|
|
|
|
|
Argomento |
I principi informatori del Codice della Privacy
fra teoria e pratica.
La protezione dei dati personali alla luce del D.Lgs. 196/2003 |
|
Dottrina N°
2
del
martedì 5 aprile 2005 |
 |
CAPITOLO II
REGOLE GENERALI PER IL TRATTAMENTO DEI DATI PERSONALI
Le regole generali sono contenute nel capo I del Codice per la protezione dei dati personali dall'art. 11 all'art. 17.
L'art. 11 nello specificare al 1° comma le modalita' del trattamento ed i requisiti dei dati personali riproduce integralmente il 1° comma dell'art. 9 della legge 675/96. Di conseguenza i dati personali devono essere:
1. trattati in modo lecito e secondo correttezza;
2. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
3. esatti e, se necessario, aggiornati;
4. pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati;
5. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
L'art. 5 della Convenzione di Strasburgo del 28/1/81 costituisce un sicuro precedente del comma in argomento. Sin da allora, difatti, si delineano chiaramente le regole cui e' soggetto il trattamento, nonche' gli specifici requisiti che i dati personali devono possedere. La disposizione si ispira anche all'art. 6 della Direttiva 95/46/CE il quale, riprendendo il ventottesimo Considerando, dispone tutta una serie di regole relative al trattamento e alla qualita' dei dati personali.
Il 2° comma, invece, rappresenta un'innovazione e tende a puntualizzare (ma per la verita' la precisazione appare inopportuna, in quanto piuttosto ovvia e ridondante) l'impossibilita' di utilizzare quei dati personali trattati in violazione della normativa vigente.
Il primo comma dell'art. 12 del Codice riprende quanto disposto dall'art. 31, comma 1, lett. h) della legge 675/96.
Ma naturalmente in questa nuova sede la previsione dei codici di deontologia e buona condotta assume tutt'altra rilevanza ed e' oggetto di una disposizione autonoma, mentre nella precedente legge rientrava semplicemente nell'elencazione dei compiti del Garante.
Indubbiamente la maggiore rilevanza di tali codici e' dovuta al d.lgs. n. 467/2001 che all'art. 20 li ha introdotti allo scopo di disciplinare il trattamento dei dati personali in determinati settori quali Internet, il marketing, il campo previdenziale, i sistemi informativi adottando un modello gia' sperimentato per il passato in altri campi, come quello giornalistico. L'intento e' quello di pubblicare questi codici di autodisciplina sulla Gazzetta Ufficiale al fine di dotare gli stessi di una specifica forza prescrittiva e poter garantire: la trasparenza, la riservatezza, il corretto uso dei dati che viaggiano nella rete ricorrendo a degli strumenti elastici, in grado di adeguarsi rapidamente alle nuove esigenze dell'epoca attuale. Difatti questi codici saranno elaborati direttamente dalle parti interessate e quindi dagli utenti, dai consumatori, che potranno cosi' difendersi dal pericolo derivante dall'uso improprio delle informazioni, dalle frodi, dalle violazioni di legge.
Il 2° ed il 3° comma della disposizione in esame si ispirano, quindi, all'art. 20 del d.lgs. n. 467/2001 rispettivamente al 4° e 3° comma, mentre l'ultimo comma prevede solo l'estensione della disciplina generale al codice di deontologia per i trattamenti di dati per finalita' giornalistiche.
L'art. 13 del Codice disciplina la c.d. informativa e quindi l'obbligo dei responsabili del trattamento di informare preventivamente l'interessato o la persona della quale sono raccolti i dati personali circa: le finalita' e le modalita' del trattamento dei dati, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere, i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati, il diritto di accesso dell'interessato ed i diritti connessi, le generalita' del titolare ed eventualmente del responsabile.
L'intera disposizione riproduce, anche se con qualche modifica, l'art. 10 della legge 675/96 ad eccezione del 3° comma che prevede la facolta' per il Garante di individuare delle modalita' semplificate per l'informativa fornita dai servizi telefonici di assistenza o di informazione. Altro precedente della disposizione in esame e' rappresentato dall'art. 10 della Direttiva 95/46/CE che fissa le informazioni minime che devono essere fornite all'interessato al momento della raccolta. La Direttiva, inoltre, prevede una tipica clausola di proporzionalita' che rapporta le eventuali ulteriori informazioni all'esigenza di assicurare un "trattamento leale".
Il principio generale enunciato in quest'articolo 13 rientra nella tendenza a legificare gli obblighi di informazione. Esso e' posto nell'evidente intento di consentire all'interessato l'espressione di un "consenso informato" al trattamento. Infatti solo disponendo preventivamente delle informazioni elencate nell'articolo e' possibile valutare se prestare il consenso. Tale principio e' oggetto di una delle prime decisioni del Garante datata 28/05/97 in merito al contenzioso Adusbef/BNL dove viene sancito che l'informativa deve essere completa e analitica al fine di consentire all'interessato di conoscere i vari aspetti del trattamento e prestare un consenso informato. Ma il Garante e' tornato sull'argomento diverse volte, basti pensare alla decisione del 16 maggio 2002 dove nell'esaminare l'ipotesi dell'avvenuta inserzione in un sito web, da parte di una societa' di sviluppo fotografico, di alcune fotografie originariamente ricevute da alcuni fotonegozianti, ha ribadito l'applicabilita' della legge n. 675/1996 anche alle immagini fotografiche, affrontando le connesse problematiche in tema d'informativa sul trattamento dei dati oppure alla decisione del 19 febbraio 2002 dove il Garante chiarisce che se nel corso di un'investigazione privata alcuni dati personali vengano acquisiti direttamente dall'interessato (mediante ascolto, registrazione e intercettazione), l'agenzia investigativa che procede all'indagine deve fornire all'interessato medesimo l'informativa prevista dalla legge.
L'art. 14 del Codice non e' altro che una fedele riproduzione dell'art. 17 della legge 675/96.
Il legislatore sensibile alla pericolosita' dei sistemi di profilazione individuale, ha disciplinato in modo specifico questo delicato aspetto.
La norma non ha un testuale precedente nella Convenzione di Strasburgo del 1981, sebbene sia sostenibile che un principio simile possa essere ricavato dall'art. 5 della medesima Convenzione, il quale impone che i dati personali vadano elaborati "lealmente e legalmente".
Un immediato ed esplicito riferimento a tale disposizione va invece rintracciato nell'art. 15 della Direttiva 95/46/CE. La norma comunitaria parte dal riconoscimento del diritto della persona "di non essere sottoposta ad una decisione che produca effetti giuridici o abbia effetti significativi nei suoi confronti fondata esclusivamente su un trattamento automatizzato di dati destinati a valutare taluni aspetti della sua personalita', quali il rendimento professionale, il credito, l'affidabilita', il comportamento, ecc." Poi al par. 2 concede agli Stati membri la facolta' di disporre che una persona possa essere sottoposta ad una tale decisione, ma solo in casi eccezionali.
Il primo comma di quest'art. 14 assume un'importanza ed un significato particolare tenuto conto delle potenzialita' notevoli delle tecnologie informatiche che possono consentire la costruzione automatica di profili individuali e collettivi nonche' l'affidamento a procedure automatizzate di determinate decisioni sul conto dei soggetti interessati. Difatti, nell'attuale era tecnologica le caratteristiche personali di un individuo possono essere tranquillamente scisse e fatte confluire in diverse banche dati, ciascuna di esse contraddistinta da una specifica finalita'. Su tale presupposto puo' essere facilmente ricostruita la c.d. persona elettronica attraverso le tante tracce che lascia negli elaboratori che annotano e raccolgono informazioni sul suo conto.
Allo stato attuale sono evidenti, quindi, sia il timore che la semplificazione delle procedure e la dimensione globale delle reti informatiche possano tradursi in un appiattimento e svuotamento dei diritti delle persone fisiche e giuridiche, sia la consapevolezza della oggettiva utilita' di tali strumenti che trascendono l'ambito nazionale sia la necessita' di armonizzare quei diritti con la realizzazione di interessi pubblici e collettivi, dando attuazione, anche nel nostro ordinamento, alle applicazioni comunitarie in materia.
Il 2° comma della disposizione in esame considera il caso in cui una decisione, implicante la "valutazione del comportamento umano", sia "unicamente" fondata su un "trattamento automatizzato di dati personali volto a definire il profilo o la personalita' dell'interessato". Essa, quindi, riguarda l'ipotesi della presa di decisioni sulla base di profili automatizzati. Non e' detto che la stessa decisione debba essere anch'essa automatizzata, e' sufficiente che la base di essa sia costituita da un trattamento automatizzato. Pertanto, il campo di azione dell'enunciato e' estremamente ampio.
L'art. 15 del Codice affronta il tema della responsabilita' civile per i danni procurati dal trattamento di dati personali. La Direttiva 95/46/CE dedica all'argomento della responsabilita' l'art. 23 il quale sancisce che "Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento". Inoltre specifica al 2° comma che "il responsabile del trattamento puo' essere esonerato in tutto o in parte da tale responsabilita' se prova che l'evento dannoso non gli e' imputabile".
In base a quanto prescritto dall'art. 15 chi ritiene di essere stato leso a seguito dell'attivita' di trattamento dei dati personali che lo riguardano puo' ottenere il risarcimento dei danni senza dover provare la "colpa" del titolare che ha trattato i suoi dati. Resta ovviamente a carico dell'interessato l'onere di provare eventuali danni derivanti dal trattamento dei dati.
Secondo la dottrina dominante la regola risarcitoria contenuta in quest'art. 15 e' da considerare applicabile anche ai danni conseguenti al trattamento dei manual data.
Tanto in sede comunitaria quanto in quella nazionale, e' stato ben chiaro che i rischi maggiori sono connessi all'uso "tecnologico" dei dati, ma, valutato che l'angolo visuale e', in ultima analisi, il valore della riservatezza e dei diritti della personalita', e' prevalsa la posizione che la tutela della privacy debba estendersi a tutte le specie di dati personali. Certo, non puo' negarsi che la prevalente portata dell'art. 18 e' da ricondurre al trattamento automatizzato dei dati.
Il 2° comma di quest'art. 15 riprende l'annosa questione relativa alla categoria del danno non patrimoniale. E' noto, difatti, che le frequenti dispute dottrinali hanno riguardato la nozione in se' di "danno non patrimoniale". Secondo taluni essa viene a coincidere con la sofferenza psico-fisica del soggetto e meglio vi si attaglia la definizione di danno morale (SCOGNAMIGLIO), ma non manca chi tende a circoscrivere nell'area del danno morale i pregiudizi non suscettibili di valutazione economica mediante criteri obiettivi (BUSNELLI). Non bisogna dimenticare, inoltre, un altro indirizzo dottrinale che determina, in negativo, la figura del danno non patrimoniale, facendola coincidere con una serie di fenomeni eterogenei accomunati dalla non patrimonialita' dell'interesse leso o dalla non valutabilita' in denaro della lesione (DE CUPIS).
E' plausibile, comunque, affermare che tale disposizione finisce per contenere una sorta di principio di "indemnisation integrale del danno non patrimoniale da trattamento dei dati personali". Invero, e' difficile scorgere una fattispecie che resti fuori dalla previsione dell'art. 11 e, dunque, non rilevi, ai fini riparatori, come violazione di detto articolo.
L'art. 16 del Codice disciplina la cessazione del trattamento dei dati prevedendo in particolare quale debba essere il comportamento del titolare o responsabile nel caso di cessazione del trattamento. In questo caso, difatti, i dati dovranno essere distrutti; oppure ceduti ad altro titolare, purche' destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti; o ancora conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione; oppure, infine, conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformita' alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'articolo 12.
Benche' la rubrica dell'articolo in esame sia limitata alla cessazione del trattamento dei dati il 2° comma prescrive una sanzione generale per i casi di cessione illecita dei dati, indipendentemente dal fatto che essa violi le norme in tema di cessazione o, invece, altre disposizioni di legge in materia di trattamento dei dati.
Lascia perplessi il fatto che l'articolo in esame non abbia riprodotto ne' fatto riferimento all'obbligo di notifica preventiva al Garante (in caso di cessazione dell'attivita' di trattamento) contenuto invece nel 1° comma dell'art. 16 della legge 675/96. Forse tale omissione si giustifica in quanto il suddetto obbligo puo' essere considerato implicito nella previsione del compito del Garante di cui all'art. 154 del T.U. lett. a) laddove parla di controllo sul fatto che i trattamenti siano effettuati nel rispetto della disciplina applicabile ed in conformita' alla notificazione, anche in caso di loro cessazione. Ritengo, pero', che una previsione esplicita sarebbe stata sicuramente piu' chiara senza pericolo di inutili ridondanze.
Infine l'art. 17 del Codice nel disciplinare il trattamento di dati diversi da quelli sensibili e giudiziari che presenta rischi specifici, riprende l'art. 24-bis della legge 675/96 riproducendo sostanzialmente entrambi i commi.
L'art. 24-bis venne introdotto dall'art. 9 del d.lgs. n. 467/2001 e la relativa previsione si ispira (devo dire molto liberamente) all'art. 20 della Direttiva 95/46/CE il quale prevede che "gli Stati membri precisano i trattamenti che potenzialmente presentano rischi specifici per i diritti e le liberta' delle persone e provvedono a che tali trattamenti siano esaminati prima della loro messa in opera".
Nello specifico l'art. 17 sancisce che il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le liberta' fondamentali, nonche' per la dignita' dell'interessato, in relazione alla natura dei dati o alle modalita' del trattamento o agli effetti che puo' determinare, e' ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti. Ovviamente come precisato al 2° comma tale prescrizione non puo' che derivare dal Garante in applicazione dei principi sanciti dal Codice. |
|
|
Autore: Michele Iaselli
Fonte: StudioCelentano.it |
|
|
|
torna indietro |
|