940 likes | 1.1k Views
UNIVERSITA’ DEGLI STUDI DI TRIESTE Ripartizione Sistema documentale e procedurale . LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI dott.ssa Serena Bussani . Origine del diritto alla privacy e quadro normativo di riferimento. Un po’ di storia….
E N D
UNIVERSITA’ DEGLI STUDI DI TRIESTERipartizione Sistema documentale e procedurale LA DISCIPLINA IN MATERIA DI PROTEZIONE DEI DATI PERSONALI dott.ssa Serena Bussani
Origine del diritto alla privacy e quadro normativo di riferimento
Un po’ di storia…. • Le origini al diritto alla privacy risalgono a due giuristi statunitensi, S. Warren e Louis Brandeis, che nel 1890 diedero alle stampe il saggio “The right of privacy” . • Secondo questi autori privacy diritto ad essere lasciati soli (“the right to be let alone”), diritto alla riservatezza della propria sfera privata, a non subire intrusioni indesiderate nella propria vita intima.
. • Pretesa dell’individuo di essere il solo a determinare in che misura egli desidera condividere parte di sé con altri • diritto di controllare la diffusione dell’informazione circa se stessi
Panorama normativo • Il primo esplicito riconoscimento normativo del diritto alla privacy si rinviene nella Convenzione Europea dei diritti dell’Uomo (1950), la quale, all’art. 8, riconosce fra i diritti fondamentali dell’uomo quello “al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.”
. • Attorno al 1970, sono comparse le prime leggi nazionali in materia (Svezia, Rep. Federale tedesca, Danimarca, Norvegia, Francia e Austria). • Normative però, molto disomogenee, il che ha spinto il legislatore Europeo ad intervenire.
. • Convenzione Europea sulla protezione dei dati (1981) enuclea dei principi fondamentali che ciascun paese contraente si impegna a garantire. • Strumento però astratto e privo di efficacia vincolante
. • Direttiva 95/46/CEE “Tutela delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati” dd. 24/10/1995. • Sotto la spinta del legislatore comunitario, nonché al fine di permettere l’ingresso nel “sistema Schengen”, finalmente anche l’Italia approva una circa il trattamento dei dati personali.
. • Legge 31 dicembre 1996 n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” garantisce “che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza ed all’identità personale.” (art. 1)
La Privacy in Italia • Prima della l. 675/96 nessuna normativa generale ma accenni alle riservatezza in normative particolari • Statuto dei lavoratori (1970) E’ fatto divieto al datore di lavoro effettuare indagini sulle opinioni politiche, religiose e sindacali dei lavoratori.
La l. 675/1996 • Dalla segretezza al controllo: ciò che viene tutelato,nella l. 675/96, non è più il “diritto a essere lasciato in pace” (privacy “statica”) bensì il diritto al controllo sulla circolazione (ormai inevitabile) dei propri dati personali (privacy “dinamica”).
. Pertanto non più protezione di un indifferenziato e approssimativo interesse all’isolamento, bensì potere di controllo sulla circolazione delle informazioni che ci riguardano.
. • Scopo della normativa è la protezione dei dati personali, intesi quali informazioni relative ad una persona (fisica o giuridica). • La protezione del dato personale (cioè dell’informazione relativa ad una persona) è riconosciuta quale “diritto della personalità”.
. • In questo senso la legge 675/96 individua un complesso di diritti riguardanti specificamente il trattamento dei dati personali, ossia: a) il diritto di informazione b) il diritto ad intervenire sul trattamento c) il diritto di opposizione al trattamento stesso
Successivamente alla l. 675/96….. In Europa • Carta dei diritti fondamentali dell’Unione Europea dd. 7/12/2000 Rispetto della vita privata e familiare e diritto alla protezione dei dati di caratteri personale • Direttiva n. 2002/58/CE - trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche
Successivamente alla l. 675/96….. In Italia • D.Lgs. 135/99 (per l’utilizzo dei dati sensibili da parte della PA) • D. Lgs 281/99 (finalità storiche, statistiche e ricerca) • DPR 318/99 (misure minime di sicurezza) • L. 127/2001 (delega al Governo di fare un TU) • D. Lgs 467/2001 (semplificazione adempimenti, notifica, ecc.)
Il Codice sulla protezione dei dati personali (D.lg. 196/2003): applicazioni ed adempimenti per la P.A.
Il nuovo codice….. • Il 29 luglio 2003 è stato pubblicato sulla Gazzetta Ufficiale Serie generale n. 174, Supplemento ordinario n. 123/L il nuovo Codice in materia di protezione dei dati personali
E’ un testo unico • Il testo unico in materia di protezione dei dati personali denominato "Codice" della privacy è ispirato all' introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione
Raccoglie sei anni di esperienza • Il provvedimento, sulla base dell'esperienza di 6 anni, riunisce in unico contesto la legge 675/96 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della "giurisprudenza" del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche
Unifica le normative • Il Codice, che rappresenta il primo tentativo in Europa di conformare le innumerevoli disposizioni relative anche in via indiretta alla privacy, è entrato in vigore quasi integralmente il 1 gennaio 2004
Gli adempimenti e le scadenze per la P.A. • 30 aprile 2004: Notificazione al Garante del trattamento dei dati di cui all’art. 37 (dati genetici, biometrici, dati trattati ai fini di procreazione assistita, ecc.) • 31 dicembre 2005: Adozione delle “nuove” misure minime di sicurezza (artt. da 33 a 35 TU e ALL. B non previste dal DPR 318/99 allegato B) Redazione del Documento Programmatico sulla sicurezza Adozione dei Regolamenti sul trattamento dei dati sensibili di sicurezza dall’1 gennaio 2004
Le norme in soffitta…. DALL’1 GENNAIO 2004 SONO ABROGATE CON L’ENTRATA IN VIGORE DEL NUOVO CODICE VARIE NORME DI LEGGE FRA CUI: L. 675/96 D.L.VO 135/99 D.L.VO 281/99 eccetto artt. 8 comma 1, 11 e 12 D.L.VO 282/99 DPR 318/99 di sicurezza dall’1 gennaio 2004
Il futuro del codice... • Primo esperimento di un Testo Unico sulla Privacy. • Compito non facile, considerato che il tema della riservatezza attraversa tutti gli ambiti del vivere (privacy nei luoghi di lavoro, negli ambulatori, nelle conversazioni telefoniche) • Non tutto può essere messo “dentro un codice” (rischio di gigantismo legislativo) • Integrabile con strumenti più snelli come le spiegazioni del garante o i codici deontologici di sicurezza dall’1 gennaio 2004
Il Garante per la protezione dei dati personali • E’ un’autorità amministrativa indipendente istituita dalla l. 675/96 e riconfermata dal TU (artt. 153-160)
In Italia come in Europa….. • L'istituzione di analoghe autorità è prevista in tutti gli altri Paesi membri dell'Unione Europea (direttiva comunitaria 95/46/CE).
Composizione • E’ organo collegiale costituito da quattro componenti eletti dal Parlamento, scelti fra persone, esperte di diritto ed informatica, che assicurino indipendenza. (art. 153 TU) • Alle sue dipendenze è posto l’Ufficio del Garante, diretto da un Segretario generale scelto tra magistrati ordinari o amministrativi.
Compiti • Controlla che i trattamenti dei dati personali siano effettuati nel rispetto della disciplina applicabile ed in conformità alla notificazione; • Esamina reclami e segnalazioni e provvede sui ricorsi presentati dagli interessati; • segnala al Parlamento e al Governo l’opportunità di interventi normativi nel settore
. • Compie ispezioni e può comminare sanzioni amministrative pecuniarie in caso di violazione delle disposizioni in materia di tutela dei dati personali; • Denuncia i fatti configurabili come reati perseguibili d’ufficio dei quali viene a conoscenza nell’esercizio o a causa delle sue funzioni;
. • Promuove la sottoscrizione dei codici di deontologia e buona condotta • Cura la diffusione della conoscenza della normativa in materia di protezione dei dati personali.
Le regole generali per il trattamento dei dati personali e le misure minime di sicurezza
DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI ART. 1 TU CHIUNQUE ha diritto alla protezione dei dati personali che lo riguardano
Principio di necessità ART. 3 TU I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi o opportune modalità che permettano di identificare l’interessato solo in caso di necessità
. I diritti dell’interessato
. • Diritti di informazionetesi a procurare all’interessato la conoscenza di determinate situazioni. Sono riassumibili nel figura più ampia del diritto di accesso ai propri dati, il cui contenuto va dal - diritto di ottenere la conferma dell’esistenza o meno di dati che lo riguardano al - diritto di avere la loro comunicazione in forma intelligibile
. • La conformità del trattamento alla volontà dell’interessatodiritti tesi ad ottenere: - l’aggiornamento, la rettifica ovvero, quando vi sia interesse, l’integrazione dei dati - la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge • L’opposizione diritto ad opporsi: - per motivi leciti e documentati al trattamento, anche qualora effettuato in modo legittimo - al trattamento qualora effettuato al fine di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato. In tale caso non occorre motivazione.
Come si esercitano i diritti? • Richiesta rivolta senza formalità al titolare o al responsabile, anche tramite un incaricato • Alla richiesta deve essere fornito idoneo riscontro “senza ritardo” • I dati richiesti sono comunicati: - oralmente - offrendoli in visione mediante strumenti elettronici - trasponendoli su supporto cartaceo o informatico o trasmettendoli per via telematica, semprechè simili modalità siano state espressamente richieste - quando l’estrazione dei dati risulti difficoltosa, mediante esibizione o consegna in copia degli atti o documenti che li contengono.
. Alcune definizioni ……..
Dato personale Qualsiasi informazione, di ogni tipo (non solo dati anagrafici o economici ma anche immagini, suoni, codici identificativi), relativa ad un soggetto, che possa consentire l’identificazione diretta o indiretta del soggetto cui il dato si riferisce. E’ dato personale, in buona sostanza, ciò che permette di differenziare un soggetto da tutti gli altri .
Trattamento dei dati personali QUALUNQUE operazione o complesso di operazioni effettuati anche senza l’ausilio di strumenti elettronici concernente: raccolta, registrazione, organizzazione, conservazione, consultazione, eleborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione, distruzione di dati anche se non registrati in una banca dati
Banca dati • Insieme di dati (e quindi di informazioni personali), raccolti in una o più unità di supporto (cartacee o informatiche), ed organizzati secondo un criterio determinato tale da facilitarne il trattamento.
Tipologie di dati • Dati identificativi: dati personali che permettono l’identificazione diretta dell’interessato (nome e cognome, data di nascita, codice fiscale, ecc.) • Dati anonimi: dati che in origine o a seguito di trattamento non possono essere associati ad un interessato identificato od identificabile.
. • Dati sensibili: dati personali, attinenti alla sfera più intima di ciascun soggetto, per i quali l’ordinamento appresta una tutela rafforzata. E’ considerato dato sensibile ogni dato personale idoneo a rivelare: - l’origine razziale ed etnica - le convinzioni religiose, filosofiche o di altro genere - le opinioni politiche - l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale. - lo stato di salute e la vita sessuale.
. • Dati giudiziari: dati personali idonei a rivelare procedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative da reato, carichi pendenti, qualità di imputato o di indagato.
Soggetti del trattamento • TITOLARE PERSONA FISICA, GIURIDICA, PA, ENTE, ASSOCIAZIONE, CUI COMPETONO LE DECISIONI IN ORDINE ALLE FINALITA’, ALLE MODALITA’ DI TRATTAMENTO DI DATI PERSONALI ED AGLI STRUMENTI UTILIZZATI COMPRESO IL PROFILO INERENTE LA SICUREZZA. • RESPONSABILE PERSONA FISICA, GIURIDICA, PA, ENTE, ASSOCIAZIONE PREPOSTO DAL TITOLARE AL TRATTAMENTO DI DATI PERSONALI • INCARICATO PERSONA FISICA AUTORIZZATA A COMPIERE OPERAZIONI DI TRATTAMENTO DAL TITOLARE O DAL RESPONSABILE • INTERESSATO PERSONA FISICA, GIURIDICA, ENTE O ASSOCIAZIONE CUI SI RIFERISCONO I DATI PERSONALI
Più specificamente... • Iltitolare del trattamento, nel caso degli enti pubblici, è quindi l’amministrazione nel suo complesso, non chi la rappresenta. • Il responsabile del trattamento viene designato facoltativamente. Può essere più d’uno (soggetti di diverso livello gerarchico, per aree materie di interesse, per competenza tecnica) I suoi compiti devono essere analiticamente specificati per iscritto
. • Gli incaricati del trattamento sono solo e soltanto persone fisiche, autorizzate a compiere operazioni di trattamento operanti sotto la diretta autorità del titolare o del responsabile. • Devono essere designati per iscritto con individuazione dell’ambito di trattamento consentito. • La designazione può essere anche fatta in maniera “riassuntiva”, mediante individuazione dell’ambito di trattamento consentito agli addetti ad una unità organizzativa e la documentata preposizione della persona fisica alla stessa.
. Le regole per tutti i trattamenti
. I dati personali oggetto di trattamento devono essere: • trattati in modo lecito e secondo correttezza • raccolti e registrati per scopi determinati, espliciti e legittimi • esatti e, se necessario, aggiornati • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti e trattati • conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali sono stati raccolti
. Sanzione per il mancato rispetto di queste norme inutilizzabilità dei dati.