Approvato il “Codice” della Privacy (*)
(*): il codice è stato recepito dal D.Lgs. 196 del 30 giugno 2003 pubblicato sulla G.U. n. 174 del 29.07.2003
Dalla Newsletter del Garante per la protezione dei dati personali N. 176 del 23 giugno – 6 luglio 2003
Approvato il “Codice” della privacy: Maggiori garanzie per i cittadini. Semplificazioni per esercitare i diritti e adempiere agli obblighi
E’ ispirato all’ introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione, il testo unico in materia di protezione dei dati personali, definitivamente approvato dal Consiglio dei ministri il 27 giugno scorso e denominato “Codice” della privacy. Il provvedimento, sulla base dell’esperienza di 6 anni, riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della “giurisprudenza” del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche.
Il Codice è diviso in tre parti: la prima dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato; la seconda è la parte speciale dedicata a specifici settori: questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti debitori), completa anche la disciplina attesa da tempo per il settore degli organismi sanitari e quella dei controlli sui lavoratori; la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all’Ufficio del Garante.
Il Codice, che rappresenta il primo tentativo al mondo di conformare le innumerevoli disposizioni relative anche in via indiretta alla privacy, entrerà i vigore quasi integralmente il 1 gennaio 2004.
Ecco, in sintesi, alcuni dei punti rilevanti del testo, che in molte parti recepisce e codifica le numerose pronunce emanate e i pareri forniti in questi anni dal Garante.
Notificazione. Una delle principali semplificazioni riguarda l’adempimento della notificazione al Garante, ovvero dell’atto con cui l’impresa, il professionista o la pubblica amministrazione segnala all’Autorità i trattamenti di dati che si intendono effettuare. Mentre con l’originale impianto della legge 675/1996, e le successive modificazioni, dovevano notificare tutti i soggetti non esplicitamente esentati, nel testo unico si rovescia l’impostazione e si indicano solo i pochi casi nei quali la notifica va effettuata. La notifica dovrà essere effettuata solo in particolari casi di trattamento di dati sensibili (specie se sanitari) con determinate modalità d’uso, ma anche per trattamenti particolarmente a rischio, effettuati con strumenti elettronici, nel campo della profilazione dei consumatori, oppure in relazione a procedure di selezione del personale e ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali e relative alla solvibilità. Non solo diminuiscono le ipotesi di notifica obbligatoria, ma vengono snellite anche le modalità della stessa: solo per via telematica, seguendo le indicazioni del Garante quanto all’utilizzo della firma digitale.
Consenso. Il codice della privacy sviluppa il principio del bilanciamento degli interessi con uno snellimento degli adempimenti a carico delle aziende. L’area del consenso viene sostanzialmente confermata per ipotesi già esistenti (artt. 11, 12 e 20 della legge 675/1996), con la previsione di alcune altre ipotesi di esonero con riferimento a settori specifici (tra le altre, quelle di utilizzo per perseguire un legittimo interesse del titolare con particolare riferimento all’attività dei gruppi bancari e per i trattamenti effettuati da associazioni no profit con riferimento a soci e aderenti).
Informativa. Rimane fermo l’adempimento dell’informativa agli interessati preventiva al trattamento dei dati. Il Garante può, comunque, individuare modalità semplificate in particolare per i servizi telefonici di assistenza e informazione al pubblico (call center).
Sanità. In ambito sanitario si semplifica l’informativa da rilasciare ai pazienti e si consente di manifestare il consenso al trattamento dei dati con un’unica dichiarazione resa al medico di famiglia o all’organismo sanitario (il consenso vale anche per la pluralità di trattamenti a fini di salute erogati da distinti reparti e unità dello stesso organismo, nonché da più strutture ospedaliere e territoriali). Per il settore sanitario vengono inoltre codificate misure per il rispetto dei diritti del paziente: distanze di cortesia, niente appelli nominativi dei pazienti in sala di attesa, certezze e cautele nelle informazioni telefoniche e nelle informazioni sui malati ricoverati, estensione delle esigenze di riservatezza anche agli operatori sanitari non tenuti al segreto professionali. Viene introdotta la possibilità di non rendere immediatamente identificabili in farmacia gli intestatari di ricette. Per i dati genetici viene previsto il rilascio di un’apposita autorizzazione da parte del Garante, sentito il Ministro della salute.
Lavoro. Viene confermata l’elaborazione di un codice di deontologia e buona condotta che dovrà fissare regole per l’informativa ed il consenso anche degli annunci per finalità di occupazione (selezione del personale) e della ricezione dei curricula. Il Codice affronta anche la questione dei controlli a distanza con la riaffermazione di quanto sancito dall’ articolo 4 dello Statuto dei lavoratori (legge 300/1970).Il lavoratore domestico è tenuto a mantenere la necessaria riservatezza per tutto quanto si riferisce alla vita familiare.
Tlc. Il codice si inserisce nella linea di tendenza europea e stabilisce un nuovo e più ridotto termine massimo per la conservazione dei dati del traffico telefonico per ragioni di accertamento e repressione reati, prescrivendo un termine di trenta mesi rispetto a quello attuale di 5 anni, secondo modalità che dovranno essere stabilite con decreto ministeriale. Ridotto periodo di conservazione, anonimato e necessità del consenso per il trattamento dei dati sulla localizzazione dei cellulari.
Trattamento in ambito giudiziario. Vengono meglio garantite le parti nei processi. Il Codice prevede infatti che l’interessato possa chiedere, nel processo, di apporre sulla sentenza un’annotazione con la quale si avvisa che, nel caso di pubblicazione del verdetto su riviste giuridiche o su supporti elettronici o in caso di diffusione mediante reti telematiche, devono essere omessi i dati dell’interessato. Con disposizione espressa si attribuisce maggiore tutela ai minori nel processo, non solo in quello penale, ma anche nei settori civili e amministrativi.
Pubblica amministrazione. Il Codice innova anche, accogliendo indicazioni del Garante, nella materia della notificazione degli atti giudiziari e degli atti amministrativi e impone la regola della busta chiusa per i casi di notifica effettuata a persona diversa dal destinatario. Viene sancita espressamente la necessità per gli enti pubblici di approvare regolamenti per i trattamenti dei dati sensibili, ma solo con il parere conforme del Garante.
Liste elettorali. Le liste elettorali non possono essere più usate per promozione commerciale: solo per scopi collegati alla disciplina elettorale e per finalità di studio ricerca statistica, scientifica o storica o a carattere socio assistenziale.
Internet, videosorveglianza, direct marketing. Per settori così delicati il codice conferma la previsione di appositi codici deontologici.
Prorogate le autorizzazioni generali per i dati sensibili e giudiziari
L’Autorità Garante per la protezione dei dati personali – in vista dell’entrata in vigore del “Codice” sulla protezione dei dati personali contenente le disposizioni legislative e regolamentari in materia – ha disposto la proroga al 30 giugno 2004 dell’efficacia delle sei autorizzazioni generali per il trattamento dei dati sensibili e di quella per il trattamento dei dati giudiziari, rilasciate il 31 gennaio 2002.