Il nuovo Codice della Privacy
Dalla Newsletter del Garante per la protezione dei dati personali
Entra in vigore il 1 gennaio 2004 il decreto legislativo n.196 del 30 giugno 2003, denominato “Codice in materia di protezione dei dati personali”. Il Codice, che rappresenta il primo tentativo al mondo di comporre in maniera organica le innumerevoli disposizioni relative, anche in via indiretta, alla privacy, riunisce in unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni, e contiene anche importanti innovazioni tenendo conto della “giurisprudenza” del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche.
Il Testo unico è ispirato all’ introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione degli adempimenti e sostituirà la legge “madre” sulla protezione dei dati, la n. 675 del 1996.
Il Codice è diviso in tre parti:
- la prima è dedicata alle disposizioni generali, riordinate in modo tale da trattare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato;
- la seconda è la parte speciale dedicata a specifici settori. Questa sezione, oltre a disciplinare aspetti in parte inediti (informazione giuridica, notificazioni di atti giudiziari, dati sui comportamenti debitori), completa anche la disciplina attesa da tempo per il settore degli organismi sanitari e quella dei controlli sui lavoratori;
- la terza affronta la materia delle tutele amministrative e giurisdizionali con il consolidamento delle sanzioni amministrative e penali e con le disposizioni relative all’Ufficio del Garante.
Ecco, in sintesi, alcuni dei punti rilevanti del testo, che in molte parti recepisce e codifica le numerose pronunce emanate e i pareri forniti in questi anni dal Garante.
Sanità
In ambito sanitario si semplifica l’informativa da rilasciare agli interessati e si consente di manifestare il necessario consenso al trattamento dei dati con un’unica dichiarazione resa al medico di famiglia o all’organismo sanitario (il consenso vale anche per la pluralità di trattamenti a fini di salute erogati da distinti reparti e unità dello stesso organismo, nonché da più strutture ospedaliere e territoriali).
Per il settore sanitario vengono inoltre codificate misure per il rispetto dei diritti del paziente: distanze di cortesia, modalità per appelli in sale di attesa, certezze e cautele nelle informazioni telefoniche e nelle informazioni sui ricoverati, estensione delle esigenze di riservatezza anche agli operatori sanitari non tenuti al segreto professionali.
Vengono introdotte (a partire dal 1 gennaio 2005) le cosiddette ricette impersonali, la possibilità cioè di non rendere sempre e in ogni caso immediatamente identificabili in farmacia gli intestatari di ricette attraverso un tagliando predisposto su carta copiativa che, oscurando il nome e l’indirizzo dell’assistito, consente comunque la visione di tali dati da parte del farmacista nei casi in cui sia necessario.
Per i dati genetici viene previsto il rilascio di un’apposita autorizzazione da parte del Garante, sentito il Ministro della salute.
Per quanto riguarda le cartelle cliniche sono previste particolari misure per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati (comprese le informazioni relative ai nascituri), ma anche specifiche cautele per il rilascio delle cartelle cliniche a persone diverse dall’interessato.
Lavoro
Viene confermata l’elaborazione di un codice di deontologia e buona condotta che dovrà fissare regole per l’informativa ed il consenso anche degli annunci per finalità di occupazione (selezione del personale) e della ricezione dei curricula.
Il Codice affronta anche la questione dei controlli a distanza con la riaffermazione di quanto sancito dall’articolo 4 dello Statuto dei lavoratori (legge 300/1970).Il lavoratore domestico è tenuto a mantenere la necessaria riservatezza per tutto quanto si riferisce alla vita familiare.
Trattamento dati personali in ambito giudiziario
Vengono meglio garantiti i diritti della personalità delle parti. Il Codice prevede anche che l’interessato possa chiedere, nel processo, di apporre sulla sentenza un’annotazione con la quale si avvisa che, in caso di pubblicazione del verdetto su riviste giuridiche o su supporti elettronici o di diffusione telematica, devono essere omessi i dati dell’interessato. La versione della sentenza così pubblicata va sempre “criptata” quando si tratta di minori.
Con disposizione espressa si attribuisce maggiore tutela ai minori non solo nel processo penale, ma anche nei procedimenti civili e amministrativi.
Pubblica amministrazione
Il Codice innova anche, raccogliendo indicazioni del Garante, nella materia della notificazione degli atti giudiziari e degli atti amministrativi e impone la regola della busta chiusa per i casi di notifica effettuata a persona diversa dal destinatario.
Viene sancita espressamente la necessità per gli enti pubblici di approvare regolamenti per i trattamenti dei dati sensibili, ma solo con il parere conforme del Garante.
Liste elettorali
Le liste elettorali non possono essere più usate per promozione commerciale, ma solo per scopi collegati alla disciplina elettorale e per finalità di studio ricerca statistica, scientifica o storica o a carattere socio assistenziale.
Telecomunicazioni
I cittadini potranno meglio scegliere se essere inseriti nell’elenco telefonico o le modalità con le quali comparire sull’elenco: potranno decidere, in particolare, se far usare i loro numeri telefonici e indirizzi anche per informazioni commerciali o solo per comunicazioni interpersonali.
Vengono previste misure per combattere il fenomeno delle chiamate di disturbo.
Confermato il diritto a ricevere, su richiesta, fatture dettagliate (con le ultime tre cifre “in chiaro”) in caso di contestazione.
Spamming
L’invio di messaggi attraverso sistemi automatizzati (Sms, Mms, fax, posta elettronica) richiede il consenso degli interessati. Il cliente deve essere informato della possibilità di opporsi a “messaggi indesiderati”.
Internet, videosorveglianza, direct marketing, “centrali rischi” private
Per settori così delicati il codice conferma la previsione di appositi codici deontologici che fissano regole specifiche.
Sanzioni
Sanzioni pecuniarie e penali aumentate per chi viola la privacy, in particolare per l’uso dei dati senza consenso degli interessati, per il mancato adempimento nei confronti di un provvedimento del Garante, per la mancata informativa agli interessati sull’uso che si intende fare dei dati che li riguardano.
Misure di sicurezza
Vengono rafforzate, in un quadro di evoluzione tecnologica, le misure di sicurezza contro i rischi di distruzione, intrusione o uso improprio. Alle precauzioni già previste nella normativa precedente (password, codici identificativi, antivirus etc.) che entrano in vigore il 1 gennaio 2004, se ne aggiungono altre che devono essere adottate entro il 30 giugno 2004 (password di non meno di otto caratteri, autenticazione informatica, sistemi di cifratura, procedure per il ripristino dei dati, documento programmatico etc).
Notificazione
Semplificata la notificazione, ovvero dell’atto con cui l’impresa, il professionista o la pubblica amministrazione segnala all’Autorità i trattamenti di dati che intende effettuare. La notifica dovrà essere effettuata solo in particolari casi di trattamento di dati sensibili (specie se sanitari) con determinate modalità d’uso, ma anche per trattamenti particolarmente a rischio, effettuati con strumenti elettronici, nel campo della profilazione dei consumatori, oppure in relazione a procedure di selezione del personale e ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali e relative alla solvibilità .
Diminuiscono le ipotesi di notifica obbligatoria, e vengono snellite anche le modalità della stessa: solo per via telematica, seguendo le indicazioni del Garante quanto all’utilizzo della firma digitale.
Consenso
Il codice della privacy sviluppa il principio del bilanciamento degli interessi con uno snellimento degli adempimenti a carico delle aziende. Resta sostanzialmente confermata la necessità del consenso, ma si prevedono alcune altre ipotesi di esonero con riferimento a settori specifici.
Informativa
Rimane fermo l’adempimento dell’informativa agli interessati preventiva al trattamento dei dati.
Il Garante può, comunque, individuare modalità semplificate in particolare per i servizi telefonici di assistenza e informazione al pubblico (call center).