Vademècum sulla privacy (legge 675/96 e successive modifiche ed integrazioni)

Redazione 02/02/01
Scarica PDF Stampa
inserito in Diritto&Diritti nel febbraio 2001

Avv. Annalisa Barbera

IL TRATTAMENTO DEI DATI

Per trattamento dei dati, ai sensi dell’art., 1 comma 2, della legge sulla privacy, deve intendersi qualsiasi operazione svolta con o senza l’ausilio di mezzi elettronici, concernente, in linea generale, la raccolta, l’elaborazione, la circolazione, la conservazione e/o la cancellazione dei dati personali.

Atteso quanto sopra, ben si comprende come la normativa in esame inevitabilmente Ci chiami in causa, essendo connaturata all’esercizio della professione forense, l’attività di raccolta, elaborazione e comunicazione dei dati personali.

All’interno dell’onnicomprensiva nozione di trattamento dei dati è altresì opportuno distinguere l’attività di comunicazione da quella di diffusione dei dati personali, poiché la stessa assume rilievo al fine di individuare i diversi adempimenti richiesti.

Al riguardo, per comunicazione deve intendersi “Il dare conoscenza dei dati personali ad uno o più soggetti determinati diversi dall’interessato, in qualsiasi forma, anche mediante la loro messa a disposizione o consultazione”; la diffusione dei dati implica, invece, “Il dare conoscenza dei dati personali a soggetti indeterminati, in qualsiasi forma, anche mediante la loro messa a disposizione o consultazione” (art. 1, comma 2, legge 675/96).

Ulteriore distinzione, altrettanto utile ai fini della trattazione de qua, è quella tra dati personali e dati sensibili.

Per dato personale deve intendersi “Qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (art. 1, comma 2, lett. c, legge 675/96).

Per dati sensibili devono, invece, intendersi “I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (art. 22, comma 1, legge 675/96).

Fatte queste doverose premesse, si può procedere in ordine agli adempimenti.

Il trattamento dei dati personali, circostanza pressoché inevitabile nell’esercizio della professione che Ci accomuna, richiede:

L’obbligo del professionista, al momento della raccolta degli stessi, di informare l’interessato, oralmente o per iscritto, circa le finalità e le modalità del trattamento, oltre che delle altre circostanze specificatamente elencate nell’art. 10 della legge sulla privacy, cui, per una maggiore completezza, si rinvia.

Giova inoltre precisare che la violazione della disposizione di cui sopra dà luogo all’applicazione di una sanzione amministrativa pecuniaria (cfr. art. 39, comma 2, legge 675/96).

Quid iuris nelle ipotesi di acquisizione ed utilizzo dei dati relativi alla controparte?

Al riguardo sopperisce l’art. 10, comma 4, della legge in esame in base al quale la raccolta dei dati presso persona diversa dall’interessato esonera dall’obbligo di informativa qualora il trattamento sia finalizzato allo svolgimento delle investigazioni di cui all’art. 38 delle disposizioni di attuazione del codice di procedura penale, o, comunque, per esigenze connesse al diritto di difesa in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Ad adiuvandum, può comunque osservarsi che il dovere di segretezza e riservatezza, imponendo al professionista di mantenere il segreto su tutte le informazioni apprese in dipendenza dell’espletamento del mandato, costituisce idoneo strumento, anche a tutela dei terzi, contro le indebite divulgazioni.

Il consenso espresso dell’interessato ove voglia procedersi alla diffusione dei dati personali, intesa quest’ultima nell’accezione di cui sopra.

Il consenso non è invece richiesto per le altre attività rientranti nella nozione di trattamento dei dati, compresa l’attività di comunicazione di cui sopra. Al riguardo, l’art. 12, comma 1, lett. h, della legge in esame introduce una deroga al principio generale nelle ipotesi in cui il trattamento risulti necessario per far valere, o difendere, un diritto in sede giudiziaria, o per lo svolgimento delle investigazioni di cui all’art. 38 delle norme di attuazione del codice di procedura penale, con l’avvertenza che i dati devono essere trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.

Anche riguardo ai dati sensibili, attesa la nozione utilizzata dal legislatore, ben si comprende come sia facile rientrare nell’ambito di applicazione della norma in esame. Detta constatazione appare quanto mai ovvia sol che si considerino, a titolo esemplificativo, le controversie previdenziali, le controversie per il risarcimento dei danni da sinistro stradale, le controversie in materia di lavoro o di famiglia, laddove interessino quel nucleo più intimo della dimensione personale indicato dalla norma, i procedimenti di interdizione ed inabilitazione o, ancora, i procedimenti penali aventi ad oggetto reati offensivi di tali beni giuridici.

Per il trattamento dei dati sensibili, considerata la loro capacità di incidere sulla riservatezza dell’individuo cui si riferiscono e di determinare forme di discriminazione sociale, il legislatore si è preoccupato di introdurre più accorti adempimenti, prescrivendo:

l’obbligo di informare l’interessato ai sensi dell’art. 10 della legge 675/96 (v. supra);

il consenso scritto dell’interessato, imprescindibile in questa sede (art. 22, comma 1, legge 675/96) – A tal fine può risultare utile il modello che si allega;

La preliminare autorizzazione al trattamento dei dati sensibili, rilasciata dal Garante per la Protezione dei dati, su specifica richiesta e caso per caso (art. 22, comma 1, legge 675/96).

Nessun allarmismo al riguardo.

Il Garante, infatti, prendendo atto dell’elevato numero di trattamenti di dati sensibili effettuato nell’espletamento delle attività professionali, ha provveduto al rilascio, ex officio, di autorizzazioni generali, rivolte ai liberi professionisti iscritti in albi o elenchi, i quali sono pertanto esonerati dal presentare la richiesta di autorizzazione, sempreché il trattamento dei dati sensibili sia conforme alle prescrizioni impartite dal Garante.

L’autorizzazione generale che al momento Ci riguarda è stata adottata con provvedimento del Garante del 20 settembre 2000, n. 4, ed è pubblicata sulla G.U.R.I., serie generale, n. 229 del 30 settembre 2000, alla cui lettura caldamente si rinvia per gli aspetti più specifici del trattamento dei dati sensibili.

Si ricorda, altresì, che detta autorizzazione ha efficacia temporalmente limitata: a decorrere dal 1° ottobre 2000 e sino al 31 dicembre 2001. Per il periodo successivo, tenuto conto dell’esperienza già maturata, è comunque ragionevolmente plausibile ritenere che il Garante provveda al rilascio di una nuova autorizzazione generale.

Per completezza espositiva giova, ancora, precisare che i dati sensibili relativi ai terzi possono essere trattati ove ciò sia strettamente indispensabile per l’esecuzione di specifiche prestazioni professionali, richieste dai clienti, per scopi determinati e legittimi. I dati devono, in ogni caso, essere pertinenti e non eccedenti rispetto agli incarichi conferiti.

Per mera completezza d’indagine deve inoltre aggiungersi che sono dotati di tutela rafforzata, pur non rientrando tra i dati sensibili, i provvedimenti penali di cui all’art. 686, commi 1, lettere a) e d), 2, 3, del codice di procedura penale. Per questi dati il trattamento è ammesso soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichi le rilevanti finalità di interesse pubblico del trattamento, i dati trattati e le precise operazioni autorizzate (art. 24, legge 675/96).

* * * * *

Consapevole della complessità dell’elaborato di cui sopra, lo schema che segue avrà cura di individuare, in modo sintetico, gli adempimenti richiesti in materia di trattamento dei dati, salvo il necessario rinvio, per la migliore comprensione dello stesso, a quanto in precedenza ampiamente esposto.

Schema sintetico riassuntivo

TRATTAMENTO DEI DATI PERSONALI

Nozione: qualunque operazione, svolta con o senza l’ausilio di mezzi elettronici, concernente la raccolta, elaborazione, comunicazione, diffusione, cancellazione, conservazione di qualsiasi informazione relativa a persona fisica, giuridica, ente o associazione (cfr. art. 1, comma 2, legge 675/96).

Adempimenti:

Informare, oralmente o per iscritto, l’interessato delle circostanze di cui all’art. 10 della legge 675/96;

Acquisire il consenso espresso dell’interessato ove voglia procedersi alla diffusione dei dati personali (cfr. artt. 12 e 20 della legge 675/96).

TRATTAMENTO DEI DATI SENSIBILI

Nozione: qualsiasi operazione, svolta con o senza l’ausilio di mezzi elettronici, concernente la raccolta, elaborazione, comunicazione, diffusione, cancellazione, conservazione di dati personali idonei a rivelare: lo stato di salute, la vita sessuale l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale (cfr. artt. 1 e 22, della legge 675/96).

Adempimenti:

Informare, oralmente o per iscritto, l’interessato delle circostanze di cui all’art. 10 della legge 675/96;

Acquisire il consenso scritto dell’interessato (cfr. art. 22 della legge 675/96).

N.B. L’autorizzazione al trattamento dei dati sensibili da parte dei liberi professionisti è stata rilasciata, ex officio, dal Garante con provvedimento n. 4/2000 e con efficacia sino al 31 dicembre 2001.

ADOZIONE DELLE MISURE MINIME DI SICUREZZA

Funzionale alla tutela della riservatezza è l’adozione di misure preventive di sicurezza volte ad evitare o, quantomeno, ridurre al minimo i rischi di distruzione o di perdita accidentale dei dati, nonché i rischi di accesso non autorizzato o di trattamento non conforme alle finalità della raccolta.

A tal fine, la legge 675/96, nell’art. 15, ha previsto a carico del titolare del trattamento l’adozione delle misure necessarie a garantire la sicurezza dei dati, rinviando, per la loro individuazione, a successivi regolamenti governativi da emanarsi entro centottanta giorni dalla data di entrata in vigore della legge stessa. Il governo, seppur con ritardo, ha ottemperato al rinvio con l’emanazione del D.P.R. n. 318/99 (pubblicato in G.U.R.I., 14 settembre 1999, n. 216) recante “Norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali”.

I soggetti interessati, tra cui anche i liberi professionisti, avrebbero dovuto adeguare la propria organizzazione interna a quanto indicato nel regolamento in esame entro e non oltre il 29 marzo 2000 (cfr. art. 43, legge 675/96).

Soltanto nelle ipotesi in cui, a causa di particolari esigenze tecniche ed organizzative, detta scadenza non fosse stata rispettata, la legge 325/2000 (pubblicata in G.U.R.I., 9 novembre 2000, n. 262) ha concesso una proroga sino al 31 dicembre 2000 per l’adozione delle misure. Al fine di usufruirne, i soggetti interessati avrebbero dovuto predisporre, entro e non oltre il 10 dicembre 2000, un documento avente data certa e contenente l’indicazione delle particolari esigenze tecniche ed organizzative che avessero reso necessario avvalersi di un termine più ampio, nonché l’indicazione degli accorgimenti adottati o da adottare e le linee – guida previste per l’adeguamento delle strutture (cfr. art. 1, commi 1 e 3, legge 325/2000).

Il documento così redatto avrebbe dovuto essere conservato presso il soggetto interessato. La mancata adozione dello stesso entro il termine previsto avrebbe comportato, a carico dell’interessato, l’impossibilità di usufruire della proroga (cfr. art. 1, commi 3 e 4, legge 325/2000).

Ovviamente, l’onere sopra indicato non ha interessato tutti coloro i quali hanno provveduto ad adottare le misure di sicurezza di cui al D.P.R. 318/99 entro il 29 marzo 2000.

Ciò premesso, si può procedere ad individuare quegli standard minimi di sicurezza prescritti dal regolamento in esame.

Anzitutto, imprescindibile in questa sede è la definizione di titolare del trattamento intendendosi, per tale, qualsiasi persona fisica o giuridica cui compete la decisione in ordine alle finalità e modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza. Questa figura, a ben vedere, comprende anche i liberi professionisti iscritti in albi o elenchi professionali, cui sia stato conferito il mandato per la difesa, in sede giudiziaria o stragiudiziale, di posizioni giuridiche soggettive.

Il titolare del trattamento, in relazione alle concrete esigenze organizzative, può nominare uno o più responsabili da scegliersi tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia. Il responsabile è preposto dal titolare al trattamento dei dati personali e/o sensibili e vi procede attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni in materia.

I compiti affidati al responsabile devono essere analiticamente specificati per iscritto. Al riguardo, luogo eletto a tal fine può considerarsi il rispettivo atto di nomina.

Oltre al responsabile, il titolare può nominare uno o più incaricati del trattamento. Trattasi di una figura introdotta dalla legge sulla privacy ma priva di definizione normativa. Dal complesso delle disposizioni può, comunque, ritenersi che la distinzione tra il responsabile e l’incaricato del trattamento sia da rinvenirsi nella diversa ampiezza dei compiti e delle correlative responsabilità, nonché nella posizione di subordinazione dell’incaricato rispetto al titolare ed al responsabile del trattamento.

In ordine ai compiti si osserva, infatti, che l’incaricato ha accesso ai dati in modo limitato e strumentale rispetto ai compiti allo stesso affidati dal titolare o dal responsabile, rimanendo altresì sottoposto alle istruzioni da questi ultimi impartite.

L’individuazione dei compiti assegnati all’incaricato deve, anche qui, avvenire per iscritto.

Premesso quanto sopra, può osservarsi che il D.P.R. 318/99, nell’individuare gli standard minimi di sicurezza, ha prescritto diverse misure a seconda degli strumenti attraverso cui si procede al trattamento distinguendo, al riguardo, il trattamento cartaceo dei dati personali da quello effettuato a mezzo di elaboratori elettronici. In quest’ultimo caso, inoltre, le prescrizioni saranno diverse a seconda che gli elaboratori siano o meno accessibili in rete.

Per una migliore comprensione della materia giova, a questo punto, procedere utilizzando la classificazione che segue:

Misure minime di sicurezza individuate dal D.P.R. 318/99

Trattamento cartaceo dei dati personali

Il titolare o, se designato, il responsabile, in sede di nomina degli incaricati del trattamento e di individuazione specifica dei compiti, deve prescrivere che gli stessi abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati;

Gli atti e i documenti contenenti i dati personali devono essere conservati in archivi ad accesso selezionato. – A titolo esemplificativo, detta misura può ritenersi soddisfatta attraverso l’utilizzo di schedari muniti di serratura e provvedendo, altresì, ad individuare per iscritto i soggetti, diversi dal titolare del trattamento, legittimati ad accedere agli archivi e preposti alla custodia delle chiavi – ;

Gli atti ed i documenti, se affidati agli incaricati, devono essere da questi conservati e restituiti al termine delle operazioni loro affidate

Trattamento cartaceo dei dati sensibili

Gli atti e i documenti contenenti i dati sensibili, se affidati agli incaricati del trattamento, devono essere dagli stessi conservati, sino alla restituzione, in contenitori muniti di serratura;

L’accesso agli archivi deve essere controllato e devono essere identificati e registrati i soggetti che vi vengono immessi dopo l’orario di chiusura degli archivi stessi.

Le misure sopra illustrate devono essere adottate anche in riferimento alla conservazione e custodia dei supporti non informatici contenenti la riproduzione di informazioni relative al trattamento dei dati sensibili.

Trattamento dei dati effettuato mediante elaboratori elettronici non collegati in rete

Anteriormente all’inizio del trattamento occorre adottare le seguenti misure:

Previsione di una password per l’accesso ai dati che sarà fornita agli incaricati del trattamento e che potrà essere autonomamente sostituita ove lo consentano le caratteristiche tecniche dell’elaboratore;

Individuazione per iscritto, ove vi sia più di un incaricato del trattamento e sono in uso più password, dei soggetti preposti alla loro custodia o che hanno accesso alle informazioni che concernono le stesse.

Trattamento dei dati effettuato mediante elaboratori elettronici accessibili in rete e relativo a..

Si distingue, al riguardo, tra elaboratori collegati in rete tra loro ma non accessibili dall’esterno ed elaboratori accessibili mediante una rete di telecomunicazioni disponibile al pubblico. Le misure da adottare sono altresì diverse a seconda della diversa tipologia dei dati trattati.

… dati personali

Oltre alla previsione di apposite password per l’accesso, a ciascun utente o incaricato del trattamento dovrà essere attribuito un codice identificativo personale per l’utilizzazione dell’elaboratore;

I codici identificativi personali devono essere assegnati e gestiti in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consentiva l’accesso all’elaboratore o di mancato utilizzo degli stessi per un periodo superiore a sei mesi;

E’ prescritta l’adozione di idonei dispositivi antivirus contro il rischio di intrusioni ad opera di programmi diretti a danneggiare il sistema informatico. L’efficacia e l’aggiornamento dei suddetti dispositivi dovrà essere, altresì, verificata con cadenza almeno semestrale.

…dati sensibili

Oltre agli accorgimenti di cui sopra è altresì prescritto:

L’accesso ai dati sensibili, per effettuare operazioni di trattamento, è determinato sulla base di autorizzazioni rilasciate dal titolare o dal responsabile agli incaricati del trattamento, singolarmente o per gruppi di lavoro. Dette autorizzazioni sono suscettibili di revoca e, in ogni caso, dovrà essere accertata, con cadenza almeno annuale, la permanenza delle condizioni per la loro conservazione;

Se il trattamento dei dati sensibili è effettuato a mezzo di elaboratori accessibili mediante una rete di telecomunicazioni disponibile al pubblico, l’autorizzazione di cui sopra deve riguardare anche gli strumenti che possono essere utilizzati per l’interconnessione, ossia i singoli elaboratori attraverso cui è possibile accedere per effettuare le operazioni di trattamento;

L’autorizzazione all’accesso deve essere limitata ai soli dati la cui conoscenza risulti necessaria e sufficiente per lo svolgimento delle operazioni di trattamento;

Prima di consentire l’accesso ai dati è, comunque, necessario accertare la validità della richiesta medesima;

Se il trattamento dei dati sensibili viene effettuato a mezzo di elaboratori accessibili mediante una rete di telecomunicazioni disponibile al pubblico è, altresì, necessario predisporre un documento programmatico sulla sicurezza, da aggiornarsi con cadenza almeno annuale. Trattasi di un documento nel quale, previa analisi dei rischi che la banca dati corre, vengono disegnate le misure idonee ad evitarli. Per una maggiore completezza sul punto si rinvia a quanto disposto dall’art. 6 del D.P.R. 318/99.

In conclusione della superiore rassegna non può, inoltre, tacersi sulla circostanza che gli adempimenti relativi alla sicurezza sono in continuo divenire in relazione alle conoscenze acquisite in base al progresso della tecnica ed all’esperienza nel frattempo maturata. In questa direzione, infatti, l’art. 15, comma 3, della legge 675/96 prevede che le misure di sicurezza adottate dovranno essere periodicamente ridisegnate ed adeguate a quanto previsto in successivi regolamenti governativi, da emanarsi con cadenza almeno biennale. Le misure di sicurezza individuate nei suddetti regolamenti dovranno essere adottate dagli operatori entro il termine di sei mesi dalla loro entrata in vigore.

Doveroso è infine ricordare che l’omessa adozione, dolosa o colposa, delle misure necessarie a garantire la sicurezza dei dati, in violazione delle disposizioni regolamentari, risulta penalmente sanzionata con la reclusione sino ad un anno. Se dal fatto deriva nocumento la pena è della reclusione da due mesi a due anni. (art. 36, commi 1 e 2, legge 675/96).

Nel rinnovare Loro i sensi della mia stima, rimango a disposizione per ogni eventuale chiarimento in merito all’elaborato di cui sopra, nonché per eventuali successivi confronti su ulteriori aspetti relativi alla privacy, e colgo l’occasione per porgere Loro cordiali saluti.

Avv. Annalisa Barbera

Redazione

Scrivi un commento

Accedi per poter inserire un commento