dagli stessi.
L’interessato (o utente)
L’altra figura presa in considerazione dalla legge sulla privacy è l’interessato, ovvero la persona fisica, lente o associazione che fornisce e a cui si riferiscono i dati personali.
L’articolo 7 del decreto legislativo 196/2003 del Codice della Privacy elenca i diritti dell’interessato, tra i quali ricordiamo in modo non esaustivo : il diritto di conoscere l’origine dei dati oggetto del trattamento, le finalità e modalità di quest’ultimo, gli estremi identificativi del titolare, del responsabile a cui rivolgersi per chiedere la cancellazione o la modifica o l’aggiornamento dei sui dati.
Per l’esercizio dei suoi diritti l’interessato non deve usare formalità particolari, ma può fare per iscritto una semplice richiesta rivolta al titolare o al responsabile, la richiesta può essere inviata tramite lettera raccomandata, telefax o posta elettronica.
Ad esempio: l’utente che vorrà opporsi all’invio di messaggi promozionali tramite newsletter (pur avendo in precedenza fornito i suoi dati, acconsentendo all’invio di pubblicità) potrà richiedere la cessazione dell’invio del messaggio inviando una richiesta in carta semplice da lui sottoscritta al responsabile dell’operazione.