Salvatore Capezzuto*
La privacy
Tutele e limiti del diritto
Introduzione
Il codice in materia di protezione dei dati personali (dlgs 30 giugno 2003 n. 196 ), la cosiddetta legge sulla privacy, detta una serie di regole che intendono disciplinare i trattamenti delle informazioni relative ai vari soggetti, da chiunque effettuati.
Esso si pone a tutela della privacy delle persone fisiche, ma anche a tutela delle persone giuridiche, enti o associazioni, che siano in qualche modo identificate o identificabili, anche indirettamente.
Il “diritto alla protezione dei dati personali” quale prerogativa fondamentale della persona, è stato introdotto nell’ordinamento in attuazione dell’art. 8 della Carta dei diritti fondamentali dell’Unione Europea del 7 dicembre 2000 e deve considerarsi quale diritto autonomo e distinto rispetto al diritto alla riservatezza, sostanziandosi nel diritto del suo titolare di conoscere e controllare la circolazione delle informazioni che lo riguardano.
Il codice, che ha dunque affermato, all’art. 1, il diritto alla protezione dei dati personali, mira a garantire che il trattamento di queste informazioni “si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali” (art. 2).
Il codice della privacy attua la direttiva CE 12 luglio 2002 n. 2002/58 sul trattamento dei dati personali e modifica la legge 31 dicembre 1996 n. 675, che per prima aveva introdotto la tutela della riservatezza.
Esso detta le regole sia per i soggetti pubblici che per i soggetti privati, stabilendo alcune differenze in considerazione degli scopi di interesse pubblico che perseguono le amministrazioni nel trattamento dei dati personali.
Al riguardo, l’art. 4, comma 9, della legge 4 marzo 2009 n. 15 ha aggiunto un periodo all’art. 1 del dlgs 196/2003, precisando che le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale. Tale norma rende legittima la pubblicazione di dati ed elenchi relativi a soggetti che svolgono o hanno svolto incarichi pubblici.
1. Il trattamento dei dati personali
La legge sulla privacy si applica a qualsiasi utilizzo dei dati personali destinati ad una comunicazione sistematica o alla diffusione.
Per “dato personale” si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione.
Nell’ambito della generalità dei dati personali, il legislatore assegna una particolare tutela ai “dati sensibili”, che sono i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Un’altra particolare categoria di dati personali prevista dal codice della privacy, equiparata ai dati sensibili, è composta dai “dati giudiziari”. Essi sono i dati personali idonei a rivelare provvedimenti iscritti nel casellario giudiziale, le sanzioni amministrative dipendenti da reato ed i carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.
L’utilizzo dei dati personali viene denominato “trattamento” dalla legge sulla privacy e comprende ben 17 diverse attività, effettuate anche senza l’ausilio di strumenti elettronici, concernenti: la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.
Le norme sulla privacy vanno applicate a tutti i dati personali, anche se non registrati in una banca di dati ma su registri cartacei.
Applicare la normativa sulla privacy vuol dire in concreto adempiere ai diversi obblighi posti a carico di chi gestisce le attività di “trattamento” dei dati personali.
Il soggetto che gestisce il trattamento di dati personali altrui è denominato dalla legge “titolare” del trattamento e può essere una persona fisica o una persona giuridica o una pubblica amministrazione ed ogni altro ente, associazione od organismo.
Le norme della legge sulla privacy sono poste a tutela del soggetto a cui i dati si riferiscono, che a sua volta può essere una persona fisica, una persona giuridica, un ente o un’associazione, denominato “interessato”.
Il soggetto (persona fisica, persona giuridica o pubblica amministrazione ) che gestisce le informazioni di altri soggetti deve adeguare la propria organizzazione alle norme sulla privacy.
A tal fine deve nominare per iscritto un “responsabile” del trattamento dei dati personali, preposto alla gestione delle informazioni in conformità alla legge sulla privacy.
Il responsabile dovrà essere sempre scelto tra persone che, per esperienza o capacità, forniscano idonee garanzie circa il pieno rispetto delle norme vigenti in materia di trattamento dei dati, ivi compreso il profilo della sicurezza.
Gli “incaricati” del trattamento dei dati personali, invece, sono le persone fisiche autorizzate dal titolare o dal responsabile a compiere le operazioni di registrazione, comunicazione, eccetera che la legge fa rientrare nella nozione di trattamento dei dati personali.
2. Gli obblighi di tutela della privacy a carico dei soggetti privati
Una qualsiasi impresa privata, o qualunque soggetto che svolge una qualsiasi attività produttiva o commerciale, pone in essere quotidianamente attività di trattamento di dati personali dei propri clienti, dipendenti e fornitori.
Chi svolge un’attività deve quindi affrontare seriamente il problema di adeguare la propria struttura alla disciplina dettata dal codice della privacy, onde evitare le pesanti sanzioni, penali e amministrative, in esso stabilite per l’inadempimento dei suoi obblighi.
A questo proposito, a nulla rileva né il numero dei dati trattati, né il tempo, cioè la durata del trattamento, né soprattutto la modalità informatica dello stesso; basta utilizzare un solo dato personale, anche per poco tempo e senza utilizzare un computer, perché si applichi la legge.
Anche quando una persona fisica effettua il trattamento dei dati altrui per fini esclusivamente personali, egli è tenuto a rispettare le disposizioni sulla privacy, ma l’obbligo di rispettare le disposizioni della legge sussiste solo quando i dati raccolti e trattati sono destinati a una comunicazione sistematica o alla diffusione.
I dati personali oggetto di trattamento devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in termini compatibili con tali scopi.
Non possono essere utilizzati dati personali eccedenti rispetto alle finalità per le quali sono stati raccolti e per un periodo di tempo superiore a quello necessario al raggiungimento degli scopi per i quali essi sono stati raccolti o successivamente trattati.
A tal fine il garante della privacy promuove, nell’ambito delle categorie interessate, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, i quali sono riportati nell’allegato A) del codice della privacy.
Il rispetto delle disposizioni contenute nei codici deontologici costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici.
Nell’allegato A) del codice è stato disposto, tra gli altri, l’inserimento dei codici di deontologia per i trattamenti di dati per finalità giornalistiche, per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo e per i dati trattati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.
3. L’informativa
Il primo obbligo che l’impresa privata deve assolvere è l’informativa all’interessato sulle maggiori caratteristiche relative all’utilizzo delle informazioni che lo riguardano.
La ratio che è alla base di questo fondamentale adempimento risiede nella necessità di consentire all’interessato di conoscere l’ambito di circolazione delle informazioni e metterlo nelle condizioni di esercitare il controllo diretto sulle operazioni di trattamento dei propri dati personali.
Il contenuto dell’informativa è previsto tassativamente dal legislatore e riguarda:
le finalità e le modalità del trattamento cui sono destinati i dati;
la natura obbligatoria o facoltativa del conferimento dei dati;
le conseguenze di un eventuale rifiuto di rispondere;
i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
i diritti dell’interessato a tutela della privacy;
gli estremi identificativi del responsabile del trattamento dei dati personali.
Il rilascio dell’informativa costituisce una condizione di validità del consenso successivamente prestato dall’interessato al trattamento dei suoi dati personali.
L’informativa va rilasciata prima della raccolta dei dati, al soggetto interessato oppure ai soggetti terzi presso i quali siano stati raccolti i dati dell’interessato.
Se i dati personali non sono raccolti presso l’interessato, inoltre, l’informativa è data al medesimo interessato all’atto della registrazione dei dati.
Il garante della privacy può autorizzare modalità semplificate di informativa, come nel caso del Provvedimento del 19 giugno 2008 che ha stabilito le semplificazioni rispetto a trattamenti di dati per finalità amministrative e contabili da parte di aziende e professionisti e dell’informativa semplificata predisposta per i medici di medicina generale ed i pediatri di libera scelta, autorizzata con provvedimento del 19 luglio 2006.
4. Il consenso
Prima della raccolta dei dati personali e comunque prima della registrazione dei dati se raccolti presso terzi, va richiesto il consenso all’interessato, salvo particolari situazioni in cui il legislatore ammette la possibilità di richiedere il consenso ad un soggetto diverso dall’interessato (come nel caso di incapacità fisica o mentale dell’interessato o del consenso rilasciato da chi esercita la patria potestà, in relazione ai minori).
Il consenso va richiesto dai soggetti privati che raccolgono i dati personali, mentre, salvo quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell’interessato.
Il consenso deve essere manifestato in forma scritta nel caso in cui il trattamento abbia ad oggetto dati sensibili, mentre per il trattamento dei dati personali che non siano sensibili è richiesto semplicemente che il consenso sia esplicito, potendo quindi rendersi anche in forma orale.
La mancanza di consenso può cagionare danno ad altri per effetto del trattamento di dati personali, con il conseguente obbligo del risarcimento dei danni ai sensi dell’articolo 2.050 del codice civile.
Ad esempio, la pubblicazione dell’immagine di un privato cittadino, anche se inidonea a ledere il decoro e la reputazione dello stesso, in assenza di consenso determina una palese violazione della privacy, con conseguente diritto in capo al cittadino di vedersi riconosciuto adeguato risarcimento del danno (App. Roma, Sez. I, 17/11/2008).
Invece, la giurisprudenza ha ritenuto che le prove offerte dal datore di lavoro a sostegno dell’intimato licenziamento del lavoratore, consistenti nei tabulati telefonici analitici riferiti al telefonino aziendale, sono utilizzabili in quanto si collocano nell’ambito di situazioni che prescindono dal consenso dell’interessato ovvero nell’ambito dei cosiddetti “controlli difensivi” datoriali, ammessi e ritenuti legittimi dalla giurisprudenza, o comunque per non essere la privacy del prestatore di ostacolo all’accertamento giudiziale, sulla scorta della disciplina processuale vigente, cui il codice della privacy rinvia (Trib. Torino, 28/09/2007).
5. I diritti dell’interessato
Nei confronti del soggetto privato che tratta i suoi dati, l’interessato ha una serie di diritti che può azionare per verificare il corretto trattamento dei dati e, in caso di mancata osservanza degli obblighi di legge o di legittimi motivi a tutela della sua privacy, ha il diritto di opporsi al trattamento dei suoi dati personali.
Anzitutto l’interessato ha il diritto di ottenere una serie di informazioni volte a sapere se l’impresa sta trattando il suo dato personale, in che modo sta eseguendo il trattamento del dato personale e come ne è venuta in possesso.
In particolare, l’interessato ha diritto di conoscere:
l’origine dei dati personali, vale a dire come ha raccolto i suoi dati;
le finalità e le modalità del trattamento dei suoi dati personali, vale a dire per quale motivo tratta i suoi dati personali ed in che modo;
la logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
i nominativi dei responsabili designati per il trattamento dei dati personali;
i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di incaricati del trattamento dei suoi dati personali.
Qualora l’interessato scopra che l’impresa privata non sta eseguendo il trattamento dei suoi dati personali in maniera conforme alla legge sulla privacy, egli ha diritto di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti.
In aggiunta, l’interessato ha anche il diritto che l’impresa comunichi l’avvenuta cancellazione, trasformazione in forma anonima o blocco dei dati personali a coloro ai quali i dati dell’interessato sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
Inoltre, la notevole ampiezza dei diritti previsti dal codice sulla privacy è dimostrata dal fatto che l’interessato, anche in assenza di una violazione delle norme da parte del soggetto che effettua il trattamento dei suoi dati personali, ha comunque il diritto di opporsi al trattamento dei dati personali che lo rigu