I nuovi problemi giuridiciI nuovi problemi giuridici

L’utilizzazione sempre più diffusa dell’informatica nel corso degli L’utilizzazione sempre più diffusa dell’informatica nel corso degli anni ha investito tutti gli ambiti della vita sociale. La raccolta, anni ha investito tutti gli ambiti della vita sociale. La raccolta, l’elaborazione e la trasmissione dei dati e delle informazioni l’elaborazione e la trasmissione dei dati e delle informazioni tramite elaboratore elettronico sono attività ormai consolidate; tramite elaboratore elettronico sono attività ormai consolidate; questo fenomeno è destinato ad accentuarsi. In questa situazione questo fenomeno è destinato ad accentuarsi. In questa situazione è facile comprendere che come anche il diritto venga a trovarsi in è facile comprendere che come anche il diritto venga a trovarsi in una relazione con l’informatica. Così una serie di problemi una relazione con l’informatica. Così una serie di problemi giuridici del tutto nuovi necessitano di un adeguata soluzione.giuridici del tutto nuovi necessitano di un adeguata soluzione.

Le Banche Dati e la raccolta di Le Banche Dati e la raccolta di informazioniinformazioni

I moderni elaboratori elettronici consentono di raccogliere un I moderni elaboratori elettronici consentono di raccogliere un numero praticamente illimitato di dati ed informazioni. Tutti i numero praticamente illimitato di dati ed informazioni. Tutti i dati e le informazioni raccolte possono essere memorizzati dati e le informazioni raccolte possono essere memorizzati dall’elaboratore in archivi elettronici ai quali viene attribuito il dall’elaboratore in archivi elettronici ai quali viene attribuito il nome di Banche Dati. Quest’ultima può raccogliere informazioni nome di Banche Dati. Quest’ultima può raccogliere informazioni di qualunque natura: economica, medica,industriale,politica. di qualunque natura: economica, medica,industriale,politica. Può così accadere che in essa vengano memorizzati anche dati Può così accadere che in essa vengano memorizzati anche dati concernenti aspetti della persona che dovrebbero restare concernenti aspetti della persona che dovrebbero restare riservati.riservati.

Che cos’è una Banca Dati?Che cos’è una Banca Dati?

► Banca DatiBanca Dati: qualsiasi complesso di dati personali, ripartito in : qualsiasi complesso di dati personali, ripartito in una o più unità dislocate, in uno o più siti, organizzato una o più unità dislocate, in uno o più siti, organizzato secondo una pluralità di criteri determinati, tali da facilitarne il secondo una pluralità di criteri determinati, tali da facilitarne il trattamento.trattamento.

Che cos’è il Trattamento?Che cos’è il Trattamento?► TrattamentoTrattamento: qualunque operazione o complesso di operazioni, svolti : qualunque operazione o complesso di operazioni, svolti

con o senza l’ausilio di mezzi elettronici o comunque automatizzati, con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modifica, la selezione, l’estrazione, il conservazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati.diffusione, la cancellazione e la distruzione di dati.

Ricerche incrociate di DatiRicerche incrociate di Dati

I dati personali possono essere raccolti da Banche Dati, tra di I dati personali possono essere raccolti da Banche Dati, tra di loro diverse, ma collegate o collegabili, il che rende possibile loro diverse, ma collegate o collegabili, il che rende possibile anche ricerche incrociate. Collegando tra loro molte Banche anche ricerche incrociate. Collegando tra loro molte Banche Dati, si potrebbe ottenere un quadro piuttosto completo della Dati, si potrebbe ottenere un quadro piuttosto completo della personalità di una certa persona, ed una buona conoscenza di personalità di una certa persona, ed una buona conoscenza di aspetti della sua vita che essa presumibilmente preferirebbe aspetti della sua vita che essa presumibilmente preferirebbe tenere riservati.tenere riservati.

Che cos’è un Dato Personale?Che cos’è un Dato Personale?► Dato PersonaleDato Personale: qualunque informazione relativa a persona fisica, : qualunque informazione relativa a persona fisica,

persona giuridica, ente od associazione, identificati o identificabili, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personaleinformazione, ivi compreso un numero di identificazione personale

La tutela rispetto al trattamento La tutela rispetto al trattamento dei dati personali dei dati personali

Con l’uso sempre più intenso e diffuso delle banche Con l’uso sempre più intenso e diffuso delle banche elettroniche di dati personali, il diritto alla elettroniche di dati personali, il diritto alla riservatezza corre maggiori rischi di essere riservatezza corre maggiori rischi di essere frequentemente leso, con conseguenze gravi, e in frequentemente leso, con conseguenze gravi, e in tutti i Paesi è sorto il problema di identificare e tutti i Paesi è sorto il problema di identificare e disciplinare mezzi efficaci di tutela della disciplinare mezzi efficaci di tutela della PrivacyPrivacy delle persone rispetto al trattamento di dati.delle persone rispetto al trattamento di dati.

Che cos’è la Privacy?Che cos’è la Privacy?

► PrivacyPrivacy è termine inglese traducibile all'incirca è termine inglese traducibile all'incirca con con riservatezzariservatezza, è il diritto alla riservatezza delle , è il diritto alla riservatezza delle informazioni personali e della propria vita privata: informazioni personali e della propria vita privata: the right to the right to be let alonebe let alone  (lett. "il diritto di essere lasciati in pace").  (lett. "il diritto di essere lasciati in pace").

Legislazione sulla PrivacyLegislazione sulla Privacy

La legislazione sulla Privacy in Italia è attualmente contenuta La legislazione sulla Privacy in Italia è attualmente contenuta nella Costituzione (articoli 15 e 21), nel Codice Penale (Capo nella Costituzione (articoli 15 e 21), nel Codice Penale (Capo III – Sezione IV) e parzialmente nel III – Sezione IV) e parzialmente nel Decreto legislativo 30 Decreto legislativo 30 giugno 2003, n. 196 giugno 2003, n. 196 intitolato intitolato Codice in materia di protezione Codice in materia di protezione dei dati personalidei dati personali. Sull’applicazione della normativa vigila . Sull’applicazione della normativa vigila L’Autorità Garante per la protezione dei dati personali.L’Autorità Garante per la protezione dei dati personali.

L’evoluzione della normativaL’evoluzione della normativaLegge n. 675/1996Legge n. 675/1996

Inizialmente venne introdotta la legge n. 675/1996 Inizialmente venne introdotta la legge n. 675/1996 ((tutela delle persone e di altri soggetti rispetto al tutela delle persone e di altri soggetti rispetto al trattamento dei dati personalitrattamento dei dati personali) per rispettare gli ) per rispettare gli accordi di Schengen e per dare attuazione alla accordi di Schengen e per dare attuazione alla direttiva 46/95 del Parlamento Europeo e del Consiglio direttiva 46/95 del Parlamento Europeo e del Consiglio relativa alla tutela dei dati personali, nonché alla relativa alla tutela dei dati personali, nonché alla libera circolazione di tali dati.libera circolazione di tali dati.

L’evoluzione della normativaL’evoluzione della normativaDlgs. n. 196/2003Dlgs. n. 196/2003

Con il tempo a tale norma si sono affiancate ulteriori leggi, Con il tempo a tale norma si sono affiancate ulteriori leggi, riguardanti singoli specifici aspetti del trattamento dei dati. La riguardanti singoli specifici aspetti del trattamento dei dati. La complessità della situazione ha reso indispensabile provvedere complessità della situazione ha reso indispensabile provvedere all’emanazione di un Testo Unico, il Decreto legislativo 30 all’emanazione di un Testo Unico, il Decreto legislativo 30 giugno 2003, n. 196 giugno 2003, n. 196 (Codice in materia di protezione dei dati (Codice in materia di protezione dei dati personali)personali) che ha riordinato la normativa, abrogando la Legge n. che ha riordinato la normativa, abrogando la Legge n. 675/1996. Il Testo Unico Vigente è entrato in vigore il 1° gennaio 675/1996. Il Testo Unico Vigente è entrato in vigore il 1° gennaio 2004.2004.

Le finalità della leggeLe finalità della legge

La legge nelle sue finalità intende garantire che il trattamento La legge nelle sue finalità intende garantire che il trattamento dei dati personali si svolga nel dei dati personali si svolga nel rispetto dei dirittirispetto dei diritti, delle , delle libertà libertà fondamentalifondamentali, nonché nella , nonché nella dignità delle persone fisichedignità delle persone fisiche, con , con particolare riferimento alla particolare riferimento alla riservatezza e all’identità riservatezza e all’identità personalepersonale, garantisce altresì i diritti delle persone giuridiche e , garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione.di ogni altro ente o associazione.

I dati personali oggetti di I dati personali oggetti di trattamentotrattamento

Devono essere:Devono essere: Trattati in modo lecito e secondo correttezza;Trattati in modo lecito e secondo correttezza; Raccolti e registrati per scopi determinati, espliciti e legittimi, ed Raccolti e registrati per scopi determinati, espliciti e legittimi, ed

utilizzati in altre operazioni del trattamento in termini non incompatibili utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;con tali scopi;

Esatti e, se necessario, aggiornati;Esatti e, se necessario, aggiornati; Pertinenti, completi e non eccedenti rispetto alle finalità per le quali Pertinenti, completi e non eccedenti rispetto alle finalità per le quali

sono raccolti o successivamente trattati;sono raccolti o successivamente trattati; Conservati in una forma che consenta l’identificazione dell’interessato Conservati in una forma che consenta l’identificazione dell’interessato

per un periodo di tempo non superiore a quello necessario agli scopi per per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.i quali essi sono stati raccolti o successivamente trattati.

Chi è l’Interessato?Chi è l’Interessato?

► InteressatoInteressato: è la persona fisica, la persona : è la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i giuridica, l’ente o l’associazione cui si riferiscono i dati personali.dati personali.

L’interessatoL’interessato

Deve essere informato preventivamente per iscritto circa:Deve essere informato preventivamente per iscritto circa:

Le finalità e le modalità del trattamento cui sono destinati i Le finalità e le modalità del trattamento cui sono destinati i dati;dati;

La natura obbligatoria o facoltativa del conferimento dei dati;La natura obbligatoria o facoltativa del conferimento dei dati; I soggetti o le categorie di soggetti ai quali i dati possono I soggetti o le categorie di soggetti ai quali i dati possono

essere comunicati e l’ambito di diffusione dei dati medesimiessere comunicati e l’ambito di diffusione dei dati medesimi

Il ConsensoIl Consenso

Il trattamento di dati personali da parte di privati o di enti Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il pubblici economici è ammesso solo con il consensoconsenso espresso espresso dall’interessato. Il consenso può riguardare l’intero dall’interessato. Il consenso può riguardare l’intero trattamento, ovvero una o più operazioni dello stesso. Il trattamento, ovvero una o più operazioni dello stesso. Il consenso è validamente prestato solo se è espresso consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documenta per iscritto, e se liberamente, in forma specifica e documenta per iscritto, e se sono state rese all’interessato le informazioni elencate in sono state rese all’interessato le informazioni elencate in precedenzaprecedenza

Casi in cui non è richiesto il consenso Casi in cui non è richiesto il consenso dell’Interessatodell’Interessato

Ciò accade quando il trattamento:Ciò accade quando il trattamento: Riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da Riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da

un regolamento o dalla normativa comunitaria;un regolamento o dalla normativa comunitaria; È necessario per l’esecuzione di obblighi derivanti da un contratto dal quale è È necessario per l’esecuzione di obblighi derivanti da un contratto dal quale è

parte l’interessato o per l’acquisizione di informative precontrattuali attivate parte l’interessato o per l’acquisizione di informative precontrattuali attivate su richiesta di quest’ultimo, o per l’adempimento di obbligo legale;su richiesta di quest’ultimo, o per l’adempimento di obbligo legale;

Riguarda dati provenienti da pubblici registri, elenchi, atti, o documenti Riguarda dati provenienti da pubblici registri, elenchi, atti, o documenti conoscibili da chiunque;conoscibili da chiunque;

È finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratti È finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratti di dati anonimi;di dati anonimi;

È effettuato nell’esercizio della professione di giornalista e per l’esclusivo È effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità nel rispetto del codice di deontologia;perseguimento delle relative finalità nel rispetto del codice di deontologia;

Altri casi in cui non è richiesto il Altri casi in cui non è richiesto il consenso dell’Interessatoconsenso dell’Interessato

Riguarda dati relativi allo svolgimento di attività economiche raccolti nel Riguarda dati relativi allo svolgimento di attività economiche raccolti nel rispetto della vigente normativa in materia di segreto aziendale e rispetto della vigente normativa in materia di segreto aziendale e industriale;industriale;

È necessario per la salvaguardia della vita o dell’incolumità fisica È necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere e di volere;incapacità di intendere e di volere;

È necessario ai fini dello svolgimento delle investigazioni secondo le norme È necessario ai fini dello svolgimento delle investigazioni secondo le norme di attuazione, di coordinamento e transitorie del codice di procedura di attuazione, di coordinamento e transitorie del codice di procedura penale, oppure per far valere o difendere un diritto in sede giudiziaria.penale, oppure per far valere o difendere un diritto in sede giudiziaria.

Diritti dell’InteressatoDiritti dell’Interessato

L’interessato a cui si riferiscono i dati personali a diritto L’interessato a cui si riferiscono i dati personali a diritto di:di:

Conoscere l’esistenza di dati che possono riguardarlo;Conoscere l’esistenza di dati che possono riguardarlo; Di ottenere l’aggiornamento e la rettifica dei dati raccolti;Di ottenere l’aggiornamento e la rettifica dei dati raccolti; Di opporsi per motivi legittimi al trattamento dei dati Di opporsi per motivi legittimi al trattamento dei dati

personali, anche se pertinenti allo scopo della raccolta.personali, anche se pertinenti allo scopo della raccolta.

Diritto alla RiservatezzaDiritto alla Riservatezza

Il Il diritto alla riservatezza, diritto alla riservatezza, non riguarda solamente non riguarda solamente informazioni interenti la propria vita privata, ma si informazioni interenti la propria vita privata, ma si estende in generale a qualunque informazione relativa estende in generale a qualunque informazione relativa ad una persona, anche se non coperta da riserbo (ad ad una persona, anche se non coperta da riserbo (ad esempio il nome o l’indirizzo della propria abitazione)esempio il nome o l’indirizzo della propria abitazione)

Diritto di AccessoDiritto di Accesso

ll soggetto cui si riferiscono i dati ha il ll soggetto cui si riferiscono i dati ha il diritto di accessodiritto di accesso alle  alle informazioni che lo riguardino da altri detenute. Tale diritto gli informazioni che lo riguardino da altri detenute. Tale diritto gli è riconosciuto dall'art. 7 del dlgs. 196/03 e comprende la è riconosciuto dall'art. 7 del dlgs. 196/03 e comprende la facoltà di conoscere: facoltà di conoscere: quali dati vengono trattati, come e con quali dati vengono trattati, come e con quali fini avviene il trattamento, l'autore del trattamento, i quali fini avviene il trattamento, l'autore del trattamento, i soggetti a cui questi dati possono essere comunicati.soggetti a cui questi dati possono essere comunicati.

I Dati corrispondono al vero?I Dati corrispondono al vero?

In ragione del In ragione del diritto d'accesso l'interessato può poi chiedere  l'interessato può poi chiedere che i dati da altri detenuti corrispondano al vero, che i dati da altri detenuti corrispondano al vero, pretendendone l'aggiornamento o la cancellazione a seconda pretendendone l'aggiornamento o la cancellazione a seconda dei casi. Se poi i dati sono trattati in maniera difforme dalla dei casi. Se poi i dati sono trattati in maniera difforme dalla legge, l'interessato può chiedere la cancellazione degli stessi o legge, l'interessato può chiedere la cancellazione degli stessi o il blocco del trattamento.il blocco del trattamento.

Documento programmatico sulla Documento programmatico sulla sicurezzasicurezza

L'adozione di un L'adozione di un documento programmatico sulla sicurezzadocumento programmatico sulla sicurezza (DPS) è un  (DPS) è un obbligo previsto dal Dlgs. 196/2003. L'obbligo esiste per tutte le aziende, liberi obbligo previsto dal Dlgs. 196/2003. L'obbligo esiste per tutte le aziende, liberi professionisti, enti o associazioni che trattano i professionisti, enti o associazioni che trattano i dati personali, anche dati personali, anche sensibilisensibili con strumenti elettronici. Il documento va predisposto ed aggiornato  con strumenti elettronici. Il documento va predisposto ed aggiornato annualmente entro il 31 marzo successivo, affinché si attesti la corretta adozione annualmente entro il 31 marzo successivo, affinché si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e deve delle previste procedure che riguardano il trattamento dei dati personali e deve soddisfare anche determinati obblighi di legge, se previsti (se ne deve dare soddisfare anche determinati obblighi di legge, se previsti (se ne deve dare comunicazione nella relazione allegata al Bilancio d'esercizio). comunicazione nella relazione allegata al Bilancio d'esercizio).

I contenuti del DPSI contenuti del DPS I contenuti del documento sono elencati al punto 19 del Disciplinare Tecnico I contenuti del documento sono elencati al punto 19 del Disciplinare Tecnico

in materia di misure minime di sicurezza e sono:in materia di misure minime di sicurezza e sono:

1.1. Elenco di trattamenti di dati personali (regola 19.1),Elenco di trattamenti di dati personali (regola 19.1),

2.2. Distribuzione dei compiti e delle responsabilità (regola 19.2),Distribuzione dei compiti e delle responsabilità (regola 19.2),

3.3. Analisi dei rischi che incombono sui dati (regola 19.3) ,Analisi dei rischi che incombono sui dati (regola 19.3) ,

4.4. Le misure da adottare per garantire l’integrità e la disponibilità dei dati Le misure da adottare per garantire l’integrità e la disponibilità dei dati

(regola 19.4),(regola 19.4),

5.5. Criteri e modalità di ripristino della responsabilità dei dati (regola 19.5),Criteri e modalità di ripristino della responsabilità dei dati (regola 19.5),

6.6. Pianificazione degli interventi formativi previsti (regola 19.6),Pianificazione degli interventi formativi previsti (regola 19.6),

7.7. Trattamenti affidati all’esterno (regola 19.7) ,Trattamenti affidati all’esterno (regola 19.7) ,

8.8. Cifratura dei dati o separazione dei dati identificativi (regola 19.8).Cifratura dei dati o separazione dei dati identificativi (regola 19.8).

Tabelle del DPSTabelle del DPS

Per ciascuna regola sono riportate una o più tabelle. Per Per ciascuna regola sono riportate una o più tabelle. Per ciascuna tabella può essere indicata facoltativamente anche ciascuna tabella può essere indicata facoltativamente anche la data di compilazione, che può rivelarsi utile qualora la la data di compilazione, che può rivelarsi utile qualora la tabella sia compilata in data significativamente diversa tabella sia compilata in data significativamente diversa (antecedente) rispetto alla redazione finale del DPS.(antecedente) rispetto alla redazione finale del DPS.

Tabella 1.1 - Elenco dei trattamenti: Tabella 1.1 - Elenco dei trattamenti: informazioni essenzialiinformazioni essenziali

Tabella 1.2 - Elenco dei trattamenti: Tabella 1.2 - Elenco dei trattamenti: ulteriori elementi per descrivere gli ulteriori elementi per descrivere gli

strumentistrumenti

Tabella 2 – Competenze e responsabilità delle Tabella 2 – Competenze e responsabilità delle strutture preposte ai trattamentistrutture preposte ai trattamenti

Tabella 3.1 – Analisi dei rischiTabella 3.1 – Analisi dei rischi

Tabella 3.2 – Analisi dei rischiTabella 3.2 – Analisi dei rischi

Tabella 3.3 – Analisi dei rischiTabella 3.3 – Analisi dei rischi

Tabella 4.1 – Le misure di sicurezza Tabella 4.1 – Le misure di sicurezza adottate o da adottareadottate o da adottare

Tabella 4.2 – Scheda descrittiva delle Tabella 4.2 – Scheda descrittiva delle misure adottatemisure adottate

Tabella 5.1 – Criteri e procedure per il Tabella 5.1 – Criteri e procedure per il ripristino della disponibilità dei datiripristino della disponibilità dei dati

RipristinRipristinoo

Tabella 5.2 – Criteri e procedure per il Tabella 5.2 – Criteri e procedure per il salvataggio dei dati salvataggio dei dati

SalvataggioSalvataggio

Tabella 6 – Pianificazione degli interventi Tabella 6 – Pianificazione degli interventi formativi previstiformativi previsti

Tabella 7 – Trattamenti affidati Tabella 7 – Trattamenti affidati all’esternoall’esterno

Tabella 8 – Cifratura dei dati o separazione dei Tabella 8 – Cifratura dei dati o separazione dei dati identificativi dati identificativi (solo per organismi sanitari ed esercenti (solo per organismi sanitari ed esercenti

professioni sanitarie)professioni sanitarie)

Tutela dei dirittiTutela dei diritti Chi sia leso nei diritti sui propri dati riconosciuti dal dlgs. 196/03

(raccolta dei dati senza il consenso, consenso acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso) può ricorrere al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e costi contenuti) o al giudice civile (con costi e tempi maggiori). Se invece a seguito del trattamento dei dati non conforme alla legge si è subito un danno (non necessariamente economico, dunque anche consistente nel disagio arrecato dal fatto) il risarcimento può essere concesso solamente dal giudice civile.

Il RisarcimentoIl RisarcimentoL'art. 15 del Dlgs. n. 196/2003 (Danni cagionati per effetto del L'art. 15 del Dlgs. n. 196/2003 (Danni cagionati per effetto del trattamento di dati personali) dice che:trattamento di dati personali) dice che:

Chiunque cagiona Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile.