1
INTRODUZIONE
La sicurezza nel trattamento dei dati personali e la loro protezione è un
tema di grande attualità. Per rendersene conto basta effettuare una ricerca in
internet con un comune motore di ricerca. Ci sono più di un milione di pagine
in italiano dedicate all’argomento e almeno un centinaio di notizie al mese
sulle testate giornalistiche on line. Un dato che ormai si allontana
notevolmente da quanto affermava nell’ormai lontano 1995 il futuro Garante
Stefano Rodotà: “la società italiana nel suo insieme non percepisce ancora i
rischi derivanti dall'esistenza di grandi e incontrollate raccolte di
informazioni personali”.
Questa accresciuta sensibilità è da collegare a quella relativa alla tutela
delle libertà personali e ai principi democratici su cui la nostra società è
fondata. Tale interesse è cresciuto notevolmente nel corso dell’ultimo
decennio, alla luce dei progressi tecnologici. Oggi è tecnicamente possibile
localizzare il luogo dove si trova una persona utilizzando i segnali degli
onnipresenti telefoni cellulari, così come le tracce lasciate dalle tessere
bancomat e dalle carte di credito. Altri sistemi, poi, come le nuove “etichette
intelligenti” (RFID), anche se creati con lo scopo di facilitare il lavoro e la
vita di tutti, consentono tecnicamente la schedatura dei gusti e delle abitudini
dei consumatori. Infine, i sistemi di sorveglianza provvisti di telecamere sono
sempre più diffusi e sempre meno costosi. E’ evidente che tutte queste
tecnologie hanno bisogno di una precisa regolamentazione dal momento che
da un lato è necessario consentirne l’utilizzo, dall’altro è giusto porre dei
divieti per scopi o attività che si rilevano dannose della dignità delle persone.
La Pubblica Amministrazione è sempre più coinvolta in questo processo
di informatizzazione nel corso della propria evoluzione tecnologica. Ma per
lo svolgimento delle proprie funzioni istituzionali quest’ultima effettua il
trattamento di innumerevoli informazioni personali, spesso di carattere
Introduzione
2
sensibile. Basti pensare ai servizi sociali, medici, educativi, anagrafici e
sportivi. Anche in questo caso bisogna fare in modo che il cittadino si senta
sicuro che i propri dati non siano raccolti e usati in modo arbitrario, ma solo
per i trattamenti necessari.
Lo spunto che ha dato origine al lavoro di tesi è stata la richiesta da
parte di un gruppo di scuole di creare un sistema per selezionare i candidati
per alcuni corsi istituiti dal piano CIPE-IFTS Ricerca. La selezione non
dovrà avvenire seguendo le modalità tradizionali e legate a test cartacei con
conseguenti correzioni individuali lente e suscettibili di errori, bensì
usufruendo delle possibilità offerte dagli strumenti informatici utilizzati
dall’e-learning. Questi ultimi sono considerati capaci di offrire una
flessibilità molto maggiore rispetto ai metodi tradizionali, oltre ad aumentare
la sicurezza e a permettere un’efficienza molto maggiore durante tutta la
procedura. Basta pensare alla capacità del sistema di sorteggiare, al momento
della richiesta, un certo numero di domande da presentare al singolo
candidato attingendo da un comune database di test. Inoltre esso tiene conto
del tipo di figura per il quale è erogato il singolo test, scegliendo in modo
appropriato gli argomenti delle domande. Per questo aspetto è stata impiegata
la piattaforma di e-learning Docebo che, ormai giunta alla terza versione, è
un sistema maturo, affidabile e completo, nonché open source, quindi esente
da oneri nell’uso.
Particolare attenzione, poi, è stata richiesta riguardo al rispetto del
Codice della Privacy, nell’uso di questi sistemi innovativi. A questo punto è
stato effettuato uno studio approfondito delle norme che, presentate nei primi
capitoli, saranno applicate mediante un sistema appositamente realizzato che
si propone di semplificare il processo di adeguamento per vari tipi di
organizzazioni, siano esse pubbliche o private. Questo è stato realizzato
pensando non soltanto al caso applicativo in questione, ma ad un futuro
riutilizzo, in aiuto di tutte quelle realtà organizzative che, rendendosi conto di
rischiare pesanti sanzioni per non essere in regola con il Codice della
Introduzione
3
Privacy, hanno difficoltà con l’applicazione delle norme, o semplicemente
non hanno risorse da dedicare.
Il primo capitolo è dedicato all’evoluzione che nel tempo ha seguito la
normativa riguardante la Privacy. In questa parte si illustreranno alcuni casi
recenti nel mondo e in Italia, per poi passare a ripercorrere brevemente tutte
le fasi che, focalizzandosi sull’ambito italiano, hanno portato alla necessità di
una normativa specifica.
Proseguendo, il capitolo successivo si concentra sulle richieste del
D.lgs.196 (Codice della Privacy). Sarà dapprima presentata la struttura del
Codice, con la spiegazione dei principi e delle definizioni fondamentali, per
poi passare alla disamina degli adempimenti richiesti. All’inizio ci si
concentrerà sul settore privato, ma subito dopo si analizzeranno le differenze
nel trattamento rispetto al settore pubblico. Il capitolo si conclude con la
spiegazione di come mantenere in efficienza il proprio “sistema di gestione
della Privacy”.
Il terzo capitolo è invece dedicato alla formazione a distanza, nelle sue
varie forme. Anche qui si partirà dai cenni storici utili per capire cosa ha
spinto la formazione nella direzione ormai intrapresa e in che modo si è
arrivati fino all’e-learning. Dopo aver presentato le basi di quest’ultimo,
alcuni esempi e tecnologie, si analizza la situazione attuale mediante una
sintetica ricerca di mercato. La conclusione del capitolo sarà la descrizione
della piattaforma utilizzata per il caso applicativo in esame, le selezioni.
Ed è proprio allo svolgimento di queste ultime e alla descrizione degli
strumenti informatici che è dedicato il quarto capitolo, dopo aver presentato
meglio la situazione di partenza, le richieste precise e aver mostrato il sistema
di implementazione delle norme della Privacy creato per questo e altri
utilizzi.
4
CAPITOLO 1
1. STORIA DELLA PRIV ACY
1.1 TUTELA DELLA PRIVACY: UN CONCETTO IN
EVOLUZIONE
Se si esamina l'evoluzione della privacy nel corso della sua storia ormai
secolare, sembra di poter dire che la capacità di adattamento alle nuove
esigenze sociali sia proprio l'elemento caratterizzante, ed anche il nocciolo di
questa conquista giuridica. Oggi essa è diventata la risposta ad un'esigenza
diffusa trasversalmente nei diversi ceti sociali: quella di permettere ad
ognuno di esercitare un controllo sulle informazioni che lo riguardano in
modo da essere arbitro del rapporto, spesso conflittuale, che esiste tra
l'individuo e le istituzioni oppure le aziende. Così la protezione dei dati
personali ha cessato di essere un diritto banalmente destinato a tutelare i
privilegi di pochi ed è diventata un presupposto per lo sviluppo della
personalità individuale di ciascuno, un prerequisito per l'esercizio dei diritti
fondamentali di tutti i cittadini. Non a caso, proprio la protezione dei dati di
carattere personale è inserita - nel capo dedicato alla Dignità della persona -
tra i principi di apertura che definiscono la Carta dei diritti fondamentali
dell'Unione Europea.
E’evidente come questo tipo di norme abbia raccolto un’esigenza
sempre più pressante all’avanzare della tecnologia dell’informazione, perché
se è diventato sempre più facile comunicare e raccogliere informazioni su
ognuno di noi per le finalità più diverse, diventa essenziale stabilire entro
quali limiti questi trattamenti di dati siano legittimi e secondo quali limiti
Capitolo 1 – Storia della Privacy
5
possa essere esercitato il diritto all'autodeterminazione informativa del quale
ognuno dispone.
1.2 ALCUNI CASI RECENTI E CATTIVE APPLICAZIONI DEL
CONCETTO DELLA PRIVACY
Attualmente è molto facile imbattersi in discussioni che riguardano la
Privacy, sfogliando un quotidiano oppure navigando su internet. La causa di
ciò risiede nel fatto che la tutela della riservatezza è diventata un argomento
estremamente attuale perché sentito ormai a tutti i livelli, dagli impiegati alle
persone comuni. Mentre i primi possono temere di essere controllati
eccessivamente dai propri datori di lavoro, gli altri temono, ad esempio, la
registrazione delle proprie conversazioni oppure la localizzazione degli
spostamenti tramite il proprio telefono cellulare. A conferma di ciò si può
riportare il risultato di una qualunque ricerca effettuata su internet tramite il
popolare motore di ricerca Google, che sulla parola privacy indicizza al
momento, solo in Italia, oltre un milione di pagine. Notevole anche il numero
di notizie relative alla Privacy che appaiono ogni mese sulle maggiori testate
giornalistiche tradizionali e on-line.
Lo stesso sito internet dell’Autorità del Garante è una buona “cartina di
tornasole” per quanto riguarda la nascita di nuove questioni aperte su questi
temi. Di continuo, infatti, si propongono dei casi rilevanti che, nonostante
l’esistenza di una normativa in materia piuttosto estesa e articolata, chiedono
al Garante di pronunciarsi in merito ad una diatriba. Per esempio nel febbraio
del 2006 il Garante si è espresso sull’ennesima questione riguardante il
rapporto fra datori di lavoro e dipendenti, cioè il controllo della navigazione
su Internet in orario di lavoro. In questa occasione il Garante della Privacy ha
vietato a una società l'uso dei dati relativi alla navigazione di un lavoratore
Capitolo 1 – Storia della Privacy
6
che, pur non essendo autorizzato, si era connesso alla rete da un computer
aziendale. Il datore di lavoro, dopo aver sottoposto a esame i dati del
computer, aveva accusato il dipendente di aver consultato siti a contenuto
religioso, politico e pornografico, fornendone l'elenco dettagliato. Il Garante
ha fatto notare che, volendo contestare al lavoratore l’uso illecito di beni
aziendali, al datore sarebbe bastato verificare e documentare gli accessi ad
Internet, ma di sicuro non avrebbe dovuto indagare sui contenuti dei siti
visitati. Infatti, secondo il Garante “sono in gioco la libertà e la segretezza
delle comunicazioni e le garanzie previste dallo Statuto dei lavoratori”, visto
che dalla semplice osservazione dei siti visitati è possibile rivelare dati
delicatissimi della persona come: convinzioni religiose, opinioni politiche e
indicazioni sulla vita sessuale e lo stato di salute.
Sebbene i dati personali siano stati raccolti nel corso di controlli volti a
verificare l'esistenza di un comportamento illecito, le informazioni di natura
sensibile potevano essere trattate dal datore di lavoro senza consenso solo se
indispensabili per far valere o difendere un diritto in sede giudiziaria.
1.2.1 Casi rilevanti nel mondo e in Italia
Si possono citare numerosi esempi estremamente attuali di casi che
riguardano l’argomento. Uno sicuramente notevole riguarda proprio il
celebre motore di ricerca Google menzionato poco prima. L'associazione
Privacy International ha stilato una classifica tra le 50 aziende più influenti
di Internet, dibattendo proprio sul tema del livello di privacy garantito agli
utenti. La pericolosa mina vagante per la privacy è Google, dotata di potenti e
invasive tecnologie e ormai "monopolista" del mercato Web. Il colosso
informatico immagazzina dati sulle ricerche effettuate, conservandole per un
tempo che va dai 18 ai 24 mesi, un periodo tanto ampio da permettere una
completa elaborazione e classificazione delle abitudini degli utenti che
Capitolo 1 – Storia della Privacy
7
navigano su Internet. Privacy International va oltre e riporta altre potenziali
mine alla privacy causate dalla stessa società come: “Google Toolbar”,
“DoubleClick” e “Orkut”.
La “Google Toolbar” è uno strumento che si integra facilmente nel
software di navigazione (browser) con l’intento di offrire diversi servizi
molto comodi per l’utente, ma essendo sempre presente nell’interfaccia è in
grado di raccogliere tutte le abitudini riguardo ai siti visitati. “DoubleClick” è
invece un’azienda pubblicitaria che opera via internet, già nota per la raccolta
di dati sugli utenti, che è stata acquisita da Google destando notevoli
preoccupazioni in quanti si occupano della tutela della Privacy. Per finire,
“Orkut” è un sistema di social networking di proprietà di Google, che per il
suo funzionamento conserva dati confidenziali come indirizzo, numero di
telefono e altro, anche dopo un'eventuale cancellazione da parte dell’utente.
Google, effettivamente, archivia i dati delle ricerche di milioni di utenti,
traccia le visite, memorizza i testi e gli acquisti, tutto per fornire il migliore
servizio pubblicitario possibile. DoubleClick, non a caso, segue le attività
degli utenti grazie ai cookie presenti nei banner dei suoi inserzionisti e
gestisce una mole di informazioni "private" per profilare al meglio la sua
offerta.
Le più importanti organizzazioni statunitensi per i diritti civili hanno
ufficialmente denunciato Google presso la U.S. Federal Trade Commission
(FTC) proprio per ottenere la promessa di distruggere tutti i cookie e gli altri
"identificatori" prodotti dalle ricerche online, che permettono l'identificazione
degli utenti una volta terminata ogni sessione con Google. Tutto ciò a meno
che non si disponga del consenso degli utenti interessati e gli si permetta di
ispezionare, cancellare e modificare questi dati.
L'Unione Europea non è rimasta insensibile ai timori degli utenti e ha
inviato una lettera a Google in cui vengono espresse forti preoccupazioni sul
tema della privacy e sull'uso dei dati personali degli utenti. L'agenzia per la
privacy dell'UE ha quindi chiesto alla compagnia americana di fare luce sul
Capitolo 1 – Storia della Privacy
8
motivo per il quale immagazzina i dati delle ricerche effettuate dagli
internauti. A seguito di questa mossa, Peter Fleisher, consulente di Google
per la privacy, ha dichiarato che l'azienda ridurrà il tempo di archiviazione
dei dati degli utenti, portandolo a un anno e mezzo anzichè mantenerli per un
periodo tra 18 e 24 mesi. In questo modo la compagnia cerca di venire
incontro all'Unione Europea non recando un grave danno alle sue attività, pur
non riuscendo a tranquillizzare chi si occupa della tutela della Privacy, dato
che 18 mesi sono più che sufficienti per profilare le attività degli utenti.
In Italia, invece, un caso che ha fatto e continua a far discutere è quello
delle intercettazioni telefoniche. Il Ministro delle Comunicazioni Gentiloni
ha recentemente comunicato di avere avviato un’indagine sull'operato di tutti
i gestori di telefonia italiani in relazione al recente caso Telecom Italia.
L’indagine è volta ad accertare l'eventuale inosservanza delle condizioni
concernenti la sicurezza delle reti e la protezione dei dati personali.
E’ chiaro che le intercettazioni telefoniche usate in ambito giudiziario
pongono seri problemi di privacy, trattandosi normalmente di conversazioni a
due che possono avvenire tra un indagato ed una persona estranea alle
indagini. Da questo punto di vista il senso comune vorrebbe che, per criterio
di giustizia, una tale intercettazione venisse utilizzata solo nell'ambito delle
indagini e che le registrazioni fossero debitamente trattate per salvaguardare
l'estraneo innocente. La cancellazione di intercettazioni non pertinenti oppure
non rilevanti per il procedimento in oggetto sembrerebbe, sempre al senso
comune, un altro atto logico e doveroso, ma precauzioni di questo tipo non
sono state sempre seguite in casi giudiziari passati.
Altri provvedimenti legati al mondo delle compagnie telefoniche hanno
riguardato i call-center, cioè quelle strutture che sono nate per gestire le
comunicazioni tra le aziende e i propri consumatori, ma che sono evolute nel
tempo verso aggressivi strumenti di marketing che in alcuni casi arrivano a
importunare seriamente il potenziale consumatore, raggiungendolo
telefonicamente e cercando di convincerlo ad aderire ad una determinata
Capitolo 1 – Storia della Privacy
9
offerta. Il problema è che qualora non sia stato l’utente stesso a fornire i
propri dati, manifestando anche il consenso ad essere contattato, queste
procedure rappresentano un’evidente violazione della privacy personale.
Il Garante si è espresso in merito nel mese di giugno del 2007,
prescrivendo a tutte le importanti compagnie telefoniche e alle società che
operano per loro come call-center alcune norme da rispettare a breve termine,
pena il blocco totale dei trattamenti dei dati. Gestori e call-center dovranno
interrompere l'uso indebito di numeri telefonici raccolti ed utilizzati a scopi
commerciali senza il previsto consenso da parte degli interessati, mettere in
regola le proprie banche dati ed eventualmente registrare la volontà degli
utenti di non essere più disturbati.
Le intercettazioni rientrano nell’ambito più generale della sorveglianza,
tema verso il quale c’è sempre stata una diffusa diffidenza da parte di quanti
nutrono il timore di essere controllati in maniera eccessiva da parte di autorità
o di compagnie private. Paure non ingiustificate, se si pensa che nel 2005
l’EURISPES (istituto di studi politici economici e sociali) ha annunciato uno
studio secondo il quale negli ultimi cinque anni sono stati "controllati" in
questo modo 30 milioni di italiani, vale a dire, per ogni anno, il 26% della
popolazione professionalmente attiva.
L’attenzione sempre maggiore che viene rivolta alle norme esistenti
sulla privacy può spingere a volte ad invocare l’applicazione di queste anche
in casi del tutto inopportuni. Infatti nelle “società dell’informazione”
moderne la sorveglianza diviene elemento insostituibile e l’esistenza stessa
del corpo sociale è legata alla presenza di tecnologie atte al controllo. I nostri
movimenti lasciano svariate tracce, ma siamo noi stessi ad accettare questi
compromessi. Sappiamo ad esempio che un cellulare può permettere di
identificare la nostra posizione, ma accettiamo di cedere queste informazioni,
perché il telefono mobile è comodo e si sposa con l’esigenza, tipica di società
di questo tipo, di essere raggiungibili sempre ed in fretta e di poter disporre di
informazioni di ogni tipo in ogni momento della giornata da qualunque
Capitolo 1 – Storia della Privacy
10
luogo. Si pensi anche a sistemi come le carte di credito, oggi indispensabili
per la vita di ogni giorno, ma in grado di far ricostruire con precisione le
nostre abitudini. Non è trascurabile, inoltre, il bisogno individuale di sentirsi
sicuri, che impone alle società di adottare misure contro la criminalità ed il
terrorismo, che sicuramente necessitano di limitare in qualche modo alcune
libertà, specialmente dal punto di vista della riservatezza. Questo si nota ad
esempio nel caso della videosorveglianza, necessaria per la sicurezza in molti
casi, ma che ha richiesto da parte del Garante della Privacy la diffusione di
norme ben precise.
Tutto questo costruisce una società sorvegliata, in cui l’esigenza di
sentirsi liberi da ogni tipo di controllo si scontra con la volontà di usare
strumenti elettronici e servizi che richiedono qualche concessione dal punto
di vista della propria privacy.
Se quindi è ingenuo affidarsi alla buona fede degli organi di
sorveglianza ed in generale del corretto uso dei nostri dati da parte di chi li
detiene, è altrettanto sbagliato ritenere di poter vivere in una comunità che
garantisca in senso esteso la propria “privacy”, dato che questo
comporterebbe anche l’impossibilità per l’individuo di relazionarsi al meglio
con la società stessa.
1.3 NASCITA ED EVOLUZIONE DEL CONCETTO DELLA
PRIVACY NEL MONDO
La “Data Protection” si è inserita nella tradizione del diritto alla privacy
nato alla fine del diciannovesimo secolo nel sistema giuridico statunitense
come espressione elitaria del "diritto di essere lasciati soli".
Volendo ripercorrere brevemente la storia del diritto alla privacy, si può
partire dalle prime norme che identificavano un non meglio specificato diritto
Capitolo 1 – Storia della Privacy
11
alla riservatezza. Ad esempio nella Dichiarazione Universale dei Diritti
dell’Uomo, adottata dall’Assemblea Generale delle Nazioni Unite il 10
dicembre 1948 si può leggere che: “nessun individuo potrà essere sottoposto
ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua
casa, nella sua corrispondenza, né a lesioni del suo onore e della sua
reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro
tali interferenze o lesioni”.
Successivamente, nel Protocollo di Teheran, adottato dalla conferenza
internazionale sui diritti dell’uomo il 13 maggio 1968, si fa appello alla
necessità di evitare che il progresso determinato dalle scoperte scientifiche e
tecnologiche ponga in pericolo i diritti e le libertà delle persone.
Nel 1980 si inizia a parlare in termini più specifici di protezione della
privacy da parte dell’OCSE (Organizzazione per la Cooperazione e lo
Sviluppo Economico), con le direttive chiamate “Guideline Governing the
Protection of Privacy and Trasborder Data Flow of Personal Data”, anche
se queste non erano vincolanti per gli stati membri.
1.4 AMBITO NORMATIVO EUROPEO
La tutela dei dati personali rappresenta comunque, da oltre trent'anni, un
fenomeno normativo ampiamente codificato nell'area europea.
A partire dagli anni ’80, nell’ambito della normativa europea, hanno
iniziato a delinearsi i principi cardine della legislazione in materia di
protezione e tutela dei dati personali. Il processo d’integrazione fra gli stati
membri non poteva non considerare la tematica della privacy. Il primo
intervento è ad opera del Consiglio d’Europa che, con la Convenzione di
Strasburgo del 28 gennaio 1981, garantisce espressamente il rispetto alla vita
Capitolo 1 – Storia della Privacy
12
privata con specifico riferimento alla elaborazione automatica dei dati
personali.
Dalla Convenzione derivano alcuni principi cardine recepiti dalle
successive normative comunitarie e nazionali:
• il principio di correttezza nella raccolta e nel trattamento (i
dati devono essere ottenuti ed elaborati legalmente);
• il principio di esattezza (obbligo di aggiornamento e di
rettifica dei dati);
• il principio di finalità dell’utilizzo dei dati (adeguatezza e
pertinenza tra dati raccolti e obiettivi perseguiti).
La Convenzione stabilisce alcune garanzie che consentono di esercitare
un controllo sui propri dati. Ogni persona ha diritto di ottenere la conferma
del trattamento delle informazioni che la riguardano, di chiederne la rettifica
e la cancellazione, di conoscere i fini per i quali vengono utilizzate e il
titolare del trattamento. La Convenzione non prevede alcun regime
particolare in relazione al trattamento di dati da parte della Pubblica
Amministrazione, ma indica espressamente la pubblica autorità come uno dei
soggetti che effettuano l’elaborazione delle informazioni. La Convenzione è
entrata in vigore nel nostro paese solo nel 1997, anno dell’emanazione della
prima norma italiana generale in materia.
Nel frattempo con la legge 30 settembre 1993, n. 338, ha trovato
applicazione l’accordo di Schengen per la creazione di uno spazio di libera
circolazione delle merci e delle persone, operativo in Italia dal 26 ottobre
1997. A tale scopo è stata prevista la creazione del sistema automatizzato per
la gestione dei dati SIS (Sistema d’Informazione Schengen) composta da un
archivio centrale e dalla unità nazionali (N-SIS), alla cui vigilanza è stata
preposta la competente autorità nazionale per la protezione dei dati, operativa
in Italia proprio dal 1997.
Capitolo 1 – Storia della Privacy
13
La direttiva comunitaria 95/46/CE del 24 ottobre 1995, concernente la
tutela delle persone fisiche con riguardo al trattamento dei dati personali,
protegge la riservatezza della vita privata in quanto tale, a prescindere da ogni
rapporto contrattuale e fa propri gli obblighi della precedente Convenzione di
Strasburgo. Essa non prevede un regime speciale per le pubbliche
amministrazioni, ma stabilisce che il trattamento dei dati effettuato dalle P.A.
“per la realizzazione degli scopi previsti dal diritto costituzionale o dal diritto
internazionale pubblico viene effettuato per motivi di rilevante interessere
pubblico”. La direttiva precisa poi che l’autorità pubblica può assumente la
veste di responsabile del trattamento, di incaricato, di terzo, di destinatario
dei dati. Inoltre, specifica con precisione i principi relativi alla legittimazione
del trattamento dei dati prevedendo che possa essere effettuato
esclusivamente: con il consenso inequivocabile della persona interessata, per
l’esecuzione di un contratto concluso, per adempiere ad un obbligo legale al
quale è sottoposto il responsabile, per la salvaguardia dell’interesse vitale
dell’interessato, per l’esecuzione di un interesse pubblico o connesso
all’esercizio di pubblici poteri di cui è investito il responsabile o il terzo a cui
sono comunicati i dati, per il perseguimento dell’interesse legittimo del
responsabile o dei terzi a cui vengono comunicati i dati, a condizione che non
prevalgano l’interesse o i diritti e le libertà fondamentali della persona
interessata.
Pur rimanendo vincolanti i principi sanciti dal diritto comunitario fin qui
enunciati, la fonte internazionale alla quale si aggancia ora tutta la normativa
del Codice in materia di protezione dei dati personali è la Carta dei diritti
fondamentali dell’Unione Europea del 2001 (detta Carta di Nizza). In
questa, l’articolo intitolato “protezione dei dati di carattere personale”
stabilisce che “ogni individuo ha diritto alla protezione dei dati di carattere
personale che lo riguardano. Tali dati devono essere trattati secondo il
principio di lealtà, per finalità determinate e in base al consenso della persona
interessata o a un altro fondamento legittimo previsto dalla legge. Ogni
Capitolo 1 – Storia della Privacy
14
individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di
ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di
un'autorità indipendente. Il medesimo articolo è ora inserito nel trattato che
adotta la Costituzione per l’Europa.
1.5 INTRODUZIONE NORME IN ITALIA
1.5.1 La legge 675/1996 e il d.lgs. 196
La riservatezza è stata vista come diritto soggettivo già molto prima
dell’emanazione delle norme contenute nel Codice della Privacy, anche se al
principio non era prevista una disciplina a se stante.
La direttiva 95/46/CE raccomandava agli Stati membri l’emanazione
entro il 25 ottobre 1998 di normative nazionali che assicurassero un livello di
protezione almeno equivalente a quello dettato dal diritto comunitario. Il
nostro paese, con la Legge 31 dicembre 1996, n. 675, ha ottemperato agli
obblighi derivanti dalla direttiva, dalla “Convenzione di Strasburgo” (resa
esecutiva dal 1989), dall’Accordo di Schengen, dalla “Carta di Nizza”.
La Legge 675/96, recante norme a tutela delle persone e di altri soggetti
rispetto al trattamento dei dati personali, è intervenuta a sanare una situazione
di inadeguatezza normativa ed a colmare il ritardo del nostro Paese di fronte
agli obblighi europei.
In data del 1 gennaio 2004 è entrato in vigore il Decreto legislativo 30
giugno 2003 n. 196, pubblicato sulla Gazzetta Ufficiale n.174 del 29 luglio
2003. Tale decreto è definito “Codice in materia di protezione di dati
personali” (sinteticamente “Codice della Privacy”) ed è stato emanato in
attuazione della legge delega 24 marzo 2001 n. 127 ed elaborato da
Capitolo 1 – Storia della Privacy
15
un’apposita commissione di studio istituita presso il Dipartimento per la
funzione pubblica presieduta dal Prof. Massimo Bianca.
Il Codice della Privacy ha determinato l’abrogazione di quasi tutta la
precedente normativa in materia di privacy fra cui la Legge 31 dicembre
1996 n. 675, definita dallo stesso Garante la legge “madre” sulla protezione
dei dati personali, uniformando e coordinando l’intera legislazione vigente in
tema di trattamento dei dati personali. Il legislatore non si è limitato a riunire
in un unico testo normativo le disposizioni in materia di tutela della privacy
contenute nella Legge 31 dicembre 1996 n. 675 (ora abrogata) ed in tutti i
decreti e provvedimenti ad essa collegati, ma ha inoltre recepito i principi
contenuti in direttive comunitarie (in particolare nella direttiva 2002/58/CE
relativa al trattamento dei dati personali e alla tutela della vita privata nel
settore delle telecomunicazioni) e gli orientamenti forniti dal Garante nel
corso degli anni.
Le novità introdotte dal Codice della Privacy rispetto alla normativa
previgente sono numerose e riguardano, in particolare, la notificazione al
Garante, l’informativa da rendere ai soggetti interessati e la richiesta del
relativo consenso, la designazione degli incaricati e degli eventuali
responsabili al trattamento, le nuove misure di sicurezza e l’obbligo di
redigere e aggiornare il documento programmatico sulla sicurezza (“DPS”)
entro il 31 marzo di ogni anno in caso di trattamenti con strumenti
informatici, riferendo circa la redazione ed aggiornamento di tale documento
nella relazione accompagnatoria al bilancio (regola 26, Allegato B, del
Codice della Privacy). Specifiche disposizioni sono state inoltre dettate per
particolari settori e sono contenute nella parte II del Codice della Privacy.
L’ambito del Codice della Privacy è estremamente ampio: le
disposizioni ivi contenute devono infatti essere applicate da tutti i soggetti
privati e pubblici (aziende, professionisti, pubbliche amministrazioni, etc.),
restando escluse solo le persone fisiche che trattano i dati per fini
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
