Art. 30 (Incaricati del trattamento)
1. Le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite.
2. La designazione e’ effettuata per iscritto e individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la quale e’ individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unita’ medesima.
L’incaricato è il solo soggetto “certo”
Art. 31 (Obblighi di sicurezza)
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
In questo articolo vengono esaminati i c.d. rischi di distruzione e con le relative regole di conservazione. Inoltre si fa anche riferimento ai c.d. accessi non autorizzati per cui si reputa necessario l’utilizzo di tecniche di protezione dei propri dati ma anche di tecniche di controllo e verifica. Infine nel caso del trattamento non consentito risulta necessario oltre alla protezione anche il controllo “interno” all’ente (o agli enti nel caso di procedimenti che coinvolgono più soggetti): si pensi al caso Laziomatica preso in esame dal Garante sulla privacy.
Art. 33 (Misure minime)
1. Nel quadro dei più generali obblighi di sicurezza di cui all’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
Art. 34 (Trattamenti con strumenti elettronici)
1. Il trattamento di dati personali effettuato con strumenti elettronici e’ consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B), le seguenti misure minime:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilita’ dei dati e dei sistemi ;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Ogni misura “minima” va quindi dettagliata in una procedura operativa. Ma cosa succede in caso di procedimenti che richiedono l’interazione di più unità organizzative o di più enti? In Italia sorge il problema della responsabilità e delle competenze, ognuno vuole mantenere il controllo del suo contesto senza cedere nemmeno un piccolissimo potere!
Art. 39 (Obblighi di comunicazione)
1. Il titolare del trattamento e’ tenuto a comunicare previamente al Garante le seguenti circostanze:
a) comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento, effettuata in qualunque forma anche mediante convenzione;
b) trattamento di dati idonei a rivelare lo stato di salute previsto dal programma di ricerca biomedica o sanitaria di cui all’articolo 110, comma 1, primo periodo.
2. I trattamenti oggetto di comunicazione ai sensi del comma 1 possono essere iniziati decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione anche successiva del Garante.
Ma praticamente con il concetto di “regolamento” si ha un insieme di “esenzioni”quasi infinito. Per esempio la comunicazione della variazione di residenza dal comune alla Motorizzazione civile per l’aggiornamento della patente deve essere autorizzata dal garante? Inoltre (il titolo II: trattamenti da parte delle forze di polizia e il titolo III difesa e sicurezza dello stato) introducono ampie esenzioni
Art. 55 (Particolari tecnologie)
1. Il trattamento di dati personali che implica maggiori rischi di un danno all’interessato, con particolare riguardo a banche di dati genetici o biometrici, a tecniche basate su dati relativi all’ubicazione, a banche di dati basate su particolari tecniche di elaborazione delle informazioni e all’introduzione di particolari tecnologie, e’ effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell’interessato prescritti ai sensi dell’articolo 17 sulla base di preventiva comunicazione ai sensi dell’articolo 39
Meriterebbe un approfondimento! Si vedano in tal proposito alcuni provvedimenti legislativi emanati di recente dal Garante.
Art. 59 (Accesso a documenti amministrativi)
1. Fatto salvo quanto previsto dall’articolo 60, i presupposti, le modalità, i limiti per l’esercizio del diritto di accesso a documenti amministrativi contenenti dati personali, e la relativa tutela giurisdizionale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni e dalle altre disposizioni di legge in materia, nonché dai relativi regolamenti di attuazione, anche per ciò ‘ che concerne i tipi di dati sensibili e giudiziari e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. Le attività finalizzate all’applicazione di tale disciplina si considerano di rilevante interesse pubblico.
Tale articolo richiama il concetto di procedimento amministrativo e diritto di accesso ai documenti amministrativi analizzandone il c.d. procedimento di “semplificazione amministrativa” con i tutti i suoi attori: responsabile del procedimento, diritto ai soggetti interessati ad intervenire nel procedimento, conferenza dei servizi, etc.
Art. 60 (Dati idonei a rivelare lo stato di salute e la vita sessuale)
1. Quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento e’ consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi e’ di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.
Art. 62 (Dati sensibili e giudiziari)
1. Si considerano di rilevante interesse pubblico, ai sensi degli articoli 20 e 21, le finalità relative alla tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all’estero, e delle liste elettorali, nonché al rilascio di documenti di riconoscimento o al cambiamento delle generalità.
Art. 63 (Consultazione di atti)
1. Gli atti dello stato civile conservati negli Archivi di Stato sono consultabili nei limiti previsti dall’articolo 107 del decreto legislativo 29 ottobre 1999, n. 490.
Tale argomento è di una complessità tale, coinvolge così tanti soggetti, (pubblici e privati) che l’applicazione della sicurezza e della privacy è di tale rilevanza e difficoltà da poter essere preso come esempio paradigmatico
Art. 76 – 2 (Esercenti professioni sanitarie e organismi sanitari pubblici)
2. Nei casi di cui al comma 1 il consenso può essere prestato con le modalità semplificate di cui al capo II.
Ad esempio chi rifiuterebbe il consenso quando c’è di mezzo la sua salute? Il problema è la conservazione e l’uso delle informazioni nell’ambito dei sistemi informativi sanitari. Anche questo caso è di grande complessità (spesa pubblica, collegamenti tra diverse ASL/ospedali, disponibilità di analisi a fini diagnostici, screening, allergie, medicinali …) ma, nel poco tempo a disposizione potremo affrontare solo un esempio, anche se vedremo che molti temi sono comuni sia all’ambito anagrafico che a quello sanitario (così come a quello della proprietà, delle pensioni …)
Art. 104 (Ambito applicativo e dati identificativi per scopi statistici o scientifici)
1. Le disposizioni del presente capo si applicano ai trattamenti di dati per scopi statistici o, in quanto compatibili, per scopi scientifici.
2. Agli effetti dell’applicazione del presente capo, in relazione ai dati identificativi si tiene conto dell’insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare o da altri per identificare l’interessato, anche in base alle conoscenze acquisite in relazione al progresso tecnico.
Finalmente potremo pensare di usare dati resi “anonimi” !
Art. 100 (Dati relativi ad attività di studio e ricerca)
1. Al fine di promuovere e sostenere la ricerca e la collaborazione in campo scientifico e tecnologico i soggetti pubblici, ivi comprese le università e gli enti di ricerca, possono con autonome determinazioni comunicare e diffondere, anche a privati e per via telematica, dati relativi ad attività di studio e di ricerca, a laureati, dottori di ricerca, tecnici e tecnologie, ricercatori, docenti, esperti e studiosi, con esclusione di quelli sensibili o giudiziari.
2. Resta fermo il diritto dell’interessato di opporsi per motivi legittimi ai sensi dell’articolo 7, comma 4, lettera a).
3. I dati di cui al presente articolo non costituiscono documenti amministrativi ai sensi della legge 7 agosto 1990, n. 241.
4. I dati di cui al presente articolo possono essere successivamente trattati per i soli scopi in base ai quali sono comunicati o diffusi.
A questo punto si conclude la nostra analisi preliminare della normativa relativa al campo e alle modalità di attuazione della tutela della privacy. Gli altri temi (istruzione, lavoro e previdenza sociale, sistema bancario, finanziario e assicurativo, servizi di comunicazione elettronica, giornalismo, investigazione privata …) saranno approfonditi successivamente tenendo conto dei criteri generali appresi nel corso di tutto il percorso formativo del Master. Anche per ciò che concerne gli aspetti relativi alla tutela e sanzioni saranno oggetto di un approfondimento di tipo più prettamente giuridico. Ciò che sarà oggetto della nostra attenzione è conoscere quali sono i requisiti imposti dalla legge per poter individuare le soluzioni progettuali, organizzative e tecniche che ci permettono di realizzare sistemi che rispettano tali requisiti. La componente sanzionatoria ci può interessare solo per quanto riguarda la necessità di fornire la “prova” di eventuali comportamenti non conformi alla normativa o usi di sistemi informativi a scopi non autorizzati (si pensi sempre al caso Laziomatica) Di interesse è invece la parte relativa ad Internet riportata di seguito
Art. 133 (Codice di deontologia e di buona condotta)
1. Il Garante promuove, ai sensi dell’articolo 12, la sottoscrizione di un codice di deontologia e di buona condotta per il trattamento dei dati personali effettuato da fornitori di servizi di comunicazione e informazione offerti mediante reti di comunicazione elettronica, con particolare riguardo ai criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di comunicazione elettronica gestite da soggetti pubblici e privati rispetto ai tipi di dati personali trattati e alle modalità del loro trattamento, in particolare attraverso informative fornite in linea in modo agevole e interattivo, per favorire una più ampia trasparenza e correttezza nei confronti dei medesimi utenti e il pieno rispetto dei principi di cui all’articolo 11, anche ai fini dell’eventuale rilascio di certificazioni attestanti la qualità delle modalità prescelte e il livello di sicurezza assicurato.
Dall’analisi attenta di questo articolo si evince la responsabilità di individuare le modalità di uso della rete Internet per trasmettere dati personali/sensibili nel rispetto della normativa di sicurezza e di tutela della privacy. Tale attività risulta essere un compito insormontabile.
Guzzo Antonio
Scrivi un commento
Accedi per poter inserire un commento