*** Come molti sapranno, di recente è stato emanato dal Consiglio dei Ministri, in attuazione della legge delega n.127/01, il c.d. “Codice della Privacy”, che raccoglie – attraverso l’impianto normativo del T.U. – ed al fine di coordinare, semplificare ed accorpare, tutte le norme esistenti, stratificatesi nel tempo. Ricordiamo che la legge 675/96, così come anche il T.U., non concerne solamente la c.d. “riservatezza” (privacy), ma concerne il “trattamento di dati personali”, concetto assai più ampio di quello della sola riservatezza. Le definizioni di base esistenti sono state praticamente tutte riprodotte nel T.U, prendendo sia la legge 675/96, sia il DPR 318/99, sia i provvedimenti “di contorno”, come, per esempio, il dlgs n.171/98. Per precisa scelta il commento procederà articolo per articolo, definizione per definizione, cercando di evidenziare le novità del T.U. rispetto alla normativa esistente; per quanto possibile, il commento complessivo all’intero codice è rinviato ad ulteriori approfondimenti che verranno pubblicati al termine del commento sistematico. Avv. Luca-M. de Grazia (www.degrazia.it) [email protected] CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (Legge delega n. 127/2001) IL PRESIDENTE DELLA REPUBBLICA
VISTI gli articoli 76 e 87 della Costituzione; VISTO l’articolo 1 della legge 24 marzo 2001, n. 127, recante delega al Governo per l’emanazione di un testo unico in materia di trattamento dei dati personali; VISTO l’articolo 26 della legge 3 febbraio 2003, n. 14, recante disposizioni per l’adempimento di obblighi derivanti dall’appartenenza dell’Italia alle Comunità europee (legge comunitaria 2002); VISTA la legge 31 dicembre 1996, n. 675, e successive modificazioni; VISTA la legge 31 dicembre 1996, n. 676, recante delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali; VISTA la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati; VISTA la direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; VISTA la preliminare deliberazione del Consiglio dei ministri, adottata nella riunione del 9 maggio 2003; SENTITO il Garante per la protezione dei dati personali; ACQUISITO il parere delle competenti Commissioni parlamentari della Camera dei deputati e del Senato della Repubblica; VISTA la deliberazione del Consiglio dei Ministri, adottata nella riunione del 28 giugno 2003; SULLA PROPOSTA del Presidente del Consiglio dei Ministri, del Ministro per la funzione pubblica e del Ministro per le politiche comunitarie, di concerto con i Ministri della giustizia, dell’economia e delle finanze, degli affari esteri e delle comunicazioni; EMANA il seguente decreto legislativo:
PARTE I
Chiunque ha diritto alla protezione dei dati personali che lo riguardano.[1]
1. Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali [2], nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali. [3] 2. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento.[4]
1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo [5] l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
1. Ai fini del presente codice si intende per: "trattamento"[6], qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati; "dato personale"[7] , qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; "dati identificativi"[8], i dati personali che permettono l’identificazione diretta dell’interessato; “dati sensibili” [9], i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; “dati giudiziari” [10] , i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; "titolare" [11], la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; "responsabile" [12], la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; “incaricati” [13] , le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; "interessato"[14], la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; "comunicazione" [15], il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; "diffusione"[16] , il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; [17] "dato anonimo" [18], il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; "blocco" [19], la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; “banca di dati” [20], qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti; "Garante", l'autorità di cui all’articolo 153, istituita dalla legge 31 dicembre 1996, n. 675. 2. Ai fini del presente codice si intende, inoltre, per: “comunicazione elettronica”, ogni informazione scambiata o trasmessa tra un numero finito di soggetti[21] tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile[22]; “chiamata”[23], la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale; “reti di comunicazione elettronica” [24], i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato; “rete pubblica di comunicazioni” [25], una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico; “servizio di comunicazione elettronica”[26], i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall’articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002; “abbonato”[27], qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate; “utente”[28], qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata; “dati relativi al traffico”[29], qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione; “dati relativi all’ubicazione”[30], ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile al pubblico; “servizio a valore aggiunto”[31], il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all’ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione; “posta elettronica”[32], messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell’apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza. 3. Ai fini del presente codice si intende, altresì, per: [33] “misure minime” [34], il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell’articolo 31; “strumenti elettronici”[35] , gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento; “autenticazione informatica” [36], l’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità; “credenziali di autenticazione” [37], i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l’ autenticazione informatica; “parola chiave” [38], componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; “profilo di autorizzazione” [39], l’insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti; “sistema di autorizzazione” [40], l’insieme degli strumenti e delle procedure che abilitano l’accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. 4. Ai fini del presente codice si intende per: [41] "scopi storici", le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato; [42] "scopi statistici", le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici; "scopi scientifici", le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.
1. Il presente codice disciplina il trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato. [43] 2. Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici, salvo [44] che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea. In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali.[45] 3. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31.[46]
1. Le disposizioni contenute nella presente Parte si applicano a tutti i trattamenti di dati, [47] salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrative o modificative della Parte II.
1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L’interessato ha diritto di ottenere l’indicazione: dell’origine dei dati personali; delle finalità e modalità del trattamento; della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici; degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2; dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
3. L’interessato ha diritto di ottenere: l'aggiornamento, la rettificazione ovvero, quando vi ha interesse, l'integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati; l'attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato [49] il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. 4. L’interessato ha diritto di opporsi, in tutto o in parte: per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta; al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.
1. I diritti di cui all’articolo 7 sono esercitati con richiesta rivolta senza formalità al titolare o al responsabile, anche per il tramite di un incaricato, alla quale è fornito idoneo riscontro senza ritardo. 2. I diritti di cui all'articolo 7 non possono essere esercitati [50] con richiesta al titolare o al responsabile o con ricorso ai sensi dell’articolo 145, se i trattamenti di dati personali sono effettuati: in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio [51] in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estorsive;[52] da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione; da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità [53] inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; ai sensi dell’articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l’esercizio del diritto in sede giudiziaria; da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata [54], salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397 per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia; ai sensi dell’articolo 53, fermo restando quanto previsto dalla legge 1° aprile 1981, n. 121.[55] 3. Il Garante, anche su segnalazione dell’interessato, nei casi di cui al comma 2, lettere a), b), d), e) ed f), provvede nei modi di cui agli articoli 157, 158 e 159 e, nei casi di cui alle lettere c), g) ed h) del medesimo comma, provvede nei modi di cui all’articolo 160. 4. L’esercizio dei diritti di cui all’articolo 7, quando non riguarda dati di carattere oggettivo, può avere luogo salvo che [56] concerna la rettificazione o l’integrazione di dati personali di tipo valutativo, relativi a giudizi, opinioni o ad altri apprezzamenti di tipo soggettivo, nonché l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del titolare del trattamento. Note:
[1] Viene stabilito il principio generale in base al quale deve essere interpretata tutto il T.U. [2] Anche queste costituiscono delle affermazioni di principio, atte ad indicare delle linee guida nella interpretazione del T.U. [3] In questo caso viene replicata la struttura esistente della norma, che individua nella “riservatezza” un sotto insieme dei beni protetti attraverso la tutela dei dati personali. [4] Principi apparentemente in antitesi l’uno con l’altro; dovrebbero probabilmente essere interpretati nel senso che vi debba essere necessariamente una tutela del diritti di cui al 1° comma senza che però tali tutele possano andare contro il generale processo di semplificazione delle attività umane. [5] Principio generale importante e corretto; dovrà essere monitorata la sua applicazione pratica, proprio per la intrinseca natura “nascosta” dei trattamenti di dati effettuati attraverso le reti informatiche. Nella pratica si stabilisce il principio della “non eccedenza” del trattamento dei dati rispetto alle esigenze dell’interessato, attraverso la utilizzazione dei dati anonimi (più esattamente “anonimizzati”, essendo praticamente impossibile avere un dato anonimo data la definizione di dato personale del T.U.) [6] Si tratta praticamente della medesima definizione esistente, con la sola aggiunta della locuzione “anche se non registrati in una banca dati”, il che vuol dire che i dati non necessariamente debbano essere archiviati “ordinatamente”, ma è sufficiente che siano “comunque” archiviati. [7] Si tratta della medesima definizione esistente [8] Viene creata una nuova sotto categoria dei dati personali (espressione del concetto generale), come da definizione. Si sarebbe anche potuta eliminare la definizione di “dato personale”, ed adottare il termine “dato”, in quanto i medesimi continuano a riferirsi anche a soggetti diversi dalle persone fisiche e dalle persone giuridiche. La locuzione può continuare ad ingenerare confusione. [9] Si tratta della medesima definizione esistente [10] Anche in questo caso i criteri sono i medesimi adottati dalla vigente versione della 675/96. [11] Viene ampliato parzialmente il concetto di titolare, e viene introdotta in maniera esplicita la possibilità che vi siano contemporaneamente più titolari di trattamenti “congiunti”, ovvero che il medesimo trattamento possa essere condiviso tra soggetti che svolgano attività diverse ma complementari, con la necessità di una convergenza delle regole da stabilire. [12]Si tratta praticamente della medesima definizione esistente; si ripropone il problema del rapporto tra “titolare” e “responsabile” qualora le due figure non siamo parte della medesima struttura organizzativa. In altre parole, se il “responsabile” è soggetto esterno all’organizzazione “titolare” del trattamento, si ripropone il problema di come far eseguire le direttive del titolare da soggetto non gerarchicamente sottoposto al medesimo (tipicamente attraverso clausole contrattuali). In alcuni casi potrebbe essere utile la possibilità di utilizzare la co – titolarità. [13]Si tratta praticamente della medesima definizione esistente; viene chiarito che è “incaricato” qualunque soggetto che compia – se autorizzato – dei trattamenti sui dati personali. [14]Si tratta praticamente della medesima definizione esistente; sarebbe stato sufficiente parlare di “soggetto giuridico”. [15] Viene legislativamente chiarito cosa significhi “comunicazione”, anche se a tale definizione si era pervenuti seguendo i generali principi di interpretazione. [16] Anche in questo caso viene legislativamente chiarito cosa significhi “diffusione”, anche se a tale definizione si era pervenuti seguendo i generali principi di interpretazione. [17] Chiarimento dei termini comunicazione e diffusione; più esattamente si specifica che la “diffusione” e la “comunicazione” si attuano attraverso la “messa a disposizione” dei dati medesimi a terzi, in qualunque forma si compia tale attività. Viene indicata espressamente anche la semplice “consultazione”, che altro non è che una modalità di fruizione della “messa a disposizione”. [18] Specificazione della tipologia di dato come sotto insieme dei dati personali. [19] Specificazione del termine, utilizzato nel “vecchio” testo, insieme a molti altri. [20] Definizione del termine ai soli fini del T.U. in esame; il concetto è già conosciuto dall’ordinamento. Probabilmente l’utilizzazione della parola “siti” discende da una non corretta conoscenza della struttura delle reti informatiche; più correttamente si sarebbe dovuto parlare, onde evitare facili incomprensioni, di “elaboratori” ovvero di “risorse” (E’ noto che un sito [web] non sia altro che un elaboratore raggiungibile attraverso reti telematiche e attraverso determinati protocolli di comunicazione.) [21] La definizione riprende la definizione già espressa di “comunicazione”, e la estende alle comunicazioni effettuate “attraverso un servizio di comunicazione elettronica disponibile al pubblico” (qui non si comprende se debba essere “disponibile al pubblico” il servizio ovvero la comunicazione. Probabilmente si deve intendere tale “disponibilità” relativa al servizio, anche solo potenzialmente disponibile al pubblico, vista anche la definizione successiva di “rete pubblica di comunicazioni” L’unità di base che transita attraverso la “comunicazione elettronica” è “l’informazione”. [22] Espressa esclusione delle trasmissioni che facciano parte di un “servizio di radiodiffusione”, e sempre che tale servizio non sia collegato ad un rapporto relativo ad un “abbonato o utente ricevente, identificato o identificabile” [23] Definizione giuridica della “telefonata”, che potrebbe però estendersi a qualunque forma di comunicazione in tempo reale e bidirezionale effettuata attraverso le reti di TLC (video telefonata, chat vocale, video chat, ecc. ecc.), a prescindere anche in questo caso dal mezzo trasmissivo utilizzato e dalla tecnologia utilizzata. In realtà l’utilizzazione del termine “servizio telefonico” potrà portare a delle limitazioni del concetto medesimo, anche se la locuzione utilizzata è atta a comprendere non solamente la semplice telefonata, ma qualsiasi “servizio” effettuato per il tramite di un “terminale trasmittente / ricevente”. [24] Si ribadisce il concetto secondo il quale non è rilevante il mezzo trasmissivo, ma il “sistema” di comunicazioni e la comunicazione in quanto tale, a prescindere dalla tecnologia utilizzata per la trasmissione medesima. [25] Notare la differenza con la semplice “comunicazione elettronica” (che costituisce la “forma” della comunicazione); si tratta di un sistema di reti concettualmente comprensivo della definizione precedente ma finalizzato e/o utilizzato solamente per “fornire servizi …accessibili al pubblico”, anche se non viene chiarito se tale accessibilità deve essere intesa come mera possibilità (comprendendo quindi eventuali servizi a pagamento) oppure come reale e tangibile possibilità di accesso senza condizioni di sorta. [26] La definizione adottata sembra fare riferimento alla tipologia del c.d. “carrier”, ovvero del soggetto che svolga l’esclusiva funzione di “somministrare” la c.d. “connettività”, con esclusione di altre tipologie di servizi (similmente ai soggetti individuati dagli art. 14 e 15 del dlgs n.70/2003) [27] Abbonato quale utente che paghi un determinato servizio [28] Utente quale soggetto che semplicemente utilizzi, acceda ad un risorsa di telecomunicazioni, sia per fini commerciali sia per fini meramente non commerciali. [29] Definizione chiara di una categoria dei dati finalizzata alla sola fatturazione ovvero alle sole necessità tecniche della trasmissione. [30] Sotto insieme di dati (probabilmente tecnicamente inscindibili alla fonte) utilizzabili separatamente da un punto di vista legale, relativi alla possibilità di individuare geograficamente una apparecchiatura connessa alla rete di TLC. [31] Definizione sufficientemente “contorta” per definire, in via negativa, tutti i servizi che non rientrino ovvero non si sostanzino nel trattamento dei dati relativi al traffico ovvero all’ubicazione, come precedentemente spiegato. [32] Definizione che può apparire a prima vista incomprensibile, posto che sembrerebbe non considerare più “posta elettronica” i messaggi una volta pervenuti nella materiale disponibilità del ricevente; con ogni probabilità, anche in collegamento con l’art.17 del T.U. n.445/2000 e dall’art.623-bis c.p., nonché con quanto stabilito dalla Suprema Corte in materia di “corrispondenza”, si è voluto porre l’accento sulla circostanza che il “dato”, il “messaggio” deve essere considerato come corrispondenza (e quindi godere delle relative tutele) solamente nel momento in cui viene trasmesso e/o memorizzato per la trasmissione, con l’esonero di obblighi nei confronti dei soggetti “partecipanti” alla trasmissione nel momento in cui tale messaggio venga ad essere nella materiale disponibilità del ricevente e venga da questi “aperto”. (Art.616 c.p.: Chiunque prende cognizione del contenuto di una corrispondenza chiusa, a lui non diretta….è punito, se il fatto non è preveduto come reato da altra disposizione di legge, con la reclusione fino a un anno o con la multa da 30 euro a 516 euro) E’ noto che la posta elettronica non cifrata viene concordemente considerata come “corrispondenza aperta”, per cui la semplice “presa di cognizione” non integra la fattispecie di cui all’art.616 c.p.. Ovviamente con molta facilità possono scattare le altre ipotesi previste dal medesimo articolo. Il tutto deve anche essere coordinato (ma non appaiono sorgere problemi in tal senso, con gli art. 617-quater e 617-quinquies c.p. [intercettazioni]). [33] Le definizioni che seguono facevano parte, nel sistema antecedente al T.U., dell’impianto normativo previsto dl DPR n.318/99, in attuazione dell’art.15, 2° comma, della legge 675/96. Nel testo unico tutte le norme sono state raggruppate. [34] Le misure minime di sicurezza vengono definite come un insieme di misure non solamente tecniche, ma anche organizzative, logiche e strutturali, e quindi anche legali. [35] Definizione quanto mai ampia di “strumento elettronico”, anche al fine di dirimere questioni sorte in precedenza. E’ strumento elettronico anche quello automatizzato ma non elettronico? La norma dovrebbe essere intesa nel senso di comprendere anche gli strumenti “informatici” che non sfruttino solamente tecnologie elettroniche (elettromagnetiche, a fotoni, ecc. ecc.). [36] Si tratta di una novità, ripresa in parte dal testo recentemente modificato del T.U. n.445/2000; si chiarisce una volta per tutte che il termine “autenticazione informatica”, spesso usato nella comunità tecnica, ha il significato di collegamento di un “soggetto” ad una risorsa, qualora questo collegamento consenta di risalire al soggetto medesimo. [37] Definizione degli “oggetti informatici” necessari affinché possa esistere la procedura di autenticazione informatica [38] Elemento che fa parte delle credenziali di autenticazione; in realtà qui l’utilizzazione del termine potrebbe indurre in errore, in quanto potrebbe essere scambiata per la c.d. “user id”. Tuttavia il riferimento alla circostanza che la parola chiave dovrebbe essere nota “solo all’interessato” può chiarire l’esatto significato del termine medesimo, traduzione dell’inglese “password”, tipicamente utilizzata nei sistemi informatici in unione alla “user id” [identificativo utente]. [39] Si tratta della “traduzione” in termini legali dell’attività c.d. di “profilazione”, necessaria al fine di concedere diversi poteri sul sistema informatico a diverse categorie di utenti / utilizzatori / incaricati del trattamento. Ad ogni categoria possono e devono essere assegnati “poteri” diversi in maniera conforme e coordinata all’organigramma della struttura preposta al trattamento ed alla tipologia di trattamento autorizzato. [40] Il sistema informatico che sovrintende alle procedure ed agli strumenti necessari affinché l’apparato sopra descritto possa funzionare. [41] Poiché, sulla scorta della normativa pre vigente, ed anche nel T.U., la raccolta di dati per gli scopi di seguito indicati godeva dell’esenzione da alcune formalità, si è ritenuto opportuno chiarire esattamente il significato di tali termini, anche al fine di evitare, per quanto possibile, l’utilizzazione capziosa ed elusiva della legge di questi trattamenti per particolari scopi. [42] Appare elemento dirimente la necessità che i dati concernano il passato, inteso in senso storico. [43] Corretto chiarimento, conseguenza diretta del principio di sovranità. [44] Si riprende l’esenzione dalla T.U. per chi eserciti attività di mero trasporto dei dati attraverso strumenti elettronici. [45] Viene stabilita la procedura da utilizzare nel caso in cui si debba applicare il T.U.; in pratica si stabiliscono le modalità attraverso cui sia possibile individuare un soggetto responsabile. [46] La norma riproduce praticamente l’art.3 della 675/96; totale esenzione per i trattamenti effettuati a scopo personale, salvo le norme relative alla sicurezza in senso stretto. [47] Si tratta di norma “organizzativa”, nel senso che, nell’ambito dell’impostazione sistematica del T.U., chiarisce l’ambito di applicazione delle norme medesime. [48] Riproduce l’art.13 della 675/96; da notare la lettera ( C ) del secondo comma che specifica la possibilità di sapere quale “logica”, quale organizzazione strutturale, esista “dietro” un trattamento di dati personali. [49] Si tratta di una “esenzione” che va richiesta – motivatamente - di volta in volta al Garante. [50] La limitazione all’esercizio dei diritti spettanti all’interessato è effettuata “ratione materiae”. [51] Decreto-legge 3 maggio 1991, n. 143 (in Gazz. Uff., 8 maggio, n. 106). - Decreto convertito in l. 5 luglio 1991, n. 197 (in Gazz. Uff., 6 luglio 1991, n. 157). -- Provvedimenti urgenti per limitare l'uso del contante e dei titoli al portatore nelle transazioni e prevenire l'utilizzazione del sistema finanziario a scopo di riciclaggio [52] Decreto-legge 31 dicembre 1991, n. 419 (in Gazz. Uff., 2 gennaio, n. 1). - Decreto convertito in l. 18 febbraio 1992, n. 172 (in Gazz. Uff., 28 febbraio 1992, n. 49). -- Istituzione del Fondo di sostegno per le vittime di richieste estorsive [53] In questo caso il divieto vale solamente per le finalità indicate dal presente articolo. [54] Su questo terreno si aprirà sicuramente un dibattito, posto che le decisioni sin qui prese dal Garante non sono andate esenti da critiche; si tratta di compenetrare i diritti stabiliti dal T.U. con quelli, altrettanto fondamentali, relativi all’esercizio del diritto di difesa, attuato anche a mezzo delle c.d. “investigazioni difensive”. A modesto parere di chi scrive il pregiudizio allo svolgimento è “in re ipsa” nella negazione ad accedere al dato medesimo. [55] Legge 1 aprile 1981, n. 121 (in Suppl. ordinario alla Gazz. Uff., 10 aprile, n. 100). - Nuovo ordinamento dell'Amministrazione della pubblica sicurezza [56] Anche in questo caso di tratta di una specificazione derivata dall’esperienza pregressa. Si chiarisce che l’accesso può riguardare i dati di carattere oggettivo, ma non i giudizi, le opinioni, le valutazioni in qualunque modo espresse dal titolare, anche se sulla base di trattamenti di dati relativi all’interessato medesimo. Una cosa sono i “dati”, pur nella accezione assai ampia del T.U., altra cosa sono i giudizi, le valutazioni espresse in base al “trattamento” di tali dati. Può essere richiesta la modifica o l’integrazione del dato, non automaticamente del relativo giudizio, a meno che – ovviamente – tale giudizio non si basi esclusivamente su risultanze errate dei dati medesimi (per esempio, un diniego di finanziamento derivante da non corretta registrazione delle partite dare / avere). |
|
|