LE NUOVE NORME SULLA PRIVACY

Entra in vigore oggi 1 febbraio il decreto legislativo n. 467 del 28 dicembre 2001 (pubblicato sulla G.U. n.13 del 16 gennaio 2002), che integra e modifica la normativa sulla privacy. Il provvedimento legislativo rappresenta una tappa importante nel processo di semplificazione per quanti devono applicarla e di rafforzamento delle garanzie per i cittadini.

Qui di seguito viene illustrata una sintesi delle maggiori novità introdotte dal decreto.

Semplificazioni

Viene snellito il sistema delle notificazioni. Se fino ad ora lo snellimento si è basato su esoneri e notificazioni semplificate su base facoltativa, il nuovo decreto prevede invece l’individuazione di un elenco tassativo e ristretto di categorie di soggetti tenuti a questo obbligo. Vengono così escluse dalla notificazione le banche dati di routine, comunque individuabili.

Si ampliano i casi che pongono meno rischi per gli interessati e per i quali è consentito trattare i dati senza il consenso dell’interessato:

Non sarà necessario chiedere il consenso per adempiere ad obblighi contrattuali e pre–contrattuali. Il caso riguarda anche banche e assicurazioni per finalità legate all’espletamento dei servizi richiesti (tale intervento risolve, in particolare, il cd. "pregresso bancario", vale a dire la mancata prestazione del consenso da parte dell’interessato alla trasmissione dei dati a terzi da parte del proprio istituto di credito).

I soggetti privati titolari del trattamento possono trattare i dati senza il consenso dell’interessato, quando ci sia un legittimo interesse di chi gestisce i dati (titolare del trattamento) o di un terzo al quale i dati sono comunicati, e non prevalga un diritto fondamentale o un altro legittimo interesse della persona interessata (cosiddetto principio del "bilanciamento di interessi" che verrà tradotto in concreto da provvedimenti del Garante).

Senza consenso dell’interessato, ma con l’autorizzazione del Garante, possono essere raccolti ed utilizzati anche alcuni dati sensibili quando si tratti di: 1) taluni trattamenti effettuati, al loro interno, da associazioni che operano in ambito religioso, politico o sindacale, con particolare riferimento alle confessioni religiose ed in presenza di alcune garanzie; 2) trattamenti svolti in presenza di esigenze di salvaguardia della vita o dell’ incolumità fisica; 3) trattamenti effettuati per esigenze di investigazioni difensive o per la tutela di un diritto in sede giudiziaria, in conformità con il codice deontologico degli avvocati e degli investigatori.

Il modello di informativa, con le indicazioni sull’uso che verrà fatto dei dati dell’interessato e dei diritti che può esercitare, viene snellito. Dovrà, però, essere specificato almeno un responsabile (preferibilmente quello al quale l’interessato può rivolgersi per far valere i suoi diritti).

Rafforzamento delle garanzie per i cittadini

Diventa specifico reato la produzione di dichiarazioni o documenti falsi dinanzi all’Autorità Garante anche in fase ispettiva o l’inosservanza del divieto del Garante di proseguire un trattamento illecito, anche quando non comporti un pregiudizio rilevante.

Il Garante potrà bloccare o vietare ogni tipo di trattamento illecito anche in assenza di un pregiudizio rilevante per le persone interessate, diversamente da quanto era previsto in precedenza (eventualmente concedendo dapprima un termine per regolarizzare il trattamento).

La raccolta e l’uso di dati, anche attraverso nuove tecnologie, che possono comportare specifici rischi per i diritti e le libertà delle persone dovranno essere preventivamente esaminati dal Garante, il quale dovrà stabilire misure a accorgimenti da rispettare a garanzia delle persone (il cosiddetto "prior checking").

La legge sulla privacy si applicherà anche alla gestione dei dati effettuata da chi, pur avendo sede in Paesi non appartenenti all’Unione Europea, utilizza però, per il trattamento dei dati, strumenti situati nel nostro Paese. La norma può riferirsi, ad esempio, ai cosiddetti "trattamenti invisibili", come l’invio dei "cookies".

Depenalizzazione

Sono state escluse specifiche conseguenze penali nel caso di trattamenti effettuati per motivi esclusivamente personali - cioè con un computer "domestico" - per chi omette le misure minime di sicurezza prescritte dalla normativa sulla privacy.

Viene depenalizzata l’omessa, non tempestiva o incompleta notificazione (la comunicazione al Garante dell’esistenza di una banca dati), prevedendo però la pubblicazione del provvedimento dell’Autorità, per compensare l’omessa pubblicità della banca dati. Si pagherà una sanzione amministrativa da 5.164,6 a 30.987,4 euro (da 10 a 60 milioni di lire).

I titolari del trattamento che omettono l’adozione delle misure minime di sicurezza possono regolarizzare la loro posizione, anche a fini penali, attuando le misure e con il pagamento di una somma stabilita (il cosiddetto "ravvedimento operoso"). L’ammenda va da 5.164,6 a 41.316,6 euro (da 10 a 80 milioni di lire).

Multe aumentate

Sono stati adeguati i livelli di alcune sanzioni amministrative pecuniarie, anche in riferimento alle capacità economiche del contravventore: la sanzione per la mancata informativa all’interessato arriva fino a 9.296,2 euro (18 milioni di lire) e a 15.493,7 euro (30 milioni di lire) nei casi di maggiore pregiudizio per l’interessato, mentre quella per chi omette di fornire al Garante la documentazione richieste è aumentata fino a 15.493,7 euro (30 milioni di lire)

Una nuova categoria di dati. i dati "semi-sensibili"

È nata una terza categoria di dati, "semi-sensibili" a cavallo tra i "comuni" e i "sensibili" (si dovrà valutare, ad esempio, il regime applicabile a certe liste di sospettati o a nominativi inseriti nelle centrali rischi, a impronte digitali, etc.), il cui trattamento potrà iniziare solo dopo che il Garante abbia stabilito preventivamente, entro il gennaio 2003, gli eventuali accorgimenti da adottare (il cosiddetto "prior checking).

I codici deontologici

Importanti settori come Internet, la videosorveglianza, il direct marketing, il rapporto di lavoro, l’informazione commerciale, le cosiddette "centrali rischi" saranno disciplinati attraverso i codici di deontologia e di buona condotta, che dovranno essere promossi dal Garante entro il giugno 2002, e messi a punto dagli organismi rappresentativi dei vari settori (finora, quelli adottati, riguardano l’attività dei giornalisti, degli storici e degli statistici), previa verifica da parte dell’Autorità della loro conformità alla legge.

Privacy e telecomunicazioni

La legge introduce altre garanzie in materia di telecomunicazioni: l’obbligo per i fornitori di servizi di telecomunicazioni di informare adeguatamente il pubblico circa l’identificazione della linea chiamante e l’esigenza che i fornitori stessi assicurino la disattivazione di tale servizio per le chiamate di emergenza.

I fornitori di servizi telefonici dovranno rendere effettivo l’uso di modalità di pagamento alternative alla fatturazione in modo da assicurare l’anonimato dell’utente (ad es., carte pre-pagate).