Cos'è il codice della privacy
Il nuovo testo unico della legge
sulla privacy, il D.Lgs 196/2003, in vigore dal 1° gennaio 2004, ha
sostituito tutti i provvedimenti emanati precedentemente in materia di
privacy e in particolare la legge 675/1996 e gli altri decreti
legislativi e regolamenti succedutisi nel corso degli anni. Esso tiene
conto della direttiva UE 2000/58 sulla riservatezza delle comunicazioni
elettroniche e colloca l’Italia in posizioni di avanguardia in
materia di privacy rispetto agli altri paesi.
Il testo unico è diviso in
tre parti: la prima è dedicata alle disposizioni generali, la
seconda riguarda le regole per specifici settori mentre la terza
affronta il regime delle tutele e delle sanzioni amministrative e
penali.
In cosa consiste la Privacy
La legge sulla privacy si applica
anche ai soggetti pubblici quali le scuole, in quanto soggetti che trattano dati personali sul
territorio italiano. Ma in cosa consiste? Si può affermare che
la legge protegge i dati personali di qualsiasi persona fisica che ora ha il diritto che i propri dati siano trattati
correttamente, che non siano manipolati contro la propria
volontà, che non siano diffusi o comunicati a soggetti esterni.
La legge sulla privacy è quindi un’estensione dei diritti
del cittadino in una società sempre più informatizzata
nella quale diventa difficile controllare la reale diffusione delle
informazioni.
La legge si basa su una serie di
definizioni, la cui comprensione è necessaria per capire la
privacy. Secondo il linguaggio del legislatore, un “titolare del
trattamento” effettua il “trattamento” di un
“dato personale” di un “interessato” tramite i
propri “incaricati”. In questa semplice frase sono
concentrate le definizioni principali che servono per capire la
privacy.
Vediamole una per una:
Il “titolare del trattamento” è la persona fisica o giuridica che gestisce il dato personale.
Il “trattamento”
è una qualsiasi operazione che viene effettuata sul dato
personale, per esempio la sua modifica, la cancellazione, la stampa, la
presa visione.
Il “dato personale”
è una qualsiasi informazione che si riferisce inequivocabilmente
a una persona fisica o giuridica, per esempio può essere il
nominativo, l’indirizzo, il codice fiscale.
L'"interessato”
è la persona, fisica o giuridica, che ha affidato i propri dati
personali al titolare del trattamento, dati di cui rimane proprietario
anche se sono gestiti nelle strutture del titolare.
Gli “incaricati” sono le persone fisiche che effettuano materialmente il trattamento per con del titolare.
Ma cosa significa averne cura?
La legge, all’art. 11, dice che i dati personali devono essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi,
ed utilizzati in altre operazioni del trattamento in termini
compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione
dell'interessato per un periodo di tempo non superiore a quello
necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
Questo è il cuore della legge, cioè fare molta attenzione a come vengono trattati i dati personali.
Altri due aspetti da sottolineare: il principio di necessità e le finalità del trattamento.
Le pubbliche amministrazioni
Le pubbliche amministrazioni
devono trattare solo i dati necessari per la finalità che si
prefiggono, e la finalità può essere solo quella
istituzionale. Ciò significa che esse non
può trattare dati superflui ma devono limitarsi a raccogliere e
trattare solo i dati necessari allo svolgimento delle proprie
attività. Per esempio, se all'interno di una scuola raccogliessimo come dato personale
l’appartenenza politica di un genitore di un alunno, si
compirebbe un vero e proprio illecito in quanto tale dato è
superfluo e perciò raccolto senza motivo ai fini della gestione
del curriculum dell’alunno.
Passando alla finalità del
trattamento, non potremmo fornire un elenco degli indirizzi dei nostri
alunni ad una società di marketing: i dati sono stati forniti per
le finalità proprie della scuola, tra cui non rientrano quelle
commerciali. Anche inquesto caso si prefigurerebbe un illecito.
Il codice della privacy
prevede
altri adempimenti quali l’informativa, la notifica, la nomina e
la formazione degli incaricati, l’individuazione dei trattamenti
esterni, l’applicazione delle misure di sicurezza tra cui la
stesura del DPS (Documento programmatico della sicurezza) e contempla
l'introduzione dell'importante figura dell'Amministratore di sistema.
Di tutto questo parleremo nelle prossime pagine. |