La legge sulla privacy
30.11.2020

Per anni si è parlato di legislazione in merito alla data protection, ma non è mai stato fatto nulla sino a quando la comunità europea ne ha fatto uno dei punti cardine per entrare a far parte dell'accordo di Schengen. Poiché la globalizzazione dei mercati in atto comporta una capillare diffusione dei dati, l'accordo di Schengen ha voluto di conseguenza garantire il dato personale emanando una direttiva comunitaria. L'Italia ha deciso di approvare per prima, tra i paesi europei, la legge di adeguamento alla direttiva comunitaria in questione.
Per accorciare i tempi, questa è stata approvata senza preoccuparsi di darle una forma chiara e ben definita nei contenuti. Il 31/12/1996 è stata così approvata la legge 675. In definitiva il testo è molto più restrittivo di quello delle leggi emanate in tutti gli altri stati membri.


Nel contempo è stata approvata una legge delega (676/96), che delegava il Governo ad emanare regolamenti più specifici entro Luglio '98. Questi regolamenti avrebbero dovuto integrare, correggere, modificare la legge 675, regolamentando in particolare alcuni settori aventi come attività principale l'elaborazione dei dati. Sino ad ora non è però stato approvato nulla. Si è poi giunti, nel nostro campo, alle veste definitiva del testo di legge con l’nformativa ai sensi dell'art. 13, d. lgs 196/2003


vedi esempio completo di testo da applicare


Gli attori di questa legge sono:
- il Garante per la tutela dei dati personali: ci sono quattro persone con conoscenze giuridiche e/o informatiche le cui funzioni sono di garanzia e rispetto della legge, verifica e rispetto degli standard di sicurezza previsti e gestione dei diritti dell'interessato;
- il Titolare può essere una persona giuridica, ente, associazione, pubblica amministrazione cui competono modalità, finalità, sicurezza, trattamento di dati personali. Quando il titolare è un'azienda, si intende attribuire la responsabilità al Consiglio d'Amministrazione. Possono esistere casi di cotitolarietà, ad esempio per Fiat e le sue 800 concessionarie, oppure per Toro assicurazioni ed agenzia "S04 Torino Lingotto"; in questi casi sede centrale e filiali sono equamente titolari dei dati dei medesimi clienti. Le misure di sicurezza che il titolare deve garantire sono di tre tipi: organizzative, fisiche e logiche (vedere allegati a fondo capitolo).
- Il Responsabile/i (interni o esterni): può essere una persona fisica o giuridica, ente, associazione, pubblica amministrazione, che mette a disposizione know-how tecnico per elaborare i dati o colui che gestisce direttamente i dati;
- l'Incaricato: è colui che tratta i dati, è una persona. Non essendo stata più precisa la legge, l'interpretazione data da molti è che si possa trattare di persona fisica o giuridica, nella veste di legale rappresentante.


Le nomine del titolare, del responsabile e dell'incaricato devono avvenire con atto formale (vedere allegati a fondo capitolo). E’ altresì richiesta la redazione dei relativi mansionari.
La legge196 fornisce poi alcune utili definizioni:
- banca dati: qualsiasi complesso di dati personali, ripartiti in una o più unità, organizzati secondo criteri determinati per facilitarne il trattamento;
- trattamento: qualsiasi operazione o complesso di operazioni con o senza l'ausilio di mezzi elettronici relativi alla raccolta, registrazione, organizzazione, elaborazione, modifica, estrazione, utilizzo, comunicazione, cancellazione, distruzione, ... di dati;
- dato personale: qualunque informazione relativa a persona fisica o giuridica, ente, associazione identificati direttamente o indirettamente;
- dati sensibili: dati personali che possono rivelare origini razziali o etniche, convinzioni religiose, filosofiche o politiche, salute e vita sessuale (questi dati possono essere trattati solo su preventiva richiesta al Garante e firma dell'interessato);
- dato anonimo: dato non associabile direttamente o indirettamente ad un interessato;
- blocco: conservazione di dati personali con sospensione temporanea di qualsiasi forma di trattamento;
- comunicazione: dare conoscenza di dati personali a uno o più soggetti determinati;
- diffusione: dare conoscenza di dati personali a soggetti indeterminati.


Le aziende devono presentare un documento al garante: la notificazione. La notificazione al garante è una dichiarazione in cui l'azienda deve indicare cos'è contenuto nella propria banca dati nonché le finalità, modalità, natura, luogo di custodia, utilizzo e misure di sicurezza dei dati trattati, le generalità del titolare e del responsabile. Essa va presentata preventivamente, una sola volta e ogni qualvolta cambi anche uno solo degli elementi oggetti della notificazione. Non devono presentare la notificazione se l'attività svolta dall'azienda riguarda il trattamento dei dati relativi a persone giuridiche, enti o associazioni.
Per i dati detenuti prima dell’8 maggio '97 la notificazione dovrà essere effettuata entro due date a seconda che i dati siano automatizzati o meno: nel primo caso essa andrà fatta tra il 1° gennaio '98 ed il 31 marzo dello stesso anno; nel secondo caso tra il 1° aprile e giugno dello stesso anno. Per i dati raccolti dopo l’8 agosto '97 la notificazione dovrà essere preventiva. Se la notificazione non viene presentata o è infedele sono previste sanzioni penali.
Per la tutela dell'interessato, ossia di colui i cui dati si riferiscono, la legge ha previsto un diritto di informazione. Nel caso in cui i dati siano raccolti presso l'interessato l'informazione deve essere resa espressamente alla raccolta dei dati: dovrà essere fornita sempre per iscritto tranne nel caso in cui la raccolta sia stata effettuata telefonicamente.
Se i dati non sono raccolti presso l'interessato l'informazione va resa espressamente all'atto della registrazione oppure alla prima comunicazione. Anche in questo caso l'informazione sarà fornita a voce nel solo caso di utilizzo del telemarketing.
Nessun dato personale può essere utilizzato senza il consenso espresso dell'interessato. Il consenso espresso è manifestazione di volontà anche senza firma (per esempio spedire un coupon con i propri dati significa dare di propria volontà i dati stessi).

L'interessato deve venire a conoscenza di:
- finalità e modalità del trattamento
- ambito della comunicazione-diffusione
- generalità del titolare e del responsabile
- diritti di accesso e rettifica


Ogni qual volta venga richiesto all'interessato di comunicare alcuni dati che lo riguardano, occorre che il soggetto dia il consenso al trattamento degli stessi. Il consenso non è richiesto se i dati raccolti sono strumentali allo svolgimento di attività economiche o se i dati provengono da pubblici registri o desumibili da elenchi accessibili a tutti (ACI, telefonico, anagrafe).


Il diritto di accesso e rettifica consiste in:
- accesso gratuito al registro dei trattamenti gestito dal Garante
- verifica dell'esistenza dei propri dati
- integrazione-modifica dei dati
- opposizione gratuita al trattamento o ad alcune sue fasi(in genere ci si può opporre solo per giusta causa, la quale non è però necessaria se la finalità del trattamento è di tipo commerciale)
- cancellazione, blocco, trasformazione in forma anonima.


Le aziende hanno sentito quindi la necessità di rivolgersi a strutture costruita a norma di legge che si occupino di direct, che possano reperire liste ufficiali e che non usino il file dei clienti per proprio tornaconto arricchendo le liste delle aziende concorrenti.


L'informativa deve contenere:
- le finalità e le modalità del trattamento cui sono destinati i dati;
- la natura obbligatoria o facoltativa del conferimento dei dati;
- le conseguenze di un eventuale rifiuto di rispondere;
- i soggetti a cui possono essere comunicati i dati;
- i diritti dell'interessato;
- le coordinate del titolare ed anche del responsabile.Il diritto di conoscenza significa:
- diritto di accedere al registro dei trattamenti tenuto dal Garante;
- diritto di chiedere al titolare del trattamento di cancellare, trasformare, aggiornare, rettificare o integrare i dati;
- diritto di opporsi al trattamento compreso quello per l'invio di materiale pubblicitario o di vendita diretta per le ricerche di mercato.


Il consenso non è previsto:
- per dati detenuti in base a un obbligo di legge;
- per l'esecuzione di obblighi contrattuali e precontrattuali in cui sia coinvolto l'interessato;
- per dati provenienti da registri pubblici;
- per trattamenti finalizzati a scopi di ricerca scientifica o statistica;
- per trattamento effettuato nell'esercizio della professione giornalistica;
- per dati relativi allo svolgimento di attività economiche;
- per trattamento necessario alla salvaguardia della vita dell'interessato o di un
terzo;
- per trattamento necessario per investigare per far valere i propri diritti in
giudizio.

Tra le misure organizzative il Garante ha evidenziato:
1. Le misure procedurali
- analisi dei rischi
- controlli periodici
2. I piani informativi e formativi
- redazione di linee-guida di sicurezza
- istruzioni interne
- formazione professionale
3. Le misure di pianificazione
- assegnazione di incarichi
- consultazioni registrate
- piano di disaster/recovery
4. La strutturazione dei dati
- classificazione dei dati
misure graduate per classi di dati
5. La programmazione sugli archivi
- verifiche periodiche dei dati ai fini della compatibilità delle finalità
- sorveglianza sulla distruzione dei supporti


Tra le misure fisiche sono state indicate:
1. Quelle volte a tutelare la sicurezza della logistica
- vigilanza della sede
- ingresso controllato nei locali
- adozione di sistemi di allarme
- registrazione accessi
- autenticazione accessi
2. Le misure volte a garantire la custodia dei dati
- custodia in classificatori o armadi non accessibili
- deposito in cassaforte
- custodia in armadi blindati
3. I rimedi finalizzati alla conservazione dei dati
- dispositivi antincendio
- gruppi di continuità elettrica
- verifica leggibilità supporti


Tra le misure di sicurezza di tipo logico sono state annoverate:
1. Identificazioni ed autenticazioni
- identificazioni utente
- autentificazione utente
2. Controllo accessi
- controllo accessi
- registrazione accessi
3. Antivirus
- controlli antivirus
4. Autenticità
- sottoscrizione elettronica
5. Criptazione
- cifratura dati trasmessi
- cifratura dati memorizzati
6. Registrazioni e rilevazioni
- annotazione fonte dei dati
- annotazione responsabile dell'operazione
- rilevazione di intercettazioni
- monitoraggio continuo sessioni di lavoro
- controllo supporto dati in manutenzione
7. Automatismi
- sospensione automatica sessioni di lavoro
- verifiche automatizzate dei requisiti dei dati.


N.B: E’ di rilievo anche l’obbligo di richiedere espressamente il consenso sul canale di comunicazione che l’utente desidera. Va dunque esplicitato se il cliente può essere contattato via posta tradizionale, telefono o email.