|
(Ndr: Circolare sulla legge n. 675/96 (tutela della
riservatezza dei dati personali) così come modificata dal
Decreto Legislativo n. 123 del 9 maggio 1997, emessa dalla Fieg
nel mese di maggio 1997)
Facciamo seguito alle nostre precedenti comunicazioni
su quanto in oggetto e, da ultimo, alla nostra circolare n. 46
del 7 maggio scorso, per fornirVi ulteriori precisazioni e chiarimenti
sui complessi adempimenti imposti dalla legge n. 675/96 sulla
tutela delle persone e di altri soggetti rispetto al trattamento
dei dati personali, anche a seguito del Decreto legislativo n.
123 del 9 maggio 1997 (Gazzetta ufficiale n. 107 del 10 maggio
1997), emanato dal Governo in attuazione della delega di cui alla
legge n. 676, approvata contestualmente alla legge n. 675, nonché
delle indicazioni emerse nel corso della conferenza stampa del
Garante del 7 maggio scorso.
CONTENUTI DEL DECRETO LGS N. 123/97
Mette conto di sottolineare come nel Decreto legislativo
n. 123/97 siano state recepite le istanze relative sia all'opportunità
di un rinvio dell'entrata in vigore di alcune norme della legge
n. 675/96, prospettate dalla Federazione fin dal 2 aprile scorso,
sia all'introduzione di semplificazioni in materia di informativa
degli interessati, di autorizzazione e di estensione delle deroghe
previste per i giornalisti professionisti a pubblicisti, praticanti
e collaboratori.
In particolare, per quanto riguarda gli aggiustamenti
introdotti dal citato Decreto lgs, richiamiamo la Vostra attenzione
sull'articolo 1 che dispone che le informazioni da rendere all'interessato
al momento della raccolta dei dati possono essere fornite anche
"oralmente" e non solo per iscritto, come in precedenza
previsto dall'art. 10 della legge n.675/96.
Inoltre, l'art. 4, comma 2, del Decreto lgs. proroga
al 30 novembre 1997 il termine entro il quale va adempiuto l'obbligo
dell'informativa da fornire all'interessato qualora i dati vengano
raccolti presso terzi e non direttamente presso l'interessato.
In tale ultimo caso, l'obbligo dell'informativa decorre dall'8
maggio come precedentemente previsto. Riguardo alla possibilità
ora riconosciuta di fornire anche oralmente le informazioni all'interessato,
va precisato che comunque è opportuno precostituirsi degli
elementi probatori sull'avvenuta informativa, anche perché
tale informativa è una delle condizioni perché l'interessato
possa esercitare i diritti di cui all'art. 13 della legge n. 675/1996.
Sempre in materia di informazioni rese al momento
della raccolta l'art. 2, comma 1, del Decreto lgs. dispone che
il codice deontologico di cui all'art. 25, commi 2, 3 e 4 della
legge n. 675/96, potrà prevedere forme semplificate per
le informative da rendere al momento della raccolta per i trattamenti
effettuati dai giornalisti.
A tale proposito, per evitare la paralisi delle redazioni,
la Federazione ha prospettato al Garante l'opportunità
di una sua pronuncia preliminare, in base alla facoltà
conferitagli dall'art. 10, 4° comma, della legge n. 675,
diretta ad escludere i giornalisti dall'obbligo dell'informativa
preventiva all'interessato, dichiarando la sproporzione tra i
mezzi necessari per effettuare tale informativa rispetto al diritto
oggetto di tutela, ovvero la sua impossibilità quando si
tratti di dati raccolti nell'esercizio della professione di giornalista.
L'art. 2, comma 2, del Decreto lgs. accoglie inoltre
un'ulteriore esigenza rappresentata dalla Federazione estendendo
le deroghe previste dall'art. 25 della legge n. 675/96 per i trattamenti
di dati sensibili nell'esercizio della professione di giornalisti
ai soggetti iscritti nell'albo dei pubblicisti e nel registro
dei praticanti di cui agli artt. 26 e 33 della legge n. 69/1963,
nonché ai collaboratori occasionali. Per questi ultimi,
tuttavia, la deroga è limitata ai trattamenti temporanei
finalizzati esclusivamente alla pubblicazione o alla diffusione
occasionale di articoli, saggi e altre manifestazioni del pensiero.
In altri termini la deroga, che come noto esime i giornalisti
dal richiedere il consenso scritto dell'interessato, è
circoscritta al tempo necessario per elaborare un articolo e di
essa non si può beneficiare per sempre.
Va sottolineato che tale estensione è stata
operata dal Governo sulla base della delega di cui all'art. 1,
comma 1, lettera h) della legge n. 675/96.
La deroga, peraltro, continua a non applicarsi per
i dati idonei a rivelare lo stato di salute e la vita sessuale,
per i quali coloro che esercitano l'attività giornalistica
sono tenuti a munirsi del consenso scritto preventivo dell'interessato.
Anche su tale situazione la Federazione è intervenuta sul
Garante sostenendo come anche per i trattamenti di questi dati
debbano essere introdotti dei temperamenti soprattutto quando
si tratti di dati divulgati dagli stessi interessati. Si è
ancora in attesa di conoscere l'orientamento del Garante in proposito.
Per quanto riguarda l'autorizzazione preventiva del
Garante al trattamento di dati sensibili di cui agli artt. 22,
23, 24 e 25 della legge n. 675/96, il Decreto lgs. n. 123/97 ha
disposto lo slittamento al 30 novembre 1997 del termine a partire
dal quale è richiesta l'autorizzazione per il trattamento
di tali dati. Come noto, l'art. 41, comma 7, della legge n. 675/96,
prevedeva che il termine decorresse trenta giorni dopo l'entrata
in vigore della legge e, pertanto, dal 7 giugno 1997. Va tuttavia
rilevato che, poiché l'art. 22, comma 2, della legge dispone
che il Garante deve pronunciarsi entro trenta giorni sulla richiesta
di autorizzazione, decorsi i quali la mancata pronuncia equivale
a rigetto, è opportuno cautelarsi inviando la richiesta
di autorizzazione non oltre il 31 ottobre 1997. Si rischia altrimenti,
in assenza della pronuncia, di non poter trattare i dati sensibili
per i quali è stata richiesta l'autorizzazione.
Per i trasferimenti di dati all'estero di cui all'art.
28 della legge il termine a partire dal quale è richiesta
l'autorizzazione non è stato prorogato e, pertanto, resta
quello del 7 giugno. Anche in tal caso, in considerazione dei
tempi di pronuncia (30 giorni), è opportuno procedere immediatamente
alla richiesta. I limiti al trasferimento di dati personali all'estero,
comunque, non si applicano al trasferimento di dati personali
effettuato nell'esercizio della professione di giornalista e per
l'esclusivo perseguimento delle relative finalità (art.
28, comma 6).
L'art. 4, comma 1, del Decreto lgs n. 123, inoltre,
accogliendo sia pure parzialmente richieste in tal senso formulate
dalla Federazione, attribuisce al Garante la facoltà di
rilasciare un'unica autorizzazione per categorie di titolari o
di trattamento.
AMBITO DI APPLICAZIONE DELLA LEGGE N. 675/96
E' opportuno innanzitutto ribadire che la legge disciplina
tutti i trattamenti di dati personali e, quindi, qualsiasi informazione
che consenta di identificare, direttamente o indirettamente, persone
fisiche, giuridiche, enti o associazioni. Pertanto la legge si
applica a tutti i soggetti che trattano dati in ogni settore di
attività e, quindi, anche in quello dell'editoria giornalistica.
Alcune deroghe limitate peraltro soltanto a specifici adempimenti
(richiesta all'interessato del consenso al trattamento di dati
personali che lo riguardano; richiesta di autorizzazione al Garante
per il trattamento di dati sensibili) riguardano i dati personali
trattati nell'esercizio della professione di giornalista. Le deroghe
per i giornalisti si fondano non solo sul requisito soggettivo
dell'iscrizione all'albo professionale, ma anche sulla sussistenza
di requisiti oggettivi nel senso che il trattamento dei dati personali
da parte dei giornalisti professionisti deve avere come scopo
il perseguimento delle finalità proprie della professione.
Nei casi di trattamenti consistenti nella comunicazione e nella
diffusione dei dati, ovvero quando i trattamenti riguardino dati
sensibili - esclusi, comunque, quelli idonei a rivelare lo stato
di salute e la vita sessuale - i requisiti oggettivi si ampliano
ulteriormente essendo condizione di liceità del trattamento
che l'attività svolta rientri nei limiti del diritto di
cronaca posti a tutela della riservatezza e in particolare dell'essenzialità
dell'informazione riguardo a fatti di interesse pubblico.
Mentre la direttiva comunitaria n. 95/46 del 24 ottobre
1995 tutela soltanto i trattamenti di dati personali contenuti
o destinati al figurare in banche dati, la legge n. 675/96, che
della direttiva è attuazione, scinde completamente i concetti
di trattamento e di banca dati. Perché un trattamento possa
essere giuridicamente rilevante e quindi ricadere nell'ambito
di applicazione della legge italiana non occorre che i relativi
dati personali siano destinati ad essere inseriti in una banca
dati. Tale circostanza comporta una abnorme amplificazione dell'ambito
di applicazione della norma che si estende a tutti i trattamenti,
automatizzati o meno, svolti nel territorio italiano, di dati
riguardanti persone fisiche, giuridiche, enti, associazioni, con
esclusione, oltretutto parziale, dei trattamenti per fini esclusivamente
personali.
Proprio in relazione all'estensione di tale ambito,
un'applicazione pedissequa della legge comporterebbe in molti
casi effetti del tutto aberranti e tali da penalizzare l'operatività
delle aziende editrici che, rispetto ad altri settori di attività,
ne sono destinatarie non solo per le attività comuni ad
altre imprese, ma anche per quelle di informazione che si basano
fondamentalmente su trattamenti di dati personali. Di qui l'esigenza
di interpretare la complessa normativa della legge n. 675/96 non
solo in base ad dettato letterale ma tenendo anche conto di criteri
logico-sistematici che consentano alle imprese margini di operatività
in rapporto alle loro proprie attività istituzionali.
INDIVIDUAZIONE DEL TITOLARE
Per quanto riguarda gli adempimenti immediati previsti
dalla legge, si sottolinea l'esigenza di procedere fin dalla data
di entrata in vigore della legge (8 maggio 1997) all'individuazione
del titolare e, se necessario, del responsabile del trattamento
nonché dei vari incaricati dei trattamenti. L'individuazione
del titolare è condizione per poter procedere a tutte le
comunicazioni previste dalla legge per i trattamenti di dati personali
effettuati in ambito aziendale. La legge definisce all'art. 1
il titolare come la persona fisica o giuridica o altro ente, associazione
o organismo cui competono le decisioni in ordine alle finalità
ed alle modalità del trattamento di dati personali, comprese
quelle relative alla sicurezza. Sussiste quindi una stretta relazione
tra il soggetto designato come titolare e le banche dati utilizzate
per le operazioni di trattamento. Proprio in rapporto alle finalità
ed alle specificità di ogni singola banca dati (gestione
del personale, della distribuzione e della diffusione, del marketing,
dei rapporti con i fornitori, delle attività redazionali)
è da ritenere che possano essere individuati più
titolari di trattamenti. Poiché all'interno di ogni singola
azienda editrice può essere individuato un numero anche
elevato di trattamenti si manifesta peraltro l'opportunità
di riuscire a circoscrivere i trattamenti in base alle caratteristiche
omogenee delle attività aziendali onde contenere i numerosi
adempimenti previsti dalla legge ed assicurare un controllo efficace
dei sistemi di elaborazione dei dati.
Se al titolare competono le decisioni in ordine alle
finalità ed alle modalità del trattamento, non sembra
che esso possa essere un soggetto estraneo all'impresa e che,
comunque, possa delegare una funzione che gli attribuisce pieni
poteri sul trattamento, precisi doveri di istruzione, di verifica
e di vigilanza sulle attività dei responsabili eventualmente
designati e degli incaricati delle operazioni.
Le aziende editrici devono procedere con sollecitudine
alla individuazione del titolare o dei titolari di ciascun complesso
di trattamenti in base alla articolazione delle ordinarie attività
aziendali. In linea di principio, e in assenza di differenti determinazioni,
tenendo presente la già menzionata definizione del titolare
di cui all'art. 1 della legge n. 675/96, titolare dei trattamenti
è innanzitutto la società editrice e per essa il
suo legale rappresentante.
Peraltro, il titolare può non essere necessariamente
la società editrice, in quanto detentrice dei dati, ma
anche un dirigente dotato di ampi poteri decisionali in quanto
deve provvedere alle finalità ed alle modalità del
trattamento, incluso il profilo della sicurezza e, quindi, essere
in grado di decidere autonomamente anche in materia di spesa.
Vi può essere, pertanto, un solo titolare,
così come possono essere nominati più titolari in
rapporto alle caratteristiche più o meno omogenee dei trattamenti
e dalle banche dati cui ineriscono.
Nel caso si propenda per la nomina di più
titolari va tenuto presente che essi non possono essere tali in
virtù di una mera delega da parte del rappresentante legale
della società, ma dovranno essere individuati dal consiglio
di amministrazione che dovrà dotarli di apposita rappresentanza
legale, predeterminare i loro compiti di vigilanza e di indirizzo
nella gestione dei trattamenti e la durata dell'incarico.
I compiti che i titolari sono chiamati a svolgere
a partire dalla data di entrata in vigore della legge possono
essere riassuntivamente indicati come segue:
1) Individuazione e nomina degli eventuali responsabili
dei trattamenti e delle operazioni a ciascuno di essi affidate.
2) Elaborazione di un contratto-tipo di affidamento
dei trattamenti con relativo capitolato di sicurezza, di reperimento
delle informazioni (predisposto dal servizio legale con la collaborazione
dei vari responsabili del trattamento) e stipula del relativo
contratto (v. allegato n. 1, contenente un'ipotesi di incarico
di responsabile di trattamento, nel caso si tratti di una società
esterna. Con gli opportuni adeguamenti può essere utilizzata
anche per incarichi di responsabilità a personale interno).
3) Nomina scritta dei propri dipendenti incaricati
di compiere una o più operazioni di trattamento, con istruzioni
per la tutela della sicurezza non solo informatica (v. all. n.
2).
4) Informazioni scritte e richiesta di consenso ai
dipendenti per il trattamento dei loro dati. Tale procedura sembra
necessaria in quanto alcuni dati possono essere sensibili (iscrizione
a sindacati per il pagamento dei relativi contributi, ovvero certificati
medici per comprovare stati di malattia ovvero possono essere
comunicati (v. all. n. 3).
5) Comunicazione ai dipendenti circa le norme operative
e le istruzioni sul trattamento dei dati personali (v. all. n.
4).
6) Informazioni scritte a ciascun interessato preventive
alla raccolta o ad altre operazioni di trattamento nei rapporti
contrattuali con terzi (v. all. n. 5).
7) Eventuale comunicazione di rispetto nei rapporti
di subfornitura o di servizio con soggetti esterni ai quali vengono
conferiti incarichi di trattamento, ma non la responsabilità
(v. all. n. 6).
8) Richiesta di autorizzazione da presentare al Garante
per la riservatezza a partire dal 30 novembre 1997 per il trattamento
di dati sensibili (v. all. n. 7).
9) Presentare le richieste di autorizzazione al Garante
per la eventuale trasmissione di dati all'estero in Paesi extracomunitari
(seguire lo schema di cui all'all. 7).
AUTORIZZAZIONE
Per quanto riguarda più in particolare l'autorizzazione,
essa è richiesta per i trattamenti dei dati sensibili di
cui agli artt. 22 e 24 della legge n. 675, a partire dal 30 novembre
1997 (art. 4, Decreto lgs. n. 123/97). In precedenza il termine
era il 7 giugno1997 (art. 41, comma 7, della legge n. 675/96).
Come già osservato, l'art. 22, comma 2, della
legge dispone che qualora il Garante non rilasci l'autorizzazione
entro trenta giorni dalla relativa richiesta il silenzio equivalga
a rigetto della richiesta. Ne consegue che, ove il Garante, anche
per mera disfunzione organizzativa, non risponda nel suddetto
termine l'impresa verrebbe a trovarsi nell'impossibilità
di trattare i relativi dati (ad esempio, le trattenute in busta
paga da destinare ai contributi sindacali effettuati in base all'iscrizione
dei dipendenti alle varie organizzazioni sindacali, ovvero l'allegazione
di certificati medici giustificativi di periodi di malattia).
E' pertanto opportuno che le imprese predispongano in anticipo
(non oltre il 31 ottobre 1997) le richieste di autorizzazione
utilizzando il modello allegato (all. n. 7) per evitare le assurde
conseguenze sopra citate.
Sempre in base ad esigenze di razionalità
e di semplificazione, ed anche tenuto conto delle indicazioni
fornite dal Garante nel corso della conferenza stampa del 7 maggio
scorso, è da ritenere che l'autorizzazione possa essere
richiesta una tantum, sotto forma di autorizzazione generale al
trattamento dei dati sensibili, e che essa abbia carattere generale
e cioè riguardi tutti i dati sensibili trattati dall'impresa
nelle proprie attività istituzionali.
ATTIVITA' GIORNALISTICA: TRATTAMENTO E TITOLARE
DEI TRATTAMENTI
Per il trattamento di dati personali sensibili -
ad eccezione dei dati idonei a rivelare lo stato di salute e la
vita sessuale - effettuato nell'esercizio della professione giornalistica,
non è richiesto il consenso dell'interessato. Stando alla
lettera dell'art. 25, 1° comma della legge, non è
richiesta l'autorizzazione preventiva del Garante, soltanto nel
caso in cui il trattamento venga effettuato in conformità
del codice deontologico che dovrà essere adottato dal Consiglio
nazionale dell'Ordine dei giornalisti entri sei mesi dalla proposta
in tal senso che il Garante dovrà rivolgere a detto Consiglio.
Pertanto, fino all'entrata in vigore di detto codice,
si dovrebbe ritenere che i trattamenti dei dati sensibili effettuati
dai giornalisti, per il perseguimento delle finalità proprie
della loro professione, nei limiti del diritto di cronaca e dell'essenzialità
dell'informazione riguardo a fatti di interesse pubblico, a partire
dal 7 giugno 1997 (art. 41, comma 7), siano da considerarsi leciti
soltanto se autorizzati dal Garante.
Tuttavia, sempre nel corso della citata conferenza
stampa, il Garante per la protezione dei dati personali ha affermato
che per i trattamenti di dati sensibili - inclusi quelli idonei
a rilevare lo stato di salute e la vita sessuale - non è
necessaria alcuna autorizzazione purché siano conformi
al codice di cui all'art. 25, commi 2 e 3. A tale proposito, la
Federazione si riserva di intervenire nuovamente sul Garante per
ottenere definitiva conferma di tale interpretazione e, in particolare,
della circostanza che fino all'entrata in vigore del Codice non
è necessario richiedere alcuna autorizzazione per i trattamenti
effettuati nell'ambito della professione di giornalista.
Per quanto in particolare riguarda i dati idonei
a rilevare lo stato di salute e la vita sessuale, i relativi trattamenti
effettuati dai giornalisti, sempre in relazione alle finalità
e ai limiti sopra descritti, dovrebbero richiedere il consenso
scritto dell'interessato. Riassuntivamente, al fine di poter usufruire delle deroghe riguardanti il consenso per i trattamenti di dati personali sensibili nell'esercizio della professione di giornalista non è sufficiente svolgere attività di giornalista, ma occorre che sussistano le seguenti condizioni: - il soggetto che tratta i dati sia iscritto all'albo dei giornalisti professionisti oppure nel registro dei praticanti o nell'elenco dei pubblicisti, ovvero sia un collaboratore (in tale ultimo caso limitatamente al periodo necessario alla elaborazione e alla pubblicazione dell'articolo); - il trattamento sia effettuato per l'esclusivo perseguimento delle finalità professionali; - siano rispettati i limiti propri del diritto di cronaca posti a tutela della riservatezza; - l'informazione sia essenziale in quanto riguardante fatti di interesse pubblico; - il trattamento non riguardi dati idonei a rivelare lo stato di salute e la vita sessuale, in quanto per tali dati occorre il consenso scritto dell'interessato;
- quando sarà approvato il codice di deontologia
da parte del Consiglio nazionale dell'Ordine dei giornalisti o,
in alternativa, dallo stesso Garante, il trattamento sia conforme
a tale codice.
Considerata la non chiara formulazione dell'art.
25 della legge n. 675/96 e nell'attesa che venga definito il codice
di deontologia, la Federazione intende intervenire nuovamente
sul Garante perché vengano meglio precisati gli ambiti
applicativi della disposizione con riferimento alla sussistenza
o meno dell'obbligo di richiedere l'autorizzazione per i trattamenti
di dati sensibili e, in particolare, di quelli idonei a rivelare
lo stato di salute e la vita sessuale.
In attesa di conoscere gli orientamenti del Garante,
è stato comunque predisposto per cautela un modello di
richiesta di autorizzazione per le attività giornalistiche
(v. all. n. 8), che le aziende potranno conservare ed utilizzare
soltanto in un secondo momento, vale a dire una volta conosciuti
i criteri interpretativi seguiti dal Garante. In ogni caso, si
tratterà di richieste di autorizzazione per i trattamenti
di dati sensibili effettuati all'interno delle redazioni dei giornali
da presentare una tantum per tutti gli innumerevoli trattamenti
che verranno posti in essere dai giornalisti. Nel modello è
stato ritenuto opportuno estendere l'autorizzazione ai dati idonei
a rivelare lo stato di salute e la vita sessuale almeno quando
siano resi noti dagli stessi interessati o in occasione di eventi
particolari quali calamità, incidenti e similari. In tal
caso il consenso dell'interessato dovrebbe ritenersi implicito.
In relazione a quanto già sottolineato circa
la possibilità di individuare più titolari, per
i trattamenti di dati svolti nell'ambito delle redazioni il problema
della individuazione del titolare di tali trattamenti potrebbe
essere opportunamente risolto nominando titolare il direttore
responsabile delle testate edite. Ciò appare consigliabile,
considerati i poteri di vigilanza e di controllo che il titolare
deve necessariamente esercitare sui trattamenti effettuati nelle
redazioni, nonché le deroghe sul consenso degli interessati
e sull'autorizzazione del Garante previste dalla legge per i trattamenti
effettuati dai giornalisti.E' difficile pensare che un titolare
estraneo alla redazione possa esercitare i poteri che la legge
gli attribuisce sugli archivi gestiti dai giornalisti. Ne, d'altra
parte, il problema verrebbe superato con la nomina, da parte di
un titolare di estrazione amministrativa, di uno o più
responsabili dei trattamenti individuati tra i redattori. Infatti,
anche in tali casi, i responsabili dei trattamenti dovrebbero
essere assoggettati ai poteri direttivi e di vigilanza del titolare
in un'area di attività come quella giornalistica che non
tollera ingerenze esterne.
E' stato autorevolmente osservato come la versione
attuale dell'art. 25 appaia meritevole di essere perfezionata.
L'articolo in questione , infatti, "appare troppo rigido,
anche in considerazione del fatto - probabilmente sottovalutato
- che la legge (incluso lo stesso art. 25) si applica non solo
alle banche dati create dal giornalista, ma anche alla mera raccolta
e divulgazione di una notizia che non sia immagazzinata, dopo
la pubblicazione, in archivi diversi da quelli che riproducono
l'edizione stampata anche su supporto informatico". Tralasciando
l'aspetto relativo agli archivi redazionali che sarà approfondito
più avanti, si sottolinea come lo stesso autore sostenga,
inoltre, che "applicato alla lettera, il divieto di diffusione
dei dati sanitari da parte dei giornalisti può portare
a conseguenze non ragionevoli e che sembrano andare oltre la volontà
del legislatore. Tenendo presente quanto osservato a proposito
delle definizioni di "trattamento" e di "dato personale",
l'art. 25, nella versione attuale, potrebbe far ritenere che sia
preclusa la diffusione non consensuale di ogni minimo particolare
sulla salute di un personaggio "pubblico" (ad esempio,
un ricovero ospedaliero), oppure su un illecito commesso da uno
squilibrato o, ancora, su un incidente stradale cagionato dall'abuso
di alcool (per questi ultimi fatti, si dovrebbero riportare, in
sostanza, le sole iniziali delle generalità degli interessati,
che peraltro li renderebbero egualmente identificabili in certi
contesti).Viceversa, una deroga senza condizioni avrebbe permesso
la diffusione indiscriminata di certe notizie la cui divulgazione
va disciplinata contemperando gli interessi coinvolti" (1).
DATO PERSONALE E TRATTAMENTI NELL'ESERCIZIO
DELL'ATTIVITA' GIORNALISTICA L'ambito di applicazione della legge riguarda il trattamento di dati personali da chiunque effettuato nel territorio dello Stato.
Per dato personale deve intendersi, ai sensi dell'art.
1, comma 2, lett. c), della legge n. 675, qualunque informazione
relativa a persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente , mediante
riferimento a qualsiasi altra informazione, ivi compreso un numero
di identificazione personale. La stessa genericità della
locuzione "qualunque informazione" indurrebbe a ritenere
che qualsiasi dato di natura sia oggettiva che soggettiva che
consenta l'identificazione diretta o indiretta di uno dei soggetti
cosiddetti interessati dovrebbe essere considerato come dato personale,
con tutte le conseguenze di legge. Tale impostazione, pur formalmente corretta, porterebbe sul piano operativo all'assoluta ingestibilità del sistema. E' da ritenere , pertanto, che, ad esempio, le valutazioni e i giudizi su persone o organismi espressi soggettivamente da chi procede al trattamento sfuggano alla sfera applicativa della legge e non siano da ritenere dati personali, essendo del tutto carenti quei requisiti di obiettività e di appartenenza reale ad un altro soggetto, ancorché vengano raccolte e trattate. D'altra parte, in una intervista al settimanale "Il Salvagente", n. 18, dell'8 maggio scorso, il Prof. Ugo De Siervo, uno dei quattro membri dell'organo collegiale di garanzia della riservatezza, rispondendo alla domanda su come si farà a considerare il valore di dato sensibile per categorie quali le opinioni filosofiche, politiche o di altro genere, ha affermato quanto segue: "Non si esclude in via generale che si possano conservare questi dati. Però qui c'è un controllo molto più forte o dell'interessato o del Garante, o di entrambi. Ma la tecnica è questa: nei casi di conflitto, il privato chiede giustizia al Garante o all'autorità (giudiziaria) e in quella sede si qualifica se il dato è sensibile o la violazione è tollerabile.
Si sa comunque che un certo nucleo di scelte personalissime
non può essere violato. Certo una cosa è dire in
sede giornalistica, ad esempio, il Professor De Siervo è
cattolico e ha una certa idea dello Stato. Si tratta di un elemento
di valutazione. Cosa diversa è se si tenesse una schedatura
di tutti i professori universitari in base all'appartenenza religiosa,
politica, eccetera".
Considerato che le opinioni e le valutazioni di carattere
soggettivo alle quali fa riferimento il commento del Prof. De
Siervo riguardano dati cosiddetti sensibili, per quali la legge
appresta una tutela più forte, deve ritenersi a maggior
ragione che analoghe opinioni e valutazioni riguardanti dati non
sensibili siano fuori dell'ambito di applicazione della legge
stessa e che, quindi, il loro trattamento non è assoggettato
a obblighi di informativa, consenso ed accesso.
Tali opinioni e valutazioni sono peraltro destinati
ad assumere le caratteristiche di dato personale allorché
escono dalla sfera soggettiva di chi li ha formulati per essere
comunicati a terzi, perdendo in tal caso l'elemento della soggettività.
Inoltre, in relazione alla definizione di trattamento, è da ritenere che esso non possa essere configurabile in alcune attività di raccolta che vengono svolte all'interno dei giornali.
Infatti, la stessa esigenza di identificare un titolare
che ne decida finalità e modalità, porta necessariamente
ad escludere dalla definizione di trattamenti raccolte che riproducono,
anche su supporto informatico, libri, giornali e testi, pubblicati
o meno, in quanto i dati personali citati all'interno di tali
opere o documenti non sono oggetto di specifiche decisioni di
trattamento assunte da un titolare, ma rappresentano un elemento
incidentale e non necessario. Se così non fosse, si arriverebbe
all'assurdo di dover considerare trattamenti le biblioteche, le
emeroteche ed ogni raccolta di pubblicazioni o di testi (dalla
Gazzetta ufficiale al Foro italiano) conservata per fini di documentazione
su supporti cartacei ovvero informatici. E' pertanto importante
stabilire una netta linea di demarcazione tra le fonti da cui
trarre i dati e i trattamenti che su tali fonti possono essere
operati. Le fonti - e ad esse sono assimilabili gli archivi redazionali
contenenti i precedenti numeri di giornali o articoli già
oggetto di pubblicazione ovvero non pubblicati ma conservati in
memoria - non sono da considerare trattamenti e, quindi, sono
da ritenere fuori dal campo di applicazione della legge.
NOMINA DEL RESPONSABILE DEL TRATTAMENTO Il responsabile del trattamento non è una figura necessaria come si ricava dalla formulazione dell'art. 8 della legge n. 675.
Tuttavia, qualora non venga nominato, le relative
responsabilità ricadono sul titolare che, pertanto, dovrebbe
possedere l'esperienza e la capacità anche in campo informatico
che la legge richiede al responsabile. La figura del responsabile,
di per sé eventuale, finisce per diventare necessaria soprattutto
laddove si riconosca la titolarità del trattamento nei
più alti vertici aziendali. Il responsabile può
essere un dipendente o un collaboratore dell'azienda (persona
fisica), ovvero una società di servizi esterna (persona
giuridica) o un'associazione od organismo preposti dal titolare
al trattamento di dati personali (art. 1, comma 2, lett. e). I
compiti affidati al responsabile devono essere analiticamente
specificati per iscritto (art. 8, comma 4).
Come già detto, il modello di contratto-tipo
di affidamento del trattamento al responsabile è riportato
in allegato (v. all. n.1).
I compiti del responsabile sono fondamentalmente
i seguenti:
1) Censimento delle operazioni da eseguire (raccolta,
registrazione o memorizzazione, organizzazione, conservazione,
elaborazione, modificazione, selezione, estrazione, raffronto,
utilizzo, interconnessione, blocco, comunicazione, diffusione,
cancellazione, distruzione).
2) Predisposizione delle misure di sicurezza. Le
misure di sicurezza devono rispondere alle migliori caratteristiche
tecniche e devono essere tali da ridurre al minimo i rischi di
distruzione o perdita, anche accidentale, dei dati, di accesso
non autorizzato o di trattamento non consentito (es.: comunicazione)
o non conforme alle finalità della raccolta.
3) Definizione delle modalità e dei tempi
per il reperimento delle informazioni, in caso di richiesta degli
interessati.
4) Nomina scritta degli incaricati di compiere una
o più operazioni di trattamento, con istruzioni per la
tutela della sicurezza, non solo informatica.
5) In caso di effettuazione di operazioni di raccolta
dati oppure di comunicazione di dati, il responsabile deve preventivamente
darne informazione scritta a ciascun interessato e chiederne il
consenso specifico ed espresso se non sussistono condizioni di
esenzione (artt. 12 e 20 legge), oppure assicurarsi che il titolare
stesso vi abbia provveduto.
6) In caso di effettuazione di qualunque operazione
di trattamento di dati sensibili, ottenimento del previo consenso
scritto dell'interessato e dell'autorizzazione del Garante, oppure
assicurarsi che il titolare stesso vi abbia provveduto.
7) In caso di effettuazione di operazioni di trasferimento
di dati all'estero in Paesi extracomunitari, richiesta di autorizzazione
del Garante, oppure assicurarsi che il titolare vi abbia provveduto.
8) Rispetto delle modalità di raccolta (ove
essa vi provveda) e dei requisiti dei dati, prescritti dall'art.
9, o assicurarsi che vi provveda il titolare.
INCARICATO DEL TRATTAMENTO
L'incaricato del trattamento è colui che elabora
i dati personali attenendosi alle istruzioni del titolare o del
responsabile (art. 8, 5° comma).
E' dunque l'operatore che all'interno dell'azienda
ha accesso ai dati e li utilizza. Può essere un dipendente
dell'impresa ovvero un soggetto legato all'impresa da un contratto
come l'appalto o il mandato.
L'incarico deve essere formulato per iscritto (v.
all. n. 2). Ciò comporta l'opportunità di una precisa
individuazione dei compiti dei singoli dipendenti all'interno
dell'impresa e l'esigenza di impartire e di vietare un utilizzo
diverso da quello definito dal titolare o dal responsabile (v.
all. n. 4). Nella fase di prima applicazione della legge, si consiglia
pertanto di qualificare come incaricati del trattamento tutti
i dipendenti che possano avere accesso ai dati personali oggetto
di trattamento in ambito aziendale, fornendo istruzione su regole,
cautele e misure di sicurezza da rispettare.
INFORMATIVA AGLI INTERESSATI
L'art. 10 della legge n. 675 prescrive che l'interessato
o la persona presso la quale sono raccolti i dati devono essere
preventivamente informati oralmente (modifica introdotta dall'art.
1 del Decreto lgs. n. 123/97) o per iscritto su una serie di elementi
riguardanti le finalità e le modalità del trattamento
, la natura obbligatoria o facoltativa del conferimento, le conseguenze
di un rifiuto a rispondere , l'ambito di comunicazione e di diffusione
dei dati, i diritti di cui all'art. 13 (accesso, aggiornamento,
rettifica, opposizione), gli estremi identificativi del titolare
e del responsabile. L'informativa deve pertanto precedere l'acquisizione
del consenso dell'interessato al trattamento dei suoi dati personali
anche perché il consenso per essere validamente prestato
deve essere espresso liberamente, in forma specifica e documentata
per iscritto (art. 11, 3° comma).L'informativa va data entro
il 30 novembre 1997 (art. 4, comma 2, Decreto lgs. n. 123/97)
per i dati raccolti presso terzi, mentre per quelli raccolti presso
l'interessato tale obbligo è già in vigore dall'8
maggio.
Come si può rilevare nelle schede costituenti
gli allegati nn. 3 e 4, le informative agli interessati sono state
accorpate con il consenso per limitare e semplificare le procedure
di adempimento degli obblighi di legge.
E' da sottolineare che l'art. 10, comma 4, della
legge prevede delle esimenti dall'informativa soltanto nel caso
in cui i dati personali non sia raccolti presso l'interessato.
Tali esimenti operano quando l'informativa all'interessato comporti
un impiego di mezzi che il Garante dichiari manifestamente sproporzionati
rispetto al diritto tutelato ovvero si riveli, sempre a giudizio
del Garante, impossibile, ovvero nel caso in cui i dati siano
trattati in base ad un obbligo di legge, di regolamento o derivante
dalla normativa comunitaria, ovvero per far valere o difendere
un diritto in sede giudiziaria.
E' evidente come i tempi di lavorazione delle notizie
all'interno pressoché impossibile osservare l'obbligo di
informativa a tutti gli interessati. Come già detto, la
Federazione è già intervenuta presso il Garante
sottolineando l'esigenza che questi, avvalendosi della facoltà
conferitagli dall'art. 10, 4° comma della legge n. 675, si
pronunci in via preliminare affermando il principio della sproporzione
tra i mezzi necessari per effettuare l'informativa all'interessato
rispetto al diritto oggetto di tutela, ovvero della sua oggettiva
impossibilità quando si tratti di dati raccolti e trattati
nell'esercizio delle attività giornalistiche.
Il Garante non si è ancora pronunciato su
tale questione, anche se è da ritenere che l'esigenza prospettata
non possa essere disconosciuta a meno che non si voglia procurare
la paralisi delle redazioni.
Sempre in un'ottica di ragionevolezza e di semplificazione,
al Garante è stata altresì prospettata la possibilità
di configurare delle ipotesi in cui l'informativa all'interessato
venga realizzata attraverso comunicazioni destinate a collettività
di soggetti. Ad esempio, l'esposizione dell'informativa, quando
non sia necessario il consenso, negli spazi appositamente dedicati
alle comunicazioni del personale. L'art. 10, infatti, dispone
soltanto che gli interessati debbano essere informati preventivamente
oralmente o per iscritto. Alcuni settori, come quello assicurativo,
hanno addirittura prospettato al Garante la possibilità
di fornire l'informativa mediante sistemi di pubblicità
collettiva come, ad esempio, la pubblicazione della stessa su
almeno due quotidiani a diffusione nazionale. Sugli sviluppi di
tali ultime ipotesi non mancheremo di tenerVi informati.
In relazione a campagne promozionali degli abbonamenti,
attraverso i giornali o l'invio di materiale pubblicitario, da
condurre nei riguardi di persone già abbonate o di cui
comunque si conoscono i dati e di persone di cui non si conoscono
i dati, proponiamo in allegato due schemi di informativa che,
a nostro avviso, in questa prima fase di applicazione della legge,
potrebbero essere utilizzati dalle aziende editrici (v. all. nn.
9 e 10). Il trattamento di tali dati non richiede il consenso
dell'interessato in quanto relativi allo svolgimento di attività
economiche (art. 12, comma 1, lett. f)
NOTIFICAZIONE (ART. 7)
La legge richiede che il trattamento dei dati personali
sia condizionato dalla preventiva notificazione al Garante da
parte del titolare. A tale obbligo sono pertanto soggetti tutti
i trattamenti operati all'interno di un'impresa editrice, inclusi
quelli che vengono effettuati dai giornalisti all'interno delle
redazioni. La notificazione al Garante deve essere preventiva
e per iscritto (a mezzo di lettera raccomandata ovvero con altro
mezzo idoneo a certificarne la ricezione). Ai sensi del 2°
comma dell'art. 7, essa è effettuata una sola volta, a
prescindere dal numero delle operazioni da svolgere e dalla durata
del trattamento e può riguardare uno o più trattamenti
con finalità correlate, La locuzione "finalità
correlate" appare generica e non chiara se riferita alle
molteplici attività che si svolgono nelle redazioni dei
giornali. Ad esempio, viene da chiedersi se "finalità
correlate" possano essere individuate in una molteplicità
di trattamenti riguardanti un tema specifico oggetto di un articolo
o di un'inchiesta, ovvero nel complesso dei trattamenti effettuati
nei singoli reparti redazionali (politica , cronaca, economia,
cultura, spettacolo, cronaca locale), ovvero nell'attività
redazionale complessiva che si svolge all'interno di un giornale.
Analoghe considerazioni valgono per tutti i settori di attività
non redazionali come gli abbonamenti, la distribuzione, la diffusione,
il marketing, gli affari del personale. A tale proposito, la Federazione
è intervenuta presso il Garante per rappresentare l'esigenza
che nell'ambito del regolamento relativo all'organizzazione e
al funzionamento dell'Ufficio del Garante, da emanare con D.P.R.
entro tre mesi dalla data in vigore della legge, nel quale dovranno
essere precisate le modalità di notificazione (art. 33,
3° comma), venga individuato un modello di notificazione
per le imprese editrici che valga per tutti i trattamenti effettuati
al loro interno e che ne riconosca le finalità correlate
in quanto destinati all'esercizio del diritto/dovere di informare
e del suo reciproco che è il diritto dell'opinione pubblica
di essere informata.
Sul piano operativo, il modello di notificazione
dovrebbe essere strutturato per categorie di dati con indicazioni
sufficientemente ampie e comprensive per non costringere le imprese
a ripetere più volte lo stesso adempimento. Adempimento
che, oltretutto, dovendo essere effettuato preventivamente renderebbe
impossibile l'attività di informazione che, soprattutto,
per quanto riguarda i giornali quotidiani e le agenzie di stampa,
deve essere immediata e tempestiva, pena la perdita di utilità
e di valore dell'informazione stessa. Anche l'indicazione degli
ambiti di diffusione e di comunicazione dei dati dovrebbe essere
soddisfatta in termini sintetici e non analitici, dal momento
che la divulgazione dei dati attiene alla natura ed agli scopi
istituzionali propri delle aziende editrici di giornali. Si tratta
di un insieme di aspetti relativi alle modalità ed ai contenuti
della notificazione che è auspicabile spera verranno comunque
precisati non solo in sede regolamentare, ma anche più
analiticamente disciplinati nell'ambito della delega che la legge
n.676/96 ha conferito al Governo.
Poiché l'obbligo di notificazione scatterà
a partire dall'8 agosto 1997 (art. 33, comma 3), per il momento
la Federazione non ha predisposto alcun modello di notificazione.
Va inoltre sottolineato che per i trattamenti iniziati prima dell'8
maggio, data di entrata in vigore della legge, o nei novanta giorni
successivi, la legge prevede (art. 41, comma 2) che la notificazione
debba essere fatta entro i sei mesi successivi alla data di pubblicazione
del Decreto di cui all'art. 33, comma 1. (1) Giovanni Buttarelli, "Banche dati e tutela della riservatezza", Giuffré editore, 1997
1. Ipotesi di incarico
di responsabile di operazioni di trattamento di dati personali
ex art. 8 legge n. 675/96;
2. Ipotesi di comunicazione
della condizione di incaricato ai dipendenti;
3. Ipotesi di informazioni
e di richiesta di consenso ex artt. 10,11 e 12 della legge n.675/96;
4. Fac simile di comunicazione
ai dipendenti;
5. Ipotesi di clausola
di informazione/consenso da inserire in contratti o proposte o
accettazioni contrattuali;
6. Fac simile di comunicazione
di rispetto della legge n. 675/96;
7. Richiesta di autorizzazione
per il trattamento di dati sensibili ai sensi dell'art. 22 della
legge n. 675/96 (da utilizzare a partire dal 30/11/1997);
8. Ipotesi di richiesta
di autorizzazione al trattamento di dati sensibili nell'esercizio
della professione di giornalista (da tenere in sospeso);
9. Informativa a persone
di cui si conoscono i dati personali;
10. Informativa a persone
di cui non si conoscono i dati personali;
11. Decreto legislativo
n. 123 del 9 maggio 1997.
Ad integrazione del contratto di servizi............con
Voi stipulato il............considerato che tra le nostre prestazioni
contrattuali rientrano anche operazioni di trattamento di dati
personali ai sensi della lettera c) art. 1 della Legge, Vi proponiamo
di affidarci il seguente incarico:
1) La Vostra Società (infra: "Titolare")
designa la nostra società (infra "Responsabile), ai
sensi dell'art. 8 della Legge, ad effettuare operazioni di trattamento
di dati personali nel rispetto delle prescrizioni della legge
e delle modalità precisate nella presente e nell'allegato
capitolato tecnico che ne forma parte integrante.
2) In particolare il Titolare affida al responsabile
le seguenti operazioni di trattamento informativo di dati personali:
- raccolta - elaborazione/riordino........... - memorizzazione..............durata:
- comunicazione mediante accesso consentito a.............oppure
trasmissione a............ 3) Il Responsabile effettua le operazioni di trattamento ad esso affidate nel rispetto della legge e, in particolare, delle norme relative alle informazioni ed al consenso degli interessati, all'autorizzazione del Garante ed alle misure di sicurezza. Il Responsabile deve fare in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza tra cui quelle specificate in allegato, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Le misure di sicurezza descritte in allegato saranno modificate, a cura del Responsabile, mediante l'applicazione di misure eventualmente prescritte nell'emanando regolamento del Garante della riservatezza e/o di eventuali perfezionamenti tecnici, man mano disponibili nel settore informatico.
Il Responsabile trasmetterà tempestivamente
al Titolare la documentazione tecnica delle modifiche apportate.
4) Il titolare dichiara e garantisce che il trattamento
è affidato al Responsabile per le seguenti finalità:
- tenuta della contabilità ai fini civilistici e fiscali; - conservazione delle scritture contabili.
- altre da specificare (selezione del personale,
svolgimento e adempimento rapporti di lavoro)
Il Titolare dichiara inoltre che i dati da lui trasmessi:
- sono esatti e, se necessario, aggiornati;
- sono pertinenti, completi e non eccedenti rispetto
alle finalità per le quali sono raccolti o successivamente
trattati.
5) Il Responsabile provvede a fornire ad ogni interessato
dal trattamento o delegato di questi le informazioni previste
nell'art. 13 della Legge, con le modalità ed i tempi previsti
in allegato, e ad avvisare immediatamente il Titolare anche di
ogni richiesta, ordine o attività di controllo da parte
del Garante, o dall'Autorità Giudiziaria ai sensi degli
artt. 29 e 31 Legge.
Il Responsabile dovrà eseguire gli ordini
del Garante o dell'Autorità Giudiziaria, salvo che il Titolare
gli abbia tempestivamente comunicato la propria volontà
di promuovere opposizione nelle forme di rito.
6) Il Titolare autorizza il Responsabile ad affidare
sotto la propria responsabilità l'esecuzione di operazioni
di trattamento informatico a primaria società del settore
che per esperienza, capacità ed affidabilità fornisca
idonea garanzia del pieno rispetto della legge, con particolare
riguardo alla sicurezza. E' in ogni caso esclusa qualsiasi utilizzazione
e/o semplice visualizzazione dei dati da parte di tale affidatario:
pertanto il Responsabile dovrà convenire con esso adeguate
misure tecniche per la protezione dei dati.
7) Il Titolare ed il Responsabile effettueranno al
Garante la notifica prevista dall'art. 7 della Legge.
8) Le comunicazioni tra le parti ai fini del presente
incarico dovranno avvenire: - per il Titolare al delegato......................................................................
..........................................................................................................
- per il Responsabile al delegato...............................................................
..........................................................................................................
Le parti dovranno comunicarsi eventuali sostituzioni
del loro delegato.
9) Il Responsabile dovrà consentire al Titolare,
dandogli piena collaborazione, periodiche verifiche circa l'adeguatezza
delle misure di sicurezza adottate ed il rispetto della Legge.
Ove d'accordo, vogliate trascrivere integralmente
il testo della presente su Vostra carta intestata e restituircelo
unitamente all'allegato, sottoscritto in ogni pagina per conferma
ed accettazione.
I migliori saluti.
Egregio Signor
...................... Le comunichiamo che l'art. 8, comma 5 della legge 31 dicembre 1996, n. 675 sulla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali evidenzia che il personale che effettua il trattamento di dati personali per conto della Società datrice di lavoro assume il ruolo di incaricato del trattamento.
Pertanto, nello svolgimento delle Sue mansioni di...........................Ella
potrà eseguire il trattamento dei dati personali ai quali
ha accesso, ivi compresa la comunicazione, inerenti alle attività
del Suo ufficio/ente.
Con l'occasione Le ricordiamo che Ella dovrà
usare la massima riservatezza e discrezione nella tenuta dei dati
di cui sopra e nella conseguente loro protezione, in armonia con
gli obblighi che Le derivano, in quanto prestatore di lavoro subordinato,
dagli artt. 2104 e 2105 c.c.
La preghiamo di volerci restituire la presente comunicazione
firmata per accettazione.
Distinti saluti.
Data....................
1. La informiamo che i dati personali Suoi e dei
Suoi familiari che Le vengono richiesti sono necessari per l'elaborazione
della retribuzione e per ogni adempimento di legge e di contratto
nei confronti degli istituti previdenziali e assistenziali, anche
integrativi, e dell'amministrazione finanziaria.
2. La nostra Società ha nominato responsabile
del trattamento di tali dati ai fini dell'elaborazione delle retribuzioni
e la preparazione dei dati necessari per i suddetti adempimenti..................................
La stessa Società è anche incaricata
della conservazione degli stati di servizio dei dipendenti utile
per il riconoscimento dell' anzianità aziendale e per il
rilascio di attestazioni che potrebbero essere richieste anche
dopo la cessazione del rapporto di lavoro.
3. Le precisiamo ancora che i Suoi dati, previo Suo
consenso, saranno comunicati a terzi per adempimenti di legge
o da contratto.
Alleghiamo al presente documento copia dell' art.
13 della legge 31 dicembre 1996, n.675 che stabilisce i suoi diritti
in relazione al trattamento dei dati personali. La preghiamo pertanto di datare e firmare copia della presente come ricevuta delle informazioni sopra esposte e del testo dell'art. 13 della legge n. 675/1996.
data......................... Firma Il Titolare(l)
(l) Indicare la qualifica in ambito aziendale e la
procura eventualmente conferita.
Io sottoscritto...............................esprimo
il mio consenso al trattamento dei miei dati personali, inclusi
quelli di cui all'art. 22 della legge n. 675/1996, così
come sopra indicato ed in particolare alle comunicazioni ed alla
diffusione degli stessi nei termini e per le finalità indicati
ai punti 2 (secondo periodo) e 3.
Oltre alle informazioni rese al momento della raccolta
di cui all' art. 10 della legge n.675/1996 ed alla richiesta di
consenso per il trattamento di dati sensibili (ad esempio, l'iscrizione
al sindacato per il versamento dei relativi contributi o la presentazione
di certificati medici per periodi di malattia), è consigliabile
una comunicazione che autorizzi tutti i dipendenti all'accesso
dei dati personali riguardanti i soggetti con i quali l'azienda
entra in contatto, indicando le norme operative e le istruzioni
nell'uso dei dati personali. I dipendenti dovranno restituire
firmata tale comunicazione che permette loro di accedere ai dati
personali detenuti dall'azienda necessari per lo svolgimento dei
compiti loro affidati, evitando che la lettura di dati personali
da parte dei dipendenti stessi venga a configurare una comunicazione
a terzi. In pari tempo, tale comunicazione serve a separare formalmente
la responsabilità dell'azienda da quella dei singoli dipendenti,
per comportamenti difformi rispetto alle norme operative ed alle
istruzioni ricevute.
Oggetto: Norme operative e istruzioni ai
dipendenti sul trattamento dei dati personali ai sensi della L.31/12/96,
n. 675
Il dipendente che firma la presente è autorizzato
esplicitamente dal Titolare e dal Responsabile per i dati personali
a trattare, per fini di lavoro e all'interno delle proprie mansioni,
dati personali inerenti le persone con le quali l'azienda è
entrata in contatto.
I dati in oggetto devono essere trattati esclusivamente
per i fini aziendali e secondo le istruzioni impartite dai responsabili:
è vietata ogni altra forma di trattamento.
I documenti relativi a dati personali devono essere
conservati in archivi chiusi: gli accessi tramite computer devono
essere protetti da password: è fatto divieto di rendere
pubbliche o comunicare ad altri le proprie password personali
di accesso.
Gli eventuali dati sensibili dovranno essere conservati
in buste chiuse o in armadi chiusi.
La trasmissione dei dati personali, all'interno dell'azienda
o anche verso terzi all'esterno, incaricati di trattare i dati
deve essere fatta salvaguardando la riservatezza dei dati e comunque
secondo le istruzioni impartite dai responsabili.
In caso di inadempienza delle norme operative e delle
istruzioni suddette, il dipendente resta responsabile in proprio
delle conseguenze civili e penali previste per le violazioni agli
obblighi della legge 675/1996.
Firma del dipendente per presa visione...............................
art......... Consenso ex art. 1l L. 675/1996
Il sottoscritto con la firma apposta sulla presente
manifesta il proprio consenso, ai sensi dell'art. 11 L.675/1996,
a che i dati che lo riguardano, sopra indicati, siano oggetto
di tutte le operazioni di trattamento elencate nella lettera d)
art. 1 legge citata, e contemporaneamente, prende atto che;
a) i dati forniti sono necessari per ogni adempimento
di contratto e delle norme di legge, civilistiche e fiscali;
b) il rifiuto a fornirli comporterebbe la mancata
stipulazione del contratto da parte della Società;
c) il trattamento dei dati, oltre che per le finalità
sopra dette, è effettuato anche per finalità d'informazione
commerciale o di invio di materiale pubblicitario, ovvero per
il compimento di ricerche di mercato o di comunicazione commerciale
interattiva;
d) la comunicazione dei dati potrà essere
fatta......................ed anche ad altre imprese, per le finalità
sopra indicate;
e) il sottoscritto può in ogni momento esercitare
i diritti di cui all'art 13 legge citata, tra cui il diritto di
opporsi al trattamento dei dati che lo riguardano ai fini d'informazione
commerciale o d'invio di materiale pubblicitario o altri fini
previsti alla lettera c); f) responsabile del trattamento è....................... Titolare del trattamento è............................
Il trattamento è effettuato anche con mezzi
informatici (1) ed i dati sono conservati
presso....................
(1) indicare i vari sistemi di elaborazione ai quali
i dati vengono sottoposti
Nei rapporti di subfornitura o di servizio con soggetti
esterni (studi professionali o società di elaborazione
dati) può essere utile, qualora a tali soggetti non venga
conferito l'incarico di responsabile del trattamento, ricorrere
ad una comunicazione di rispetto, da inviare per raccomandata,
che consenta a tali soggetti l'accesso ai dati personali detenuti
dall'impresa e, in pari tempo, separare le proprie responsabilità
da quelle dei soggetti esterni per le conseguenze civili e penali
derivanti da comportamenti difformi rispetto a quanto previsto
dalla legge n. 675/1996
Raccomandata
Oggetto: Comunicazione di rispetto Legge 675/96
Il destinatario della presente è autorizzato
a svolgere operazioni di trattamento di dati personali per conto
del firmatario sotto indicato è tenuto a rispettare ed
osservare tutte le norme della Legge 675/96, nonchè ogni
altra istruzione impartita in calce alla presente o in successive
comunicazioni da parte del firmatario della presente.
In caso di inadempimento, il destinatario della presente
comunicazione sarà considerato responsabile nei confronti
del firmatario, limitatamente alle operazioni effettuate senza
la diligenza dovuta in esecuzione delle istruzioni ricevute, ferme
in ogni caso le proprie responsabilità civili e penali
in caso di abuso dei dati personali di cui sia venuto a conoscenza
in esecuzione del rapporto instaurato con il firmatario.
In caso il soggetto si avvalga di suoi incaricati
o collaboratori, egli si obbliga a renderli edotti delle suddette
norme operative generali, fermo restando che in ogni caso essi
si intendono operare sotto la sua diretta ed esclusiva responsabilità.
Tra le norme operative specifiche da osservare si
segnalano in particolare:........................... (1)
Il titolare
..............................
(1) Un esempio di norma operativa specifica: "Tutte
le comunicazioni di documenti cartacei e/o dischetti magnetici
contenenti dati personali tra il destinatario e il firmatario
dovranno essere effettuate in busta chiusa e con l'indicazione
"riservato" sul fronte della busta stessa".
Al Garante per la tutela delle
persone e di altri soggetti rispetto al trattamento
di dati personali presso.............................. via...............................
Roma
Richiesta di autorizzazione per il trattamento
di dati sensibili ai sensi dell'art. 22
della Legge 31 dicembre 1996, n. 675.
La Società editrice.............................con
sede in.................................. ai fini del presente
atto rappresentata da.......................in qualità
di.............................,
Tutto ciò premesso, anche a nome delle proprie
mandanti titolari del trattamento, l'istante
che il Garante autorizzi ex art. 22 Legge 675/1996
il trattamento di dati sensibili sopra indicati, per le finalità
esposte.
Si confida nella sollecita concessione dell'autorizzazione
richiesta, in quanto concernente trattamenti necessari per la
normale, corretta e legittima instaurazione e svolgimento dei
rapporti di lavoro.
L'eventuale sospensione di tali trattamenti potrebbe
tra l'altro danneggiare i dipendenti interessati e bloccare l'attività
di impresa.
Il sottoscritto.........................,
direttore responsabile del quotidiano.................., edito
dalla Società editrice.............................................
con sede in......................., in qualità di titolare
del trattamento più oltre descritto
premesso che
lo scrivente attua il trattamento di dati personali
contenuti in testi ed immagini provenienti dall'esercizio della
professione di giornalista, per il perseguimento con pluralità
di mezzi delle finalità informative di cui all'art. 21
della Costituzione;
il trattamento di cui sopra riguarda anche dati definiti
sensibili dalla legge 675/1996, e in particolare, dati di cui
all'art. 25 della stessa, inclusi quelli idonei a rivelare lo
stato di salute e la vita sessuale resi noti dagli stessi interessati
o da pubbliche autorità anche straniere o in occasione
di eventi di risonanza nazionale o internazionale;
il trattamento è effettuato prevalentemente
con sistemi informatici, in ogni caso utilizzando e applicando
opportune misure di sicurezza;
chiede
che il Garante autorizzi ex art. 22 legge 675/1996
il trattamento sopra indicato, per le finalità esposte.
Si confida nella sollecita concessione dell'autorizzazione
richiesta in quanto concerne trattamenti necessari ed indispensabili
per il legittimo esercizio delle attività istituzionali
del quotidiano............................
L 'eventuale sospensione del suddetto trattamento
impedirebbe l'esercizio stesso dell'attività giornalistica.
La presente richiesta viene presentata nonostante
si ritenga esorbitante rispetto a quanto già previsto dalle
leggi vigenti in materia di informazione giornalistica nonché
ai sensi del 20 comma
dell'art. 25 della legge n. 675/1996.
Il titolare
I suoi dati fanno parte dell'archivio elettronico
della Società Editrice............nel rispetto di quanto
stabilito dalla legge n. 675/1996 sulla tutela dei dati personali.
Lei avrà l'opportunità di essere aggiornato su prodotti,
iniziative e offerte della nostra Società. I suoi dati
non saranno oggetto di comunicazione o diffusione a terzi. Per
essi Lei potrà richiedere, in qualsiasi momento, modifiche,
aggiornamento, integrazione o cancellazione, scrivendo all'attenzione
del................... (1).
Solo se Lei non desiderasse ricevere comunicazioni, barri la casella
sottostante
<>
(1) Indicare il nominativo del Titolare o, se designato,
del Responsabile del trattamento
Indicandoci i Suoi dati, lei avrà l'opportunità
di essere aggiornato su prodotti, iniziative e offerte della Società
Editrice...................Essi saranno inseriti nella banca dati
elettronica della Società nel rispetto di quanto stabilito
dalla legge 675/1996 sulla tutela dei dati personali. I Suoi dati
non saranno oggetto di comunicazione o diffusione a terzi. Per
essi Lei potrà richiedere modifiche, aggiornamento, integrazione
o cancellazione, scrivendo al................................
(1). Solo se Lei non desiderasse
ricevere comunicazioni, barri la casella sottostante.
<> (1) Indicare il nominativo del Titolare o, se designato, del Responsabile del trattamento |