|
ORDINE IN MATERIA DI PRIVACY
CHI NOTIFICA COSA
STATUTO
DEL CONTRIBUENTE
LA FIGURA DEL GARANTE
ORDINE IN MATERIA DI PRIVACY
CHI NOTIFICA COSA
Un provvedimento normativo unico
riunisce quanto legiferato negli anni
Giancarmine Vitolo
Componente Ordine dei Commercialisti di Salerno
giancarminevitolo@cfvsrl.191.it
Il legislatore, in materia di privacy, ha emanato il D.Lgs.
30.6.2003 n. 196, per la protezione dei dati personali, che
ha modificato la disciplina emanata a partire dalla L. 31.12.96
n. 675. La norma sembra attagliarsi meglio a imprese di grandi
dimensioni, mentre appare eccessivamente onerosa per l'applicazione
se riferita a studi professionali e a piccole e medie aziende;
senza contare, poi, che a tali tipologie la novità della
norma è sfuggita completamente e/o è stata recepita
non con la dovuta attenzione. Inoltre, altro appunto nei confronti
della normativa in esame va fatto circa una mancata netta differenziazione
tra dati puramente personali e dati sensibili e giudiziari,
accomunando (a parte la notifica al garante) in termini di
adempimenti, sanzioni e quant'altro, soggetti di diverse dimensioni
che operano in diversi settori, più o meno a rischio
sotto tale profilo. La cosa assume, poi, particolare gravità se
rapportata alle sanzioni previste che non appaiono poter essere
adeguatamente graduate in funzione della gravità della
violazione, specie ove abbiano a sanzionare l'inosservanza
di semplici obblighi formali.
L'iter normativo
La L. 31.12.96 n. 675, ha introdotto un'organica e complessa
disciplina per la tutela delle persone e degli altri soggetti
rispetto al trattamento dei dati personali. La complessità della
materia e l'evoluzione tecnologica legata all'informatica e
alle telecomunicazioni ha però fatto sì che tale
disciplina sia stata oggetto di numerosi successivi provvedimenti
di modifica. Al fine di riunire in un unico provvedimento normativo
quanto legiferato nel corso degli anni, è stato emanato,
appunto, il D.Lgs. 30.6.2003 n. 196 che provvede ad abrogare
espressamente quasi tutti i provvedimenti in materia di tutela
della privacy che erano stati precedentemente emanati.
Il contenuto del "Codice"
Così come definito il "Codice" della privacy
contiene, una serie di principi e regole relativi alla protezione
dei dati personali, al trattamento di tale dati, con particolare
attenzione al trattamento dei dati "sensibili" e
giudiziari, alle disposizioni relative ai titolari, ai responsabili
e agli incaricati del trattamento, alla disciplina relativa
al trasferimento dei dati personali all'estero, alle disposizioni
relative alle misure di sicurezza. Inoltre, fa parte del contenuto
anche la disciplina del "Garante della privacy",
nonché le sanzioni amministrative e penali per le violazioni
attinenti alla disciplina di tutela dei dati personali. In
pratica, per la maggior parte dei titolari occorrerà procedere
ad aggiornare i riferimenti normativi nei modelli di informativa
e di richiesta di consenso dell'interessato, modificare le
misure di sicurezza, adeguandole ai nuovi requisiti minimi
dalla normativa, predisporre il documento programmatico sulla
sicurezza (DPS). Si ricorda, infine, che appare obbligatorio
in chi redige la relazione accompagnatoria al bilancio, e opportuno
negli altri casi indicare l'aggiornamento del documento programmatico
sulla sicurezza. Nulla è cambiato, invece, in merito
all'ambito di applicazione circa la tutela della privacy, che
resta applicabile a tutti i soggetti che trattano dati personali,
sia con mezzi elettronici che manuali. Sono esclusi dall'applicazione
i trattamenti effettuati da persone fisiche per fini esclusivamente
personali (cioè al di fuori dell'attività di
impresa o professionale), a condizione che i dati non siano
destinati a una comunicazione sistematica o alla diffusione.
La notificazione al Garante
Originariamente la norma prevedeva che l'obbligo di notificazione
al Garante fosse generalizzato, cioè dovesse essere
adempiuto da chiunque trattasse dati personali. Con il nuovo "Codice",
invece, tale obbligo di notifica al Garante è previsto
solo se il trattamento riguarda alcune ipotesi tra le quali:
dati genetici, biometrici; che indicano la posizione geografica
di persone od oggetti mediante una rete di comunicazione elettronica;
idonei a rivelare lo stato di salute e la vita sessuale; di
rilevazione di malattie mentali, infettive e diffusive; relativi
a sieropositività, trapianto di organi e tessuti e monitoraggio
della spesa sanitaria; idonei a rivelare la vita sessuale o
la sfera psichica trattati da associazioni, enti od organismi
senza scopo di lucro, anche non riconosciuti, a carattere politico,
filosofico, religioso o sindacale; trattati con l'ausilio di
strumenti elettronici volti a definire il profilo o la personalità dell'interessato,
o ad analizzare abitudini o scelte di consumo, ovvero a monitorare
l'utilizzo di servizi di comunicazione elettronica con esclusione
dei trattamenti tecnicamente indispensabili per fornire i servizi
medesimi agli utenti; "sensibili" registrati in banche
di dati a fini di selezione del personale per conto terzi,
nonché dati sensibili utilizzati per sondaggi di opinione,
ricerche di mercato e altre ricerche campionarie; registrati
in apposite banche di dati gestite con strumenti elettronici
e relative al rischio sulla solvibilità economica, alla
situazione patrimoniale, al corretto adempimento di obbligazioni,
a comportamenti illeciti o fraudolenti. La notificazione deve
contenere, tra l'altro, l'indicazione dei dati relativi al
titolare, a uno solo dei responsabili del trattamento, se nominati,
le categorie dei trattamenti per i quali vi è l'obbligo
di notificazione, le finalità e modalità del
trattamento, i luoghi di custodia dei dati, e infine le misure
di sicurezza adottate, anche ulteriori rispetto a quelle "minime" previste
dal Codice. La notificazione del trattamento va effettuata
al Garante prima dell'inizio del trattamento, una sola volta,
a prescindere dal numero delle operazioni e della durata del
trattamento. La notificazione è validamente effettuata
solo se è trasmessa per via telematica utilizzando il
modello predisposto dal Garante, osservando, chiaramente le
prescrizioni da questi impartite a tal uopo.
La cessazione del trattamento dei dati personali
In caso di cessazione del trattamento di dati personali non è più previsto
un generale obbligo di notificazione al Garante della loro
destinazione. Gli stessi dati personali possono essere: distrutti;
ceduti ad altro titolare, purché destinati ad un trattamento
in termini compatibili agli scopi per i quali i dati erano
stati raccolti; conservati per fini esclusivamente personali
e non destinati ad una comunicazione sistematica o alla diffusione;
conservati o ceduti ad altro titolare, per scopi storici, statistici
o scientifici, in conformità alla legge, ai regolamenti,
alla normativa comunitaria e ai codici di deontologia e di
buona condotta. Rispetto alla precedente normativa il "Codice" non
prevede più, in via generale, l'obbligo del titolare
di notificare preventivamente al Garante la destinazione dei
dati personali il cui trattamento è cessato. Tuttavia,
tale obbligo permane in relazione ai trattamenti di dati personali
per i quali la notifica è ancora obbligatoria.
La responsabilità civile
Le violazioni sulla disciplina della "privacy" sono
fonte di responsabilità civile per danni. Il "Codice" prevede
un'ipotesi di responsabilità per i danni cagionati per
effetto del trattamento di dati personali, con un richiamo
alla disciplina prevista dall'art. 2050 c.c.. Viene quindi
confermato un orientamento molto rigoroso del legislatore,
poiché l'art. 2050 c.c. configura una responsabilità "oggettiva",
in quanto l'obbligo del risarcimento sussiste nei confronti
di chiunque abbia cagionato un danno, senza che assuma rilievo
l'attribuibilità del fatto a titolo di dolo o colpa,
ma con l'unica prova liberatoria di aver adottato tutte le
misure idonee a evitare il danno. Queste ultime possono essere
ulteriori rispetto alle misure minime di sicurezza previste
dal Codice.
|
