UFFICIO NAZIONALE PER I PROBLEMI GIURIDICI
DELLA CONFERENZA EPISCOPALE ITALIANA

Adempimenti in materia di tutela della privacy

Informativa L’art. 13 del Codice in materia di protezione dei dati personali prevede che “l’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto” circa il complesso delle caratteristiche e delle modalità del trattamento che abbia ad oggetto i medesimi dati. L’avverbio “previamente” fa supporre che […]
8 Giugno 2004

Informativa
L’art. 13 del Codice in materia di protezione dei dati personali prevede che “l’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto” circa il complesso delle caratteristiche e delle modalità del trattamento che abbia ad oggetto i medesimi dati.
L’avverbio “previamente” fa supporre che l’adempimento dell’obbligo possa essere sia precedente, sia contestuale alla suddetta raccolta: sono le caratteristiche della raccolta stessa a determinare il momento dell’informativa.
L’obbligo deve essere adempiuto sia nel caso in cui il regime di circolazione dei dati sia vincolato al principio del consenso, sia nel caso in cui sia invece libero.
L’omessa o inidonea informativa all’interessato è punita con una sanzione amministrativa pecuniaria (art. 161).

Consenso
Il trattamento di dati personali è ammesso solo con il consenso espresso (sono pertanto irrilevanti il silenzio, la tolleranza e il comportamento concludente) dell’interessato, che può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.
Il consenso deve essere “espresso liberamente [cioè deve presentarsi come manifestazione del diritto all’autodeterminazione informativa] e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto” (art. 23).
Nel caso di dati sensibili il consenso deve essere manifestato in forma scritta.
Il legislatore ha scisso in due distinte disposizioni il consenso (art. 23) e i casi di esclusione (art. 24). Tra questi ultimi, è prevista la fattispecie relativa al trattamento effettuato, con esclusione della comunicazione all’esterno e della diffusione, da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il conseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, e con modalità di utilizzo previste espressamente con determinazione resa nota agli interessati all’atto dell’informativa (art. 24, lett. b).
Per i casi esclusione del consenso, si rinvia alla parte relativa ai “dati sensibili”.

Notificazioni
Entro il 30 aprile 2004 devono essere effettuate le notificazioni del trattamento di dati personali al Garante (art. 37).
Il Garante, con provvedimento del 31 marzo 2004, ha stabilito i casi da sottrarre all’obbligo di notificazione. Fra questi rientrano, con riferimento ai casi di cui al comma 1, lett. c, dell’art. 37, i trattamenti di dati idonei a rivelare la sfera psichica dei lavoratori effettuati “da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico o religioso riguardo a dati di propri dipendenti o collaboratori, per adempiere esclusivamente a specifici obblighi previsti dalla normativa in materia di rapporto di lavoro o di previdenza”.

Garanzie per i dati sensibili
In via generale i dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante (art. 26).
Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro 45 giorni, decorsi i quali la mancata pronuncia equivale a rigetto.
- Eccezioni
1. La disciplina generale prevista per il trattamento dei dati sensibili, sopra richiamata, non trova applicazione nelle ipotesi del trattamento dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che, con riferimento a finalità di natura esclusivamente religiosa, hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni (art. 26, comma 3, lett. a). Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante. Le confessioni religiose che, prima dell’adozione del Codice, hanno già determinato e adottato le garanzie anzidette, possono proseguire l’attività di trattamento nel rispetto delle medesime (art. 181, comma 6): con riguardo alla Chiesa cattolica si veda il decreto generale dalla Conferenza Episcopale Italiana “Disposizioni per la tutela del diritto alla buona fama e alla riservatezza” (20 ottobre 1999).
2. I dati sensibili possono essere oggetto di trattamento anche senza consenso, ma previa autorizzazione del Garante, quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o diffusi e l’ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13 (art. 26, comma 4, lett. a).

Autorizzazioni
Le disposizioni del Codice che prevedono un’autorizzazione del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari o di trattamenti, pubblicate sulla Gazzetta Ufficiale.
Il titolare del trattamento che rientra nell’ambito di applicazione di un’autorizzazione non è tenuto a presentare al Garante una richiesta di autorizzazione se il trattamento è conforme alle relative prescrizioni.
L’eventuale richiesta di autorizzazione è formulata utilizzando solo il modello predisposto dal Garante e trasmessa a quest’ultimo in via telematica. La medesima richiesta e l’autorizzazione possono essere trasmesse via fax o lettera raccomandata.

Misure di sicurezza:
Entro il 30 giugno 2004 devono essere adottate le misure di sicurezza di cui agli artt. 33 (misure minime) e 35 (trattamenti senza l’ausilio di strumenti elettronici) e all’allegato b) (disciplinare tecnico in materia di misure minime di sicurezza).
In particolare, entro il 30 giugno 2004 deve essere redatto il “Documento programmatico sulla sicurezza” (DPS). E prevista una sanzione prevista per chi non redige il DPS, dal momento che il documento costituisce una delle misure minime di sicurezza. Sono tenuti ad adottare il DPS tutti coloro che trattano dati sensibili o giudiziari con mezzi informatici, anche se hanno già redatto il documento nel 2003. L’atto, che non deve essere trasmesso al Garante, deve essere dotato di data certa.
Entro il 1° gennaio 2005 dovranno essere adottate le nuove misure minime di sicurezza in relazione agli strumenti elettronici (art. 34).
Riguardo agli obblighi di sicurezza e al documento programmatico, il Garante è intervenuto con parere del 22 marzo 2004, nel quale sono stati indicati, tra l’altro, i termini per l’adozione delle nuove misure minime di sicurezza e del documento programmatico.