Tutela della Privacy


Il Codice della privacy disciplina i casi in cui la gestione dei dati sensibili è autorizzata in quanto legata prettamente ad attività finalizzate all’interesse pubblico. Il Regolamento disciplina altresì i tipi di dati trattabili e le operazioni eseguibili per ciascuna delle attività previste ed assicura a tutti i soggetti che concedono informazioni e dati personali qualificabili come “dati sensibili” opportune garanzie in ordine al trattamento degli stessi da parte degli operatori dell’Amministrazione Pubblica e di altri soggetti che per essa li trattino.

Il Codice della privacy fino al 1996 non si limitava a disciplinare le banche di dati, intese - ai sensi dell’art. 1 comma 2 lett. a – come <>, ma regolava anche operazioni singole compiute su dati personali, intesi come <>. In base alla normativa di cui agli artt. 20, comma 2, e 21, comma 2, del d.lg. 30 giugno 2003, n. 196, i sistemi informativi ed i programmi informatici dovranno essere predisposti in modo da assicurare che i dati sensibili (o personali) siano utilizzati esclusivamente nella misura necessaria per il raggiungimento delle specifiche finalità che il titolare si prefigge (espressamente elencate nel d.lg. n. 196/2003 artt. 59, 60, 62-73, 86, 95, 98 e 112). In caso contrario sarà necessario utilizzare dati in forma anonima o adottare modalità che permettano di identificare l’interessato solo in stretto caso di necessità.

Con riguardo alle regole valide per tutti i trattamenti contenute nel Codice della privacy, l’art. 11 del citato provvedimento stabilisce innanzitutto che i dati personali oggetto di trattamento sono:

1. trattati in modo lecito e secondo correttezza;
2. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
3. esatti e, se necessario, aggiornati;
4. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
5. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Il medesimo art. 11 introduce inoltre il divieto di utilizzare, in qualsiasi modo, i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali.

Il Titolare, unitamente al Responsabile dei sistemi informativi, deve quindi preventivamente adottare procedure organizzative, informatiche e materiali che permettano al singolo incaricato l’accesso nel database ai soli dati necessari alle sue specifiche mansioni. Tale accesso è consentito, oltre al titolare ed al responsabile, soltanto ad incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di convalida relativa ad uno specifico trattamento o ad un insieme di trattamenti.

Il Codice della privacy stabilisce che ogni Titolare debba eseguire vari adempimenti che consentano al Garante e ai terzi di conoscere esattamente se, perché e come una determinata azienda o ente gestisca dati sensibili. Il Garante, per non sovraccaricare di adempimenti i settori nei quali la gestione di dati sensibili è obbligatoria per legge (ad esempio i dati dei lavoratori dipendenti), emana delle Autorizzazioni Generali che ogni anno sono rinnovate. Tali provvedimenti autorizzano il trattamento dei dati sensibili a categorie omogenee di Titolari e di trattamenti.

I dati sensibili così individuati sono trattati previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie nel caso in cui la raccolta non avvenga presso l'interessato. Le operazioni di interconnessione, raffronto, comunicazione e diffusione sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati personali, nonché degli altri limiti stabiliti dalla legge e dai regolamenti.

Gli adempimenti principali che consentano al Garante e ai terzi di conoscere esattamente se, perché e come una determinata azienda o ente gestisca dati sensibili sono:

• la notificazione all’Autorità Garante;
• l’informativa all’interessato;
• la raccolta dei consensi;
• la suddivisione dei compiti con l’attribuzione delle relative responsabilità all’interno dell’organizzazione del Titolare;
• l’adozione delle misure di sicurezza.

© Manus Travel 2009/12