|
|
|
|
|
Argomento |
I principi informatori del Codice della Privacy
fra teoria e pratica.
La protezione dei dati personali alla luce del D.Lgs. 196/2003 |
|
Dottrina N°
1
del
martedì 5 aprile 2005 |
 |
SOMMARIO
Premessa
Capitolo I Principi generali in tema di privacy e tutela dell'interessato.
Premessa
L'opera che l'amico Michele Iaselli mi ha chiesto di introdurre puo' essere definita il migliore «vademecum» su un argomento difficile e articolato come quello appunto della c.d. Privacy.
Il lavoro nasce con lo scopo di rendere chiara e fruibile la serie di innovazioni che il Legislatore ha attuato con l'emanazione del D.lgs. 196/2003.
La materia della protezione dei dati personali, che ha visto la sua prima luce alla fine del 1996, ha raggiunto un grado di complessita' facilmente visibile dalle dimensioni del nuovo Codice del 2003. Oggi l'istituto della c.d. Privacy, infatti, trova compiuta disciplina in un testo di legge composto da ben 186 articoli (senza considerare anche gli Allegati, che ne rappresentano un degno corollario).
Il testo che segue non solo ha la pregevole dote di sintetizzare e rendere di immediata comprensione le numerose disposizioni del Codice, ma si articola secondo uno schema logico che facilita al lettore lo studio dell'istituto.
Si parte, infatti, da un'analisi dei principi e delle regole su cui si basa l'intero impianto normativo per poi giungere a una concreta analisi dei due elementi cardine del Codice: l'informativa e il consenso.
A cio' segue una approfondita analisi di quelle che il Codice definisce «misure di sicurezza», delle quali molte volte non si percepisce l'importanza (soprattutto in realtà dove i dati trattati sono soggetti a continui accessi da parte di terzi non autorizzati).
Sempre in tema di sicurezza, non si poteva non dedicare un intero paragrafo sul Documento Programmatico sulla Sicurezza. L'ormai famoso DPS viene affrontato dall'Autore con un taglio molto pratico, che aiuta il lettore a comprenderne i fondamenti e le peculiarita', con dovizia di schemi e di suggerimenti.
Di sicuro interesse, poi, sono i paragrafi dedicati al (difficile) rapporto fra riservatezza dei dati personali e trattamento da parte di soggetti pubblici. Come conciliare richieste legittime di accesso agli atti della Pubblica Amministrazione con i diritti di privatezza del singolo individuo? Come realizzare un giusto equilibrio fra gli interessi della res publica e quelli personali dell'interessato al trattamento?
Iaselli da' ampia trattazione delle numerose problematiche connesse a questi aspetti piu' «spinosi» della materia, attraverso una analisi trasparente ed efficace.
Infine, degno di attenzione e' il continuo riferimento alle pronunce del Garante c.d. per la Privacy, che in molte occasioni si e' pronunciato per risolvere e precisare i punti piu' controversi della disciplina.
Insomma, siamo di fronte a un'opera la cui validita' e' frutto di un grande spirito di sintesi, che l'Autore ha potuto compiere solo grazie alla sua riconosciuta competenza nel settore.
Gerardo Antonio Cavaliere
CAPITOLO I
PRINCIPI GENERALI IN TEMA DI PRIVACY E TUTELA DELL'INTERESSATO.
Il Codice per la protezione dei dati personali e' diviso in tre parti:
· la prima e' dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato;
· la seconda e' la parte speciale dedicata a specifici settori: questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti debitori), completa anche la disciplina attesa da tempo per il settore degli organismi sanitari e quella dei controlli sui lavoratori;
· la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all'Ufficio del Garante.
Il Codice si apre con una chiara enunciazione di principio "Chiunque ha diritto alla protezione dei dati personali che lo riguardano" il cui significato e' inequivocabile.
La finalita' di tale disposizione appare evidente: i dati personali vanno tutelati sempre indipendentemente dalla loro comunicazione e diffusione, dalla possibilita' stessa della lesione del valore sociale dell'individuo. Bisogna, quindi, fare riferimento a qualsiasi attivita' che abbia per oggetto i dati personali posta in essere nel territorio dello Stato con o senza l'ausilio di mezzi elettronici o automatizzati.
Ma al fine di comprendere tale enunciazione e la reale portata del Codice e' necessario innanzitutto chiarire alcuni concetti fondamentali.
Innanzitutto per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione. Dato personale e', pertanto, un indirizzo, un numero di telefono, un codice di identificazione, una fotografia, un'impronta digitale, una nota valutativa. Insomma un lungo elenco continuamente suscettibile di integrazioni.
Per trattamento di dati personali si intende qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.
In particolare la comunicazione si configura quando i dati personali vengono portati a conoscenza, anche mediante la loro messa a disposizione o consultazione, di soggetti determinati. Per effettuare una comunicazione deve esserci il consenso dell'interessato (la pubblica amministrazione ha, pero', regole particolari, che vedremo in seguito). Mentre la diffusione ricorre quando le informazioni personali vengono portate a conoscenza, anche attraverso la loro messa a disposizione o consultazione, di soggetti indeterminati.
Altro concetto fondamentale da chiarire e' l'ambito di applicazione del codice. In effetti il legislatore delegato all'art. 5 ha ripristinato quale criterio principale di collegamento della fattispecie alla legge applicabile, lo stabilimento del territorio dello Stato o in un luogo sottoposto alla sua sovranita', del soggetto che effettua il trattamento di dati, ancorche' gli stessi siano detenuti all'estero.
Nel caso i cui il soggetto che effettua il trattamento sia stabilito in un altro Paese dell'Unione Europea, trovera' invece applicazione la legge del Paese di stabilimento.
La disposizione in esame assume particolare rilevanza in considerazione del fatto che la materia del trattamento dei dati personali pone spesso problemi di concorso di normative e, conseguentemente, evidenzia la necessita' della determinazione della legge applicabile a tale trattamento, in quanto molteplici possono essere i collegamenti territoriali di tale attivita'. E' opportuno, quindi, adottare dei criteri di determinazione dell'ambito di applicazione spaziale delle leggi sul trattamento dei dati personali.
Di conseguenza il 1° comma dell'articolo in esame unisce le disposizioni degli artt. 2 comma 1 e 6 comma 1 della precedente legge 675/96 e sostiene una prospettiva del tutto territoriale prevedendo che debba rimanere assoggettato ala legge italiana chiunque compia nel territorio dello Stato attivita' che concretino un "trattamento" di dati personali.
Il 2° comma di quest'art. 5 riprendendo le disposizioni di cui agli artt. 2, commi 1 bis, e 1 ter, della l. n. 675/1996 prevede (estendendola) l'applicazione della normativa anche a quei soggetti che hanno sede fuori dall'Unione Europea, ma che utilizzano mezzi localizzati sul territorio italiano per il trattamento dei dati personali come ad esempio le multinazionali americane presenti in Italia. Si ricorda che tali disposizioni furono introdotte dal d.lgs. n. 467/2001 (in particolare l'art. 1 che ando' ad integrare l'art. 2 della legge 675/96).
Il 3° comma della disposizione in esame riprende quanto determinato dall'art. 3 della legge 675/96 e secondo la dottrina (FRANCESCHELLI) questo comma puo' essere interpretato in due diversi modi: o come un'eccezione di fronte a un sistema articolato di protezione della riservatezza informatica e dell'identita' personale o come espressione di un principio generale del nostro ordinamento di protezione delle liberta' fondamentali, della dignita' delle persone fisiche, della riservatezza e dell'identita' personale.
L'art. 2 del Codice chiarisce poi quale deve essere la finalita' del trattamento dei dati personali.
In particolare il trattamento dei dati personali si deve svolgere nel rispetto dei diritti e delle liberta' fondamentali, nonche' della dignita' dell'interessato, con particolare riferimento alla riservatezza, all'identita' personale e al diritto alla protezione dei dati personali.
Il primo comma dell'art. 2 riproduce quasi fedelmente l'art. 1 comma 1 della legge 675/96 in quanto si preferisce non distinguere piu' fra persone fisiche e persone giuridiche ma parlare genericamente di "interessato". In questo modo, per la verita', il comma in esame si discosta leggermente sia dall'art. 1 della Convenzione del Consiglio d'Europa n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale adottata a Strasburgo il 28 gennaio 1981 che dall'art. 1 della Direttiva 95/46/CE del Parlamento europeo e del Consiglio datata 24 ottobre 1995. Difatti entrambi i documenti fanno riferimento alla tutela dei diritti e delle liberta' fondamentali delle "persone fisiche" utilizzando quindi un'espressione sicuramente piu' restrittiva rispetto al codice italiano.
Del tutto nuovo e' il 2° comma di quest'art. 2 che introduce anche in un settore cosi' delicato come la privacy quei concetti di semplificazione, armonizzazione ed efficacia propri della legge sulla trasparenza (legge 241/90) con particolare riguardo all'esercizio dei diritti da parte degli interessati ed all'adempimento degli obblighi da parte dei titolari del trattamento.
Ma indubbiamente il principio di maggiore rilevanza del Codice e' quello contenuto nell'art. 3 laddove si parla di necessita' nel trattamento dei dati.
Secondo tale principio i sistemi informativi e i software devono essere configurati in modo da minimizzare il ricorso a dati personali e identificativi, sostituendone il trattamento con l'utilizzo di dati anonimi o pseudonimi quando le rispettive finalita' non ne risentano, prevedendo l'identificazione dell'interessato solo in caso di necessita'.
In altri termini avuto riferimento al trattamento informatico dei dati personali, l'art. 3 del codice sancisce il principio della necessita' di identificare l'interessato solo in casi eccezionali laddove non sia possibile perseguire determinate finalita' in altri modi meno invasivi.
Quest'art. 3 del codice non ha precedenti anche se sin da quando sono stati affrontati i primi problemi di privacy gli studiosi si sono posti il problema della necessita' o meno di una specifica tutela avuto riguardo al rapporto tra "riservatezza-computer"; l'impiego dell'elaboratore elettronico, infatti, consente di impadronirsi ed archiviare informazioni che riguardano l'individuo, comprese quelle della sua vita privata sottoponendolo, cosi', ad una nuova forma di dominio, che si potrebbe chiamare "il potere informatico". Il "right to privacy" ha quindi acquistato un nuovo significato ed una nuova ampiezza, che non poteva avere un secolo fa: questo ora consiste nel diritto, riconosciuto al cittadino, di esercitare anche un controllo sull'uso dei propri dati personali inseriti in un archivio elettronico.
Anch'esso fa parte del "diritto all'informazione", in quanto espressione del diritto di informarsi sul proprio conto e di poter disporre dei dati informatizzati, di cui e' in possesso il gestore di un elaboratore elettronico; piu' correttamente puo' parlarsi di "liberta' informatica" intesa come una nuova manifestazione del tradizionale diritto alla liberta' personale; che si aggiunge a quelle del diritto di disporre liberamente del proprio corpo, di esprimere liberamente il proprio pensiero.
Il diritto alla riservatezza, per effetto della nuova dimensione acquisita, non viene, infatti, piu' inteso in un senso puramente negativo, come facolta' di ripulsa delle intromissioni di estranei nella vita privata, o di rifiutare il consenso alla diffusione di informazioni sul proprio conto, di rinuncia alla partecipazione nella vita sociale; ma in senso positivo, come affermazione della liberta' e dignita' della persona, e come potere di limitare il potere informatico, controllandone i mezzi ed i fini di quel potere.
Le figure fondamentali connesse alla protezione dei dati personali sono cinque: il Garante, il titolare, il responsabile, l'incaricato, l'interessato.
Il Garante per la protezione dei dati personali (artt. 153 e ss. del Codice) e' costituito da quattro componenti, due eletti dalla camera e due dal Senato. L'attuale presidente dell'Autorita' e' Stefano Rodota', che e' al secondo mandato.
Compito del Garante e' vigilare sull'applicazione della legge.
Nella materia della privacy informatica la scelta del modello dell'Authority, indipendente dal Governo quale e' il Garante, era quasi obbligata in quanto gia' la Direttiva Comunitaria 95/46/CEE del 25 ottobre 1995 imponeva espressamente ad ogni Stato membro di disporre "che una o piu' autorita' pubbliche siano incaricate di sorvegliare, nel suo territorio, l'applicazione delle disposizioni di attuazione della presente Direttiva, adottate dagli Stati membri". La Direttiva precisa, inoltre, che tali autorita', che dovranno formare una vera e propria rete europea di controllori, "sono pienamente indipendenti nell'esercizio delle funzioni loro attribuite". Le funzioni, che sono di tipo investigativo, regolamentare e giurisdizionale tutelano coloro che ritengano di essere stati lesi in un diritto o liberta' riferita al trattamento dei dati personali.
La legge italiana segue fedelmente il modello comunitario. Infatti il Garante "opera in piena autonomia e con indipendenza di giudizio e di valutazione" e non attribuisce al Governo alcun potere diretto nei suoi confronti. Vi e' invece un collegamento istituzionale con il Parlamento che elegge i quattro membri che compongono il nuovo organo collegiale e riceve annualmente una relazione del Garante sull'attivita' svolta. Il legame con il Parlamento oltre ad essere istituzionale e' anche politico visto che i quattro membri sono eletti, due dalla Camera e due dal Senato, con voto limitato in modo tale da garantire alle opposizioni la possibilita' di esprimere un proprio candidato.
Il titolare (art. 28 del Codice) e' il soggetto che esercita un potere decisionale del tutto autonomo sulle finalita' e modalita' del trattamento, ivi compreso il profilo della sicurezza. Puo' essere una persona fisica, una persona giuridica o un ente.
L'art. 28 chiarisce (sebbene cio' sia pacifico sul piano giuridico e dell'applicazione pratica) che nel caso in cui il trattamento e' effettuato da una persona giuridica, da una pubblica amministrazione o da altro ente, "titolare" e' l'entita' nel suo complesso, oppure l'unita' periferica che esercita un potere decisionale autonomo sulle finalita' del trattamento, anziche' la persona fisica incardinata nell'organo o preposta all'ufficio.
Tale disposizione ha tenuto conto di alcune importanti decisioni del Garante quale quella del 9 dicembre 1997 dove a seguito di un quesito posto dalle F.S. S.p.A. sulla concreta individuazione della figura del titolare del trattamento, il Garante ha chiarito che se il trattamento e' effettuato nell'ambito di una persona giuridica di una pubblica amministrazione o di un altro organismo, il titolare e' l'entita' nel suo complesso anziche' una o piu' persone fisiche. In pari data il Garante ha affrontato un'analoga questione posta dal Ministero delle Finanze ed anche in questo caso ha concluso che non e' possibile individuare la titolarita' del trattamento nelle persone fisiche preposte ad una direzione generale o ad un'area, dovendo tale qualita' essere configurata in capo al Ministero (oppure alle complesse unita' organizzative - direzione generale o aree anche geografiche - qualora sia possibile riconoscere a queste ultime potesta' decisorie effettive e del tutto autonome in ordine al trattamento dei dati). Resta, pero', ferma la facolta' del Ministero di designare alcuni soggetti (persone fisiche o giuridiche, enti od organismi) quali "responsabili" del trattamento, delineandone analiticamente e per iscritto i compiti attribuiti, e individuando al loro interno, se del caso, ulteriori livelli di responsabilita' in base all'organizzazione delle divisioni e degli uffici o alle tipologie di trattamenti, di archivi e di dati.
Il responsabile (art. 29 del Codice) e' la persona fisica o giuridica che puo' essere designata da parte del titolare del trattamento. Dovra' sempre essere scelto tra persone che per esperienza o capacita' forniscano idonea garanzia sul pieno rispetto delle norme in materia di trattamento dei dati, compreso il profilo della sicurezza.
La Convenzione di Strasburgo prevedeva un "responsabile dello schedario", ma in realta' tale figura si identifica nel soggetto che poi nella previsione della normativa sulla privacy viene individuato con l'espressione "titolare". La Direttiva 95/46/CE individua con le espressioni "responsabile del trattamento" ed "incaricato del trattamento" le figure identificate nella normativa interna rispettivamente con i termini "titolare" e "responsabile". In realta', pero', v'e' da sottolineare che la normativa comunitaria attribuisce rilevanza ad una circostanza di mero fatto, sancendo che e' "incaricato" colui che "elabora dati personali per conto del responsabile del trattamento".
E' importante sottolineare che nella disposizione in esame, per fugare ogni possibile dubbio interpretativo emerso in qualche caso, si chiarisce ancor piu' che la nomina del responsabile e' meramente facoltativa e compete al solo titolare. Per la verita' gia' in un comunicato stampa del 7 maggio 1997 il Garante aveva precisato che "la nomina di un responsabile e' facoltativa e compete al titolare". Inoltre con un provvedimento del 22 ottobre 1997 relativo ad un quesito posto dalla American Express, il Garante ha precisato che l'indicazione del responsabile nell'informativa all'interessato puo' essere effettuata "con riferimento alla qualita' rivestita pro-tempore, il che eviterebbe, in caso di avvicendamento in tale qualita', di ripetere l'informativa".
L'incaricato (art. 30 del Codice) e' chiunque compie operazioni di trattamento. Possono essere individuati come incaricati solo le persone fisiche e non anche le persone giuridiche.
La designazione degli incaricati deve ritenersi valida anche se sussiste la documentata preposizione della persona fisica a una unita' per la quale e' individuato l'ambito del trattamento consentito agli addetti all'unita' medesima.
L'art. 30 del Codice chiarisce, confermando una sperimentata prassi applicativa considerata corretta anche dal Garante, che alla designazione espressa e specifica degli incaricati - da effettuarsi in ogni caso per iscritto e con riguardo a specifiche mansioni - e' "parificata" la preposizione della persona fisica ad una unita' organizzativa per la quale sia individuato per iscritto l'ambito del trattamento consentito agli addetti ivi preposti. Tale previsione rappresenta un'indubbia forma di semplificazione dell'adempimento per i titolari o responsabili, che tuttavia non va a detrimento della sua efficacia.
In effetti la legge 675/96 non ha mai definito il termine "incaricato" e dalle disposizioni di cui all'art. 8 e 19 e' stata sempre evidenziata l'assoluta dipendenza dell'incaricato dalle istruzioni impartite dal titolare o dal responsabile.
La Direttiva Comunitaria prevede esplicitamente la figura dell'incaricato del trattamento all'art. 17, par. 3 dove dispone che "l'esecuzione dei trattamenti su commissione deve essere disciplinata da un contratto o da un atto giuridico che vincoli l'incaricato del trattamento al responsabile del trattamento e che preveda segnatamente:
- che l'incaricato del trattamento operi soltanto su istruzioni del responsabile del trattamento;
- che gli obblighi di cui al paragrafo 1, quali sono definiti dalla legislazione dello Stato membro nel quale e' stabilito l'incaricato del trattamento, vincolino anche quest'ultimo".
L'interessato, infine, e' la persona a cui si riferiscono i dati. Non si deve, pero', pensare solo alla persona fisica, per quanto nella maggior parte dei casi l'interessato si identifichi con quella. Il concetto, infatti, ricomprende anche la persona giuridica, l'ente o l'associazione a cui si possono riferire dati personali.
L'art. 7 del T.U. introduce il Titolo II che disciplina i diritti dell'interessato. In particolare si fa riferimento al diritto di accesso ai dati personali ed agli altri diritti connessi, riprendendo le prescrizioni dell'art. 13 comma 1 della legge 675/96. La dottrina ha sottolineato gia' da tempo come l'espressione "diritti dell'interessato" enfatizzi particolarmente la natura di diritto soggettivo delle pretese che l'interessato vanta nei confronti di chi tratta dati che lo riguardano. Il primo diritto che si legge nella disposizione e' quello di avere conferma dell'esistenza o meno di dati personali anche se non ancora registrati e la loro comunicazione in forma intellegibile, distinguendosi in cio' da quanto prescritto dalla legge 675/96 che sebbene conteneva disposizione analoga all'art. 13, 1° co., lett. c) punto 1 (prima parte), essa era collocata sistematicamente in ordine successivo, mentre l'art. 13 si apriva riconoscendo il diritto dell'interessato ad accedere al registro dei trattamenti, diritto questo che non viene menzionato nel nuovo art. 7 del T.U.
L'interessato ha, inoltre, diritto di ottenere l'indicazione:
1) dell'origine dei dati personali;
2) delle finalita' e modalita' del trattamento;
3) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
4) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
5) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualita' di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
Sempre l'interessato ha diritto di ottenere:
1) l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati;
2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non e' necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
3) l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
Particolari problemi di comprensione si sono posti in dottrina sulla natura del diritto di opposizione di cui al comma 4 lett. a) della disposizione in esame in quanto non risulta prima facie la portata dei risultati che attraverso la previsione normativa l'interessato e' in grado di raggiungere, ne' e' chiaro quale sia la posizione giuridica del titolare rispetto all'opposizione. Appare, innanzitutto evidente che ci si trova di fronte ad un trattamento pienamente legittimo dei dati (la stessa direttiva comunitaria n. 95/46/CE affronta l'argomento in modo analogo riconoscendo l'esistenza di un interesse legittimo/pubblico di chi tratta i dati ed un interesse della persona a cui i dati si riferiscono). Probabilmente secondo la dottrina dominante l'opposizione di cui all'art. 7 lett. a) rappresenta lo strumento nel diritto interno per effettuare la ponderazione degli interessi prevista dalla disciplina comunitaria nei casi di trattamento senza preventivo consenso.
Resta comunque fermo anche alla luce del nuovo Codice che l'interessato ha diritto di ottenere una serie di informazioni oppure una modificazione dello stato di cose esistente, facendo uso di quel particolare strumento che l'articolo 146 del Codice della privacy denomina "interpello preventivo".
L'art. 8 nel disciplinare l'esercizio dei diritti si apre con una enunciazione di principio circa la concreta modalita' di esercizio dei diritti di cui all'art. 7 (i diritti di cui all'articolo 7 sono esercitati con richiesta rivolta senza formalita' al titolare o al responsabile, anche per il tramite di un incaricato, alla quale e' fornito idoneo riscontro senza ritardo) che non ritroviamo nella legge 675/96, bensi' nell'art. 13 della direttiva 95/46CE e nell'art. 17, 1° comma, del D.P.R. n. 501/98 (specifico regolamento recante norme per l'organizzazione ed il funzionamento dell'Ufficio del Garante per la protezione dei dati personali).
Il 2° comma dell'art. 8 riproduce fedelmente (con qualche integrazione) l'art. 14, comma 1, della legge 675/96 fissando alcuni limiti all'esercizio dei diritti dell'interessato cosi' come previsti dal precedente art. 7, in relazione a determinate specie di trattamenti di dati. Detti limiti, il cui fondamento va rintracciato nella previsione dell'art. 9, par. 3 della Convenzione di Strasburgo n. 108/81 sulla protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale, si giustificano in relazione alle particolari caratteristiche dei dati presi in considerazione e delle relative finalita' di utilizzazione.
Rispetto al precedente art. 14 della legge 675/96 sono stati aggiunti in questa nuova disposizione altri due limiti, tra l'altro piuttosto prevedibili, relativi a ragioni di giustizia e per le finalita' connesse al trattamento dei dati da parte di forze di polizia.
La disposizione in esame dopo aver enumerato le ipotesi di limitazione dei diritti degli interessati si preoccupa al 3° comma di assicurare che, nelle stesse ipotesi, sia comunque garantito il rispetto delle disposizioni in materia di trattamento di dati personali. A tal fine si attribuisce al Garante, a seconda dei vari casi, il compito di effettuare gli accertamenti e controlli previsti dagli artt. 157-158-159-160 del T.U.
L'art. 8 si chiude con una precisazione che non trova precedenti e che appare pero' particolarmente opportuna in quanto, qualora ci si trovi di fronte a particolari valutazioni di carattere soggettivo che si concretino comunque in dati personali, l'esercizio dei diritti di rettificazione ed integrazione dati di cui all'art. 7 appare piuttosto difficile se non proibitivo. In tal senso basti vedere il parere del Garante datato 11 settembre 2001 avente per oggetto una richiesta di rettifica di dati personali che costituiscono espressione del livello d'inquadramento mansionistico e retributivo del dipendente in azienda.
L'art. 9 del Codice disciplina le concrete modalita' di esercizio dei diritti dell'interessato.
In particolare il primo comma di questa disposizione si ispira al 3° comma dell'art. 17 del D.P.R. 501/98 ma ha una portata molto piu' ampia in quanto non si limita a sostenere che la richiesta relativa all'esercizio di un diritto dell'interessato puo' essere trasmessa mediante lettera raccomandata o telefax, ma fa esplicito riferimento alla posta elettronica, non dimenticando di ricomprendere anche ulteriori e non definite soluzioni tecnologiche.
Il 2° comma non e' altro che la fusione di due disposizioni quella di cui all'art. 13, comma 4 della legge 675/96 e quella dell'art. 17, comma 4 del D.P.R. 501/98. Secondo tale prescrizione l'interessato puo' delegare altri all'esercizio dei propri diritti, ma viene imposta la forma scritta a pena di difetto di legittimazione attiva. Il richiamo alle associazioni lascia intendere che parte significativa del disposto normativo dipendera' dal ruolo che potranno assumere enti esponenziali degli interessi di chi subisce trattamenti di dati personali.
Il 3° comma di quest'art. 9 trae ispirazione dal 3° comma dell'art. 13 della legge 675/96 ma ne corregge un'imprecisione molto criticata in dottrina. Difatti il vecchio art. 13 parlava di esercizio di diritti concernenti dati personali di una persona defunta da parte di chiunque ne abbia interesse, e giustamente molti autori (CONTE, GUERRA, BUTTARELLI) hanno sempre sostenuto che in tal modo il dettato normativo non risolveva i dubbi in merito all'individuazione dei soggetti legittimati all'esercizio della tutela postuma, all'ampiezza dei diritti oggetto della tutela stessa ed al delicato problema della c.d. successione nei diritti della personalita'. Il nuovo art. 9, quindi, ha corretto il tiro riconoscendo la legittimazione ad esercitare i diritti di un defunto a chi abbia un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari degne di protezione.
Il 4° comma prevede che l'identita' dell'interessato deve essere verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento.
L'articolo 10, infine, disciplina il riscontro all'interessato e riprende molte prescrizioni contenute nell'art. 17 del D.P.R. 501/98.
Il primo comma, ad esempio, riproduce piuttosto fedelmente il comma 9 dell'art. 17 del D.P.R. 501/98, mentre il 2° comma riproduce il 6° comma dello stesso art. 17 con espliciti riferimenti ai nuovi strumenti elettronici e telematici che consentono un'agevole visione o trasmissione dei dati di interesse. Difatti la disposizione prevede che i dati sono estratti a cura del responsabile o degli incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici, sempre che in tali casi la comprensione dei dati sia agevole, considerata anche la qualita' e la quantita' delle informazioni. A condizione che sia richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, ovvero alla loro trasmissione per via telematica.
Anche il 3° comma di quest' art. 10 riprende una disposizione dell'art. 17 del D.P.R. 501/98 e per la precisione il 5° comma avendo cura di sottolineare che il riscontro all'interessato sia comprensivo di tutti i dati personali comunque trattati, facendo salva l'applicazione dell'art. 84 del T.U. nel caso la richiesta sia rivolta ad un esercente la professione sanitaria.
I commi 4, 5 e 6 della disposizione in esame, invece, non hanno riferimenti normativi e si preoccupano principalmente di assicurare una comunicazione intelligibile e quindi comprensiva dei dati mediante l'utilizzo di una grafia comprensibile e anche attraverso l'esibizione e la consegna in copia di atti e documenti di interesse.
Il 7° comma affronta un argomento gia' disciplinato sia dall'art. 13, comma 2, della legge 675/96 che dall'art. 17, comma 7, del D.P.R. 501/98 e cioe' la previsione di un contributo spese di entita' limitata qualora non risulti confermata l'esistenza di dati che riguardino l'interessato. In effetti il problema che si e' sempre posto la dottrina e' un altro, anche se strettamente collegato all'argomento in questione, e cioe' se l'esercizio dei diritti dell'interessato debba essere gratuito o oneroso. La dottrina dominante (IMPERALI RIC. E ROS.) propende per la gratuita', ma esiste qualche perplessita' specie avuto riferimento all'integrazione od opposizione ad un trattamento in se' legittimo.
Anche l'8° ed il 9° comma disciplinano il contributo spese in questione traendo spunto rispettivamente dai commi 7 ed 8 dell'art. 17 del D.P.R. 501/98. In particolare si fa riferimento alle modalita' di corresponsione del contributo (comma 9) ed alla determinazione dell'entita' del contributo da parte del Garante con un provvedimento di carattere generale, specie avuto riferimento ai casi in cui i dati personali figurino su uno speciale supporto di cui si richiede la riproduzione o comunque quando le relative richieste siano particolarmente complesse (comma 8). |
|
|
Autore: Michele Iaselli
Fonte: StudioCelentano.it |
|
|
|
torna indietro |
|