Search   You are here:  PRIVACY  
 La Tutela dei Dati Personali

Questa sezione contiene i principi e le nozioni di base, utili sia alla lettura della sezione ADEMPIMENTI che ad un eventuale approfondimento nel FORUM, ed è suddivisa nei seguenti paragrafi:

La Privacy

 

I Dati

 

Il Trattamento dei dati

 

I Soggetti abilitati

 

Le Misure di Sicurezza

 

Potete accedere ad un singolo paragrafo selezionandolo dall’elenco o facendo scorrere la pagina. Al termine di ogni paragrafo potrete ritornare qui premendo INIZIO

Per approfondire alcuni dei concetti esposti in queste pagine, vi consigliamo di leggere i seguenti testi on-line:
 
a cura di Gaetano Rasi (2002)
a cura di Gaetano Rasi (2004)
a cura di Mauro Paissan (2006)
a cura del Gruppo di Lavoro ex Art. 29 per la protezione dei dati personali (2007)
a cura del Gruppo di Lavoro ex Art. 29 per la protezione dei dati personali (2008)

 

 

 LA PRIVACY

 

La Privacy è il diritto alla riservatezza della persona.

Questa definizione contiene i seguenti princìpi:

 

·        Tutte le informazioni, pubbliche e private, relative ad una persona sono di esclusiva proprietà della stessa persona;

·        Tutte le informazioni, pubbliche e private, relative ad una persona possono essere messe a disposizione di altre persone solo con il consenso informato della stessa persona.

 

Il primo principio, che può essere definito “difensivo”, contiene il diritto di ogni persona di impedire che le informazioni che la riguardano diventino note ad altri. E’ il principio the right to be let alone (il diritto di essere lasciati soli) espresso, forse per la prima volta, nel famoso articolo, pubblicato nel 1890, The Right to Privacy di Samuel Warren e Louis Brandeis, ispirati dall’opera del filosofo americano Ralph Waldo Emerson.  Questo principio di libertà individuale può essere limitato solo quando, prevalendo interessi comuni quali la sicurezza nazionale, la pubblica sicurezza, il benessere economico del paese, ecc., la Legge interviene stabilendo le finalità e le modalità di tali limitazioni.

Il secondo principio, che definiremo “autodeterminativo”, contiene il diritto di ogni persona ad esprimere liberamente le proprie aspirazioni e realizzare tutte le sue potenzialità. E’ quindi la possibilità di contribuire a determinare il proprio futuro sfruttando la potenzialità delle informazioni in proprio possesso. Questo principio è fondato sulla libera volontà di comunicare le proprie informazioni a terzi esclusivamente per gli usi che ognuno ritiene utili a raggiungere i propri obiettivi. Per valutare il nostro interesse alla comunicazione è quindi indispensabile conoscere preventivamente e pienamente l’uso che nel tempo verrà fatto dei dati forniti.

  

  Il diritto alla privacy

 

Il diritto alla privacy

 

Tutte le persone hanno il diritto di essere lasciate in pace ma hanno anche il diritto, e talvolta il dovere, di comunicare i propri dati a terzi, conoscendo sempre l’uso che di essi viene fatto.

 

Noi comunichiamo a terzi nel nostro interesse, volontariamente o perché siamo obbligati dalla legge, dati di nostra proprietà e riceviamo da tutto il mondo dati di terzi. Se questi ultimi non sono pubblici, cioè disponibili a tutti, siamo tenuti a rispettare i diritti dei terzi: informarli sul perché raccogliamo i loro dati, come li utilizziamo e come li proteggiamo dalla perdita, anche accidentale, o dalla curiosità, più o meno interessata, di altre persone.

 

Tutte le persone hanno il dovere di trattare i dati in loro possesso in modo lecito e corretto e di proteggerli dal furto e dalla distruzione accidentale. 

 

Noi ci aggreghiamo ad altre persone per costituire dei soggetti giuridici, cioè riconosciuti dalla legge, quali famiglie, condomini, associazioni, società, enti, ecc. Ognuno di questi soggetti mantiene, nei confronti di coloro che non ne fanno parte, gli stessi diritti e doveri precedentemente enunciati.

 

Tutti i soggetti giuridici, per quanto riguarda la privacy, hanno gli stessi diritti e doveri della persona.  

 

In conclusione, chiunque, persona o soggetto giuridico, riceva informazioni da terzi, persone o soggetti giuridici, deve trattarle esclusivamente per le finalità e con le modalità precedentemente comunicate al soggetto interessato, cioè a colui che è proprietario delle stesse, ed ha il dovere di proteggerle come se fossero sue.INIZIO

 

 I DATI

 

I Dati sono la massa di informazioni che giungono ai nostro cervello dal mattino quando ci svegliamo alla sera quando ci addormentiamo.

Una parte di queste informazioni sono definite Dati Comuni: quelle che non si riferiscono  a persone ma a cose, animali, attività lavorative, ecc. Occorre notare come nel trattamento di questo insieme possano presentarsi problematiche di sicurezza dei dati.  E’ sufficiente pensare alla necessità di tutela dei brevetti e dei marchi.

Le altre informazioni, cioè quelle che si riferiscono a persone, sono definite Dati Personali. Ai fini della privacy interessa esclusivamente l’uso che noi facciamo di questi ultimi ed, in particolare, di quelli che permettono di identificare aspetti, spesso riservati e/o segreti, della nostra persona.

La legge definisce dato personale «qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» ed interessato «la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali». Ciò significa che tutti i dati che riguardano sia le persone che i soggetti giuridici sono dati personali. 

Occorre ulteriormente suddividere l’insieme dei dati personali nelle seguenti tipologie:

 

·        Dati Anonimi: quelli che da soli non possono essere in alcun modo associati ad un  interessato;

·        Dati Identificativi: quelli che permettono di identificare direttamente un interessato;

·        Dati Sensibili: quelli idonei a rivelare razza, religione, opinioni politiche o filosofiche, salute, abitudini sessuali di un interessato;

·        Dati Giudiziari: quelli idonei a rivelare provvedimenti iscritti nel casellario giudiziario o la qualità di imputato o di indagato di un interessato.

 

Fra i dati personali, la legge riserva una particolare attenzione a quelli sensibili definendoli come quelli «idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le  opinioni politiche, la adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale». Questi dati possono essere comunicati a terzi solo con il consenso dell’interessato, non possono essere diffusi e richiedono la massima protezione da parte di chi li tratta.

I dati giudiziari, diversamente da quelli sensibili, interessano solo le persone che, per qualunque motivo, hanno rapporti con la Giustizia e sono definiti dalla legge come quelli «idonei a rivelare provvedimenti giudiziari di cui al D.P.R. 313 del 14 novembre 2002, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale». Anche questi dati possono essere comunicati solo con il consenso dell’interessato, non possono essere diffusi e richiedono la massima protezione da parte di chi li tratta.

Nella tabella seguente si noti come i dati anonimi, se rimangono tali, possono essere la  base di una lecita indagine statistica, e come altri dati, in origine identificativi o giudiziari, possono contenere dati sensibili: qualunque trattamento di dati personali deve essere sempre preceduto da un’attenta analisi degli stessi.

 

Dato personale

Tipologia

 

 

Caratteristiche fisiche

Anonimo

Settore produttivo

Anonimo

Preferenze d’acquisto

Anonimo

Codice fiscale

Identificativo

Matricola e Ragione sociale

Identificativo

Registrazione di videosorveglianza

Identificativo (Sensibile)

Carta d’Identità

Identificativo (Sensibile)

Curriculum

Identificativo (Sensibile)

Tessera sindacale

Sensibile

Ricetta medica 

Sensibile

Cartella clinica

Sensibile

Fascicolo di studio legale

Giudiziario (Sensibile)

Certificato penale 

Giudiziario

Avviso di garanzia

Giudiziario

        

Esempi di Dati Personali

 

Non esistono ulteriori tipologie di dati personali previste dalla legge in vigore, anche se talora citate in testi di esperti di privacy, come ad esempio quelle dei dati semisensibili o dei dati finanziari.

 

I dati personali che abbiamo analizzato sono stati acquisiti attraverso i nostri sensi oppure tramite supporti cartacei o elettronici, ma, qualunque sia il sistema di acquisizione dei dati, incontreremo sempre uno dei seguenti mezzi di archiviazione:

 

·         Archivi Cartacei: tutti i documenti ricevuti e le informazioni verbali o telefoniche trascritte su supporto cartaceo, organizzati in modo tale da facilitarne la reperibilità (ordine alfabetico, per data, per argomento, ecc.);

·         Base Dati: tutti i documenti di posta elettronica, gli archivi elettronici ed i dati introdotti dall’utente trasformando i supporti cartacei, organizzati con una o più chiavi di accesso.

 

L’insieme degli Archivi Cartacei e delle Base Dati, aggregato per tipologia (ad esempio CLIENTI, FORNITORI, DIPENDENTI, ecc.), viene definito Banca Dati. La legge definisce quest’ultima come «qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti».

INIZIO

 

 

 IL TRATTAMENTO DEI DATI

 

Qualunque operazione effettuata sui dati personali è un trattamento.

La legge definisce come trattamento «la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati».

Oltre ai trattamenti noti, la legge definisce blocco «la conservazione di dati personali con sospensione temporanea di ogni altra operazione di trattamento», comunicazione «il dare conoscenza dei dati personali» a soggetti determinati «in qualunque forma, anche mediante la loro messa a disposizione o consultazione», diffusione «il dare conoscenza dei dati personali» a chiunque «in qualunque forma, anche mediante la loro messa a disposizione o consultazione». Questa precisazione è importante in quanto, il primo è, di norma, conseguente ad una richiesta dell’interessato o ad un provvedimento del Garante della Privacy, mentre le altre due sono elementi essenziali dell’informazione all’interessato.

Dalla fase di acquisizione (raccolta) a quella di distruzione o cessione, i dati personali devono essere trattati in base al principio di necessità, riducendone al minimo la presenza nei sistemi informativi e rendendoli il più possibile anonimi. Di conseguenza, i dati personali devono sempre essere:

 

·        trattati in modo lecito e corretto;

·        raccolti per scopi determinati, espliciti e legittimi;

·        esatti ed aggiornati;

·        pertinenti, completi e non eccedenti le finalità del trattamento;

·        conservati per un periodo non eccedente gli scopi della raccolta;

·        distrutti o ceduti al termine del periodo previsto dalla legge o stabilito in origine dal titolare del trattamento.

 

Ogni trattamento deve essere preceduto da una fase di analisi nella quale è verificata la rispondenza ai principi di cui sopra e l’eventuale necessità di adempimenti preliminari presso il Garante della Privacy.

Ogni trattamento deve eseguito da un soggetto abilitato, secondo le modalità stabilite dal titolare del trattamento.

La fase di acquisizione dei dati personali (raccolta) deve sempre essere preceduta da quella di informazione dell’interessato.

Ogni ulteriore fase del trattamento deve essere improntato alla sicurezza dei dati ed alla tutela della privacy.

INIZIO

 

 

I SOGGETTI ABILITATI

  

Il soggetto primario abilitato al trattamento è il titolare, che viene definito dalla legge come «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza».

In una ditta individuale il titolare del trattamento coincide con il proprietario.

Nelle società di persone titolari sono tutti i soci amministratori della società. Normalmente, il più anziano di essi od il più esperto nel trattamento dei dati,  è nominato titolare e gli altri contitolari.

Nelle società di capitali e nelle associazioni, il titolare è la società o l’associazione nella persona del o dei suoi rappresentanti legali.  In questo caso è importante notare come la responsabilità degli atti ricada su tutta la società e non solo sugli amministratori, che tuttavia rispondono sempre penalmente per i fatti avvenuti nei periodi di competenza.

 

Il titolare può nominare un responsabile del trattamento dei dati, che la legge definisce come «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali».

Il responsabile decide, per conto ed in base alle direttive scritte impartite dal titolare, su tutto ciò che concerne il trattamento dei dati personali: elabora i piani di adeguamento delle misure di sicurezza e ne verifica l’esecuzione, elabora i piani di verifica delle attività previste e ne controlla la corretta esecuzione da parte degli incaricati, relaziona periodicamente al titolare circa l’attuazione della politica della sicurezza in azienda.

 

Il titolare deve nominare, se esistono, uno o più incaricati al trattamento dei dati, che la legge definisce come «le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile».

Tutti coloro che trattano dati personali per conto del titolare, siano essi dipendenti o collaboratori esterni, devono essere incaricati preventivamente dallo stesso in forma scritta che indichi i compiti ed i limiti del trattamento. Nei compiti dell’incaricato, in funzione delle singole competenze professionali, possono essere incluse responsabilità particolari come Amministratore di Sistema, Custode delle Password, ecc. Si può, inoltre, incaricare il personale riunendolo in un'unità per la quale è individuato l'ambito del trattamento consentito, senza procedere alla nomina personale di ogni singolo incaricato.  

 

Come abbiamo visto, le società e le associazioni che effettuano un trattamento per conto del titolare non possono essere incaricate in quanto non sono persone fisiche. Inoltre, la legge stabilisce che «le operazioni di trattamento possono essere effettuate solo da incaricati che operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite». Occorre tenere presente che i trattamenti eseguiti da una società esterna sui dati personali del titolare possono essere:

 

·         trattamento interno

i dipendenti di una società esterna eseguono, nella sede operativa del titolare, un trattamento secondo le direttive comunicate loro dal titolare: è il caso dei consulenti interni;

·         trattamento esterno (outsourcing)

i dipendenti di una società esterna eseguono, nella loro sede operativa, un trattamento secondo le istruzioni comunicate dalla loro società: ciò avviene, ad esempio, nella gestione della contabilità aziendale o della rete informativa;

·         trattamento misto;

i dipendenti di una società esterna eseguono, nella loro sede operativa, un trattamento analogo o complementare a quello svolto, nella sede operativa del titolare, da suoi dipendenti: è il tipico rapporto con i commercialisti ed i consulenti del lavoro.

 

Nel primo caso si possono nominare i singoli dipendenti della società esterna, in quanto sottoposti direttamente all’autorità del titolare, anche se per i soli trattamenti a cui sono abilitati.

Nel secondo caso conviene nominare responsabile del trattamento la società o l’associazione esterna, che provvederà a nominare i suoi incaricati.

Nel terzo caso conviene inviare all’azienda, lo studio professionale o l’associazione, una lettera di affido nella quale sono specificati la tipologia dei dati personali, i compiti ed i limiti del trattamento: ognuno provvederà autonomamente a nominare i suoi incaricati.

 

Tutte le nomine non hanno scadenza, eccetto quando l’incaricato o l’affidato viene rimosso oppure si verifichi una variazione dei suoi compiti e/o limiti nel trattamento dei dati personali.

INIZIO

 

 

LE MISURE DI SICUREZZA  

I Dati sono un bene fondamentale per ogni attività imprenditoriale e pertanto adottare appropriate misure di sicurezza è uno degli obiettivi primari di qualunque azienda. Le misure di sicurezza da adottare per la protezione dei dati personali si possono suddividere in: 

·         Misure ambientali

Sono tutte le misure per la protezione dell’azienda o parte di essa dai rischi dovuti alla configurazione idrogeologica del territorio od alla presenza di lavorazioni pericolose. Tra di esse le principali sono quelle che tendono a ridurre i rischi di allagamento, incendio, esplosione, inquinamento chimico e radioattivo, terremoti, frane e smottamenti.

·         Misure organizzative

Sono tutte le misure per la protezione dei beni aziendali, siano essi persone, dati o strumenti. Esse possono essere tecniche, logistiche o procedurali e sono quelle che tendono a limitare i rischi dovuti a furti, distruzione o perdite, anche accidentali di dati, ed uso improprio, con o senza dolo, degli stessi. Può essere tecnica l’installazione di un sistema antifurto o di un software antivirus, logistica l’installazione di porte blindate o la dislocazione di un server in locali protetti e procedurale il salvataggio periodico dei dati o la tenuta di un registro degli accessi ad un archivio.

 

La legge prevede due livelli di responsabilità nell’adozione delle misure di sicurezza.

Per il primo definisce una serie di misure definite minime, da adottare comunque, al di sotto delle quali scatta la responsabilità penale.

Per il secondo stabilisce la necessità di adottare misure idonee, cioè di dimostrare di aver preso ogni possibile precauzione onde evitare danni a terzi, altrimenti si deve rispondere per responsabilità civile.

 INIZIO

 

 

 

 

 

 

  
Home:CHI SIAMO:PRIVACY:ADEMPIMENTI:LEGISLAZIONE:GARANTE:FORUM:SERVIZI
Copyright (c) 2010 POLO Consulting - Torino - tel. e fax 0118992795 - P.IVA 08121200011 Condizioni d'Uso Dichiarazione per la Privacy