Stampa questo articolo

Di Cecilia Trevisi
8 luglio 2002

Nella Gazzetta Ufficiale del 16 gennaio 2002, n.° 13 sono state pubblicate le modifiche e le integrazioni alla legge 675/1996, nota come “legge sulla privacy”, che entreranno in vigore il 1 febbraio 2002.

Struttura del d.lgs. 467/2001
Il decreto legislativo n. 467/2001 si articola in tre Capi.
Il primo contiene tre gruppi di norme: un primo gruppo completa il recepimento della direttiva n. 95/46 concernente la tutela delle persone fisiche in relazione al trattamento e alla libera circolazione dei dati personali. Il secondo gruppo di norme introduce elementi di semplificazione e razionalizzazione di alcuni adempimenti, tra cui si rilevano quelli relativi all’informativa agli interessati e alla notificazione dei trattamenti al Garante. Il terzo gruppo di disposizioni ha come oggetto la revisione del sistema sanzionatorio, introducendo più sanzioni amministrative e meno reati, in tema di tutela dei dati personali.
Il secondo Capo si compone di un solo articolo (articolo 20) e riguarda la possibilità di estendere la disciplina della tutela dei dati personali a nuovi settori. Tale applicazione è resa possibile attraverso la promozione da parte del garante (entro il 30 giugno 2002) della sottoscrizione di codici deontologici; questi ultimi riguarderanno ambiti di forte interesse attuale, tra i quali: Internet e il direct marketing.
Il terzo Capo è dedicato al completamento e all’attuazione della direttiva n. 97/66 relativa ai servizi di telecomunicazioni. Inoltre introduce modifiche e integrazioni al d.lgs. n. 171/1998, recante disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni.

Modifiche maggiormente significative

Nell’articolo 2 della legge 675/1996, relativo alla tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, sono stati aggiunti due commi (1bis e 1ter) che ampliano l’ambito soggettivo della normativa in esame, nell’ottica di una concezione comunitaria ormai diffusa.
Il testo originario dell’articolo 2 prevedeva l’applicazione della legge 675/1996 al trattamento dei dati personali da chiunque effettuato nel territorio dello Stato.
La riforma introduce un’estensione dell’applicazione della l.675/1996 al trattamento dei dati personali effettuato da chiunque sia stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento dei medesimi, mezzi situati nel territorio dello Stato, è fatta salva l’ipotesi in cui tali mezzi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea.
In questi casi, il titolare stabilito nel territorio di un Paese non appartenente all’Unione europea deve designare ai fini dell’applicazione della presente legge un proprio rappresentante stabilito nel territorio dello Stato.
La riforma interviene sull’articolo 7 della legge 675/1996 semplificando i casi e le modalità di notificazione al Garante da parte del titolare di dati personali che intenda procedere ad un trattamento dei medesimi, ove tale trattamento, in ragione delle modalità o della natura dei dati personali, sia suscettibile di recare pregiudizio ai diritti e alle libertà dell’interessato.
La nuova riforma limita questi adempimenti per i soli casi e con le modalità individuati con il regolamento di cui all’articolo 33, comma 3 della legge 675/1996. Secondo il disposto dell’articolo appena citato, si rendeva necessaria l’emanazione di un regolamento in cui venivano determinate le norme concernenti il procedimento dinanzi al Garante, secondo modalità tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contraddittorio tra le parti interessate. Nel medesimo regolamento dovevano essere altresì determinate: le indennità di cui all’articolo 30, comma 6 (tali indennità di funzione spettano al presidente e ai membri dell’organo Garante), le norme volte a precisare le modalità per l’esercizio dei diritti di cui all’articolo 13 (si tratta dei diritti spettanti all’interessato: diritto di conoscere l’esistenza di dati che possono riguardarlo, diritto alla cancellazione o aggiornamento dei medesimi dati, diritto alla trasformazione in forma anonima dei medesimi dati..), nonché le norme relative alla notifica di cui all’articolo 7 (obbligo di notificazione per il titolare del trattamento di dati personali al Garante).
Tale regolamento deve pertanto individuare i casi in cui si dovrà notificare il trattamento dei dati, in ragione della natura delle informazioni utilizzate, delle specifiche modalità del trattamento e della possibilità di recare pregiudizio ai diritti e alle libertà dell’interessato. Dall’entrata in vigore di tale regolamento si considereranno abrogate le disposizioni attualmente vigenti relative all’obbligo di notificazione al Garante.
L’articolo 10, comma primo, punto f) della legge 675/1996, relativo all’informativa sul titolare dei dati sensibili, è stato novellato.
La vecchia formula dell’articolo 10 prevedeva che “l’interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati (…) circa: f) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se designato, del responsabile (…)”. La nuova formula dell’articolo in esame prevede che l’informativa deve riguardare altresì il rappresentante del titolare nel territorio dello Stato e almeno “un responsabile, da indicare nel soggetto eventualmente designato ai fini di cui all’art.13, indicando il sito della rete di comunicazione o le modalità attraverso le quali è altrimenti conoscibile in modo agevole l’elenco aggiornato dei responsabili”.
In seguito a queste modifiche il Garante della privacy potrà individuare le misure e gli accorgimenti opportuni per utilizzare quei dati, che pur non qualificandosi come sensibili, presentino rischi specifici per i diritti della persona.
E’ stato individuato un nuovo caso, che va ad aggiungersi all’elenco già previsto nell’articolo 12 della legge 675/1996, in cui non è necessario il consenso da parte dell’interessato all’uso dei propri dati personali.
Il nuovo testo dell’articolo 12, comma primo, lettera h-bis) prevede infatti che “il consenso non è richiesto quando il trattamento (…) è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato”. In questo modo verranno semplificate le attività di outsourcing.
Anche all’articolo 14 è stata introdotta un’ulteriore ipotesi in cui i diritti dell’interessato ex art. 13 della stessa legge non possono essere esercitati. E’ questo il caso del trattamento di dati personali raccolti “da fornitori di servizi di telecomunicazioni accessibili al pubblico, limitatamente ai dati personali identificativi di chiamate telefoniche entranti (…)”.
La generale tendenza della riforma alla 675 di specificare situazioni già disciplinate nel testo della legge vigente, si riscontra altresì nell’articolo 20, relativo ai requisiti per la comunicazione e la diffusione dei dati.
Anche in questo caso il legislatore ha previsto altre due ipotesi in cui si rende necessaria la comunicazione dei dati personali da parte di privati e di enti pubblici economici.
La prima si ha qualora tali dati siano necessari per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo.
La seconda, invece, è prevista per le ipotesi specificatamente individuate dal Garante, sulla base dei principi sanciti dalla legge, allo scopo di perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.
E’ stata introdotta una ipotesi ulteriore, rispetto a quelle già previste dall’art. 22 della legge 675, per la quale è esclusa la tutela dei dati sensibili.
A tal fine è stato introdotto il comma 1-ter all’articolo 22 , che prevede la mancanza di consenso dell’interessato per i dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.
Il legislatore ha previsto inoltre al comma quarto del medesimo articolo ulteriori situazioni in cui i dati personali considerati “sensibili” possono essere oggetto di trattamento previa autorizzazione del Garante. E’ questo il caso in cui il trattamento sia effettuato da associazioni, enti od organismi senza scopo di lucro, a carattere politico, filosofico, ovvero qualora il trattamento sia necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non possa prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere e di volere; e ancora qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n.397, o, comunque per far valere o difendere in sede giudiziaria un diritto, di rango pari a quello dell’interessato.
Le disposizioni contenute nel d.lgs. 507/1999 recante norme in tema di “depenalizzazione dei reati minori e riforma del sistema sanzionatorio” hanno avuto ripercussione anche in tema di tutela della privacy. Infatti, l’articolo 34 della legge 675/1996 relativo alle sanzioni per l’omessa o incompleta notificazione prescritta dagli artt.7 e 28 della medesima legge è stato interamente sostituito.
La vecchia formulazione dell’articolo qui in esame prevedeva che “chiunque, essendovi tenuto, non provvede alle notificazioni (…)ovvero indica in esse notizie incomplete o non rispondenti al vero, è punito con la reclusione da tre mesi a due anni. Se il fatto concerne la notificazione prevista dall’articolo 16, comma 1, la pena è della reclusione fino a un anno”. Il nuovo testo dell’articolo 34 prevede in sostituzione della pena detentiva una sanzione amministrativa concernente il pagamento di una somma da lire dieci milioni a lire sessanta milioni e una pena accessoria consistente nella pubblicazione dell’ordinanza-ingiunzione.
Per l’ipotesi di “omessa adozione di misure necessarie alla sicurezza dei dati”, disciplinata dall’articolo 36 della legge 675 del 1996, la riforma ha previsto una sanzione pecuniaria il cui ammontare può oscillare tra dieci e ottanta milioni in alternativa ad una pena detentiva sino a due anni (è previsto un termine per la “regolarizzazione” non superiore ai sei mesi). Il nuovo testo dell’articolo 36 è andato così a sostituire completamente la vecchia formula del medesimo articolo che si limitava a prevedere, per le ipotesi sopra indicate, unicamente una pena detentiva. La fattispecie descritta non si configura più come un delitto, ma come una contravvenzione e, quindi, punibile anche se commessa solo con colpa e non con dolo.
E’ stato, invece, previsto un nuovo reato per la falsità nelle dichiarazioni e nelle notifiche al Garante che prevede una reclusione da tre mesi a due anni.
Al fine di garantire la piena attuazione dei principi previsti dalla disciplina in materia di trattamento dei dati personali, il Garante promuove (ai sensi dell’art. 31, comma primo, lettera h), della legge 675/1996), entro il 30 giugno 2002 la sottoscrizione di codici di deontologia e di buona condotta per i soggetti pubblici e privati interessati al trattamento dei dati personali, tenendo conto della specificità dei trattamenti nei diversi ambiti, nonché dei criteri direttivi delle raccomandazioni del Consiglio d’Europa.
Questi codici, che rappresentano un’altra importante novità della riforma sulla legge della privacy, riguardano, tra le diverse ipotesi contemplate, il trattamento di dati personali effettuati da fornitori di servizi di comunicazione e informazione offerti per via telematica, ovvero necessari per finalità previdenziali o per la gestione del rapporto di lavoro, nonché effettuati ai fini di invio di materiale pubblicitario o per il compimento di ricerche di mercato.
Allo stato attuale non sono ancora disponibili i modelli relativi a questi nuovi codici.