Tutela dei dati personali e sicurezza

Con l’entrata in vigore della Legge 31.12.1996, n. 675, con la quale il Legislatore ha inteso garantire “…che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche…” e “…delle persone giuridiche e di ogni altro ente o associazione” (art. 1, co. 1, L. 675/96), per Istituzioni ed aziende è iniziato un periodo di profondo cambiamento, di necessaria revisione interna, finalizzato ad armonizzare le proprie strutture e i propri processi informativi e decisionali ai nuovi precetti normativi.

In particolare, sono tempi duri per il settore marketing di ogni impresa, da decenni abituato a porre in essere condotte spregiudicate e finanche aggressive nei confronti dei potenziali clienti, a raccogliere dati di ogni tipo in ogni situazione che materialmente lo consentisse, ad incrociare ed elaborare tali dati per trarne studi, statistiche e database contenenti i profili dei possibili consumatori.

Chi non ha ricevuto la pubblicità di note aziende produttrici di pannolini, biberon, carrozzine ed affini pochi giorni dopo l’arrivo del “pupo”? Oggi non è più possibile raccogliere i dati delle nascite ed utilizzarli per scopi commerciali, salvo che il genitore di ogni nuovo nato autorizzi espressamente e per iscritto tale operazione.

In parole più semplici, oggi non è più possibile tenere e gestire elenchi di nominativi, con indirizzi, numeri di telefono ed altri dati riconducibili a persone fisiche o giuridiche, senza attenersi alle disposizioni della Legge 675/96.

Esiste un’eccezione, ovviamente, ed è riferita all’uso personale di tali elenchi, altrimenti sarebbe necessario farsi autorizzare anche per le singole rubriche telefoniche di casa o per gli elenchi di telefonini, agende, organizer, ecc.

Questa norma, senza dubbio, ha avuto il grande merito di porre un freno alla ormai scandalosa “tratta” dei dati di ogni consumatore o cittadino, che, soprattutto a seguito dell’avvento dei sistemi informatici e telematici, venivano ceduti, acquisiti e trattati, prevalentemente con finalità commerciali, senza alcun limite, con effetti a volte spaventosi e privi di senso.

Attraverso una raccolta indiscriminata dei dati relativi alle operazioni effettuate con telefoni cellulari, carte di credito, bancomat, telepass e consumer card di vario genere, ad esempio, è possibile “schedare” i titolari dei predetti apparati tramite l’esame e l’elaborazione delle informazioni che da tali dati potrebbero essere desunte, direttamente o indirettamente.

Appare superfluo evidenziare come qualsiasi attività di monitoraggio e controllo possa andare ben oltre i limiti leciti della raccolta per fini statistici.

Un soggetto che acquista di frequente materiale pornografico, ad esempio, potrebbe essere schedato come potenziale pervertito; chi frequenta abitualmente club privati per omosessuali verrebbe probabilmente ritenuto tale; l’acquisto di farmaci, utili anche per la cura della sindrome da HIV, potrebbe far individuare il compratore come potenziale soggetto sieropositivo.

Ma le nuove tecnologie non tengono conto dell’effettivo utilizzatore dei dispositivi. Ogni traccia informatica individua un’apparecchiatura o un altro gadget hi-tech, e non, con certezza, il suo titolare.

Potrebbe quindi essere ritenuto omosessuale l’intestatario del bancomat usato dal figlio, o sieropositivo l’acquirente delle medicine necessarie all’amico malato e bloccato a letto, con il rischio, ad esempio, di vedersi rifiutare, in seguito, una polizza assicurativa sulla vita, solo perché tali dati sono venuti in possesso della sua Compagnia di Assicurazioni.

La Legge 675/96 ha avuto il merito di aver posto un freno a tale prassi, obbligando il titolare del trattamento (inteso come soggetto che raccoglie o detiene l’archivio con i dati) al rispetto di determinate regole e all’adempimento di precisi compiti, ed ha conferito all’interessato (inteso come soggetto al quale i dati si riferiscono) il potere di esercitare i diritti di cui all’art. 13[1] e di rivolgersi al Garante per la Privacy, ovvero all’Autorità Giudiziaria Ordinaria, per tutelarsi contro forme di abuso o irregolarità nella gestione dei propri dati personali.

L’art. 8[2] della citata norma ha inoltre posto, in capo al titolare, l’obbligo di procedere all’individuazione dei soggetti ai quali è stata delegata la responsabilità del trattamento e il compito di operare sui dati, affinché siano noti, oltre al titolare del trattamento, anche quanti materialmente hanno accesso ai dati e potrebbero, quindi, farne un uso non corretto o illecito.

L’individuazione di tali soggetti deve essere fatta per iscritto, stabilendo le basi di dati alle quali ciascuno ha accesso e i compiti da svolgere.

La delicatezza dell’argomento è tale da aver indotto il Legislatore a disciplinare puntigliosamente (forse anche troppo) la materia, stabilendo, ad esempio, all’art. 9, che “i dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.” e, al successivo art. 10, una particolare disciplina da rispettare nel corso della raccolta dei dati, per garantire una completa ed esauriente informazione all’interessato.

In particolare, il predetto articolo 10 richiede che l’interessato sia  reso edotto delle finalità e modalità del trattamento cui sono destinati i dati, della natura obbligatoria o facoltativa del consenso da prestare in riferimento all’obbligazione da assumere e delle conseguenze di un eventuale rifiuto (ad esempio, se il consenso non prestato comporta l’impossibilità di stipulare il contratto).

Nell’informativa occorre anche l’indicazione dei soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi, della facoltà di esercitare i diritti di cui all’articolo 13 e dei dati necessari ad individuare il titolare del trattamento o i suoi delegati.

Infine, con l’art. 11, è reso obbligatorio il consenso al trattamento dei dati personali da parte dell’interessato, che, per essere validamente prestato, deve essere espresso liberamente, in forma specifica e documentata per iscritto, e con la chiara indicazione di aver ricevuto l’informativa di cui all’art. 10.

E’ appena il caso di evidenziare che il consenso relativo all’obbligazione da assumere è ben diverso da quello solitamente richiesto per il trattamento dei dati a fini commerciali, promozionali, divulgativi, ecc. o per il trattamento da parte di terzi ai medesimi fini. Trattasi di consensi diversi e distinti, che devono essere prestati separatamente e senza condizioni. Non è possibile, ad esempio, condizionare l’esecuzione del contratto alla sottoscrizione di entrambi, né prevedere un’unica sottoscrizione per entrambe le ipotesi, giacchè è un preciso diritto dell’interessato prestare il consenso per l’adempimento dell’obbligazione e negarlo per ogni altro utilizzo.

Parimenti, non è possibile condizionare la prestazione del consenso alla mancata selezione di una casella su un modulo prestampato o alla mancata sottoscrizione di una formula del tipo “apponga la sua firma in calce se non vuole ricevere materiale promozionale”, poiché il consenso deve essere espresso ed esplicito e non riconducibile a mera dimenticanza o semplice distrazione (non si tratterebbe di consenso validamente espresso, ma di consenso viziato da errore).

Il consenso non è richiesto solo nei casi disciplinati dal successivo art. 12[3], che costituiscono un numero ben definito, non suscettibile di estensione.

Insomma, un insieme di adempimenti che certo non hanno semplificato la vita di quanti con i dati hanno quotidianamente a che fare per ragioni di lavoro. Soprattutto in relazione alle misure di sicurezza da adottare nella gestione di essi, e di cui all’art. 15 della citata Legge 675/1996.

Articolo che, nell’evidenziare gli obblighi di custodia e controllo posti in capo al titolare e direttamente collegati alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento (in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta), stabilisce che le misure minime di sicurezza da adottare in via preventiva sono individuate da apposito regolamento ed aggiornate con cadenza almeno biennale.

Letta superficialmente, tale disposizione non sembrerebbe cambiare di molto la vita di Istituzioni ed Aziende, tuttavia, la Legge… non finisce qui, parafrasando un simpatico e purtroppo scomparso conduttore di noti programmi televisivi.

I successivi artt. 18 e 36, infatti, prevedono sanzioni decisamente pesanti per la mancata adozione delle misure di sicurezza, benché non risulti immediatamente chiaro il vincolo che lega tali disposizioni al precedente art. 15.

Innanzitutto, è appena il caso di evidenziare che il Legislatore ha ricompreso l’attività di trattamento dati tra quelle pericolose a norma dell’art. 2050 c.c.: “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.

Emerge quindi un primo concetto di misure di sicurezza relative ad attività considerata pericolosa, in cui l’idoneità ad evitare danni, rapportata all’art. 15 – nel punto in cui evidenzia la necessità di adeguare dette misure alle “…conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento…” – chiarisce che eventuali errori o omissioni, ove siano colposamente imputabili al titolare (o ai suoi delegati), determinano la responsabilità civile di quest’ultimo.

Inoltre, se l’art. 18 evidenzia una responsabilità civile ai sensi dell’art. 2050 c.c. per l’adozione di misure non idonee, l’art. 36 stabilisce una chiara responsabilità penale (arresto sino a due anni o ammenda da lire dieci milioni a lire ottanta milioni ) in caso di mancata o insufficiente adozione delle misure minime di sicurezza di cui al Regolamento previsto dall’art. 15, attualmente formalizzato nel D.P.R. 28 luglio 1999, n. 318.

In sostanza, chi non adotta affatto, o adotta in modo insufficiente, le misure minime di sicurezza previste dal D.P.R. 318/99 è penalmente perseguibile; chi non adegua le misure di sicurezza al progresso tecnologico, rischia, in caso di problemi con i dati, di dover risarcire gli eventuali danni cagionati; chi ha adeguato le misure di sicurezza anche al progresso tecnologico non ha nulla da temere.

Anche in questo caso, tuttavia… non finisce qui. Se, da un punto di vista concettuale, è possibile determinare con certezza le sanzioni da applicare a determinati comportamenti, dal lato pratico, la linea di confine tra misure idonee e misure non idonee, e tra misure minime e misure minime insufficienti, non è così marcata e facilmente individuabile.

Il primo impatto con il D.P.R. 318/99 si ha con l’art. 1, che definisce le misure minime di sicurezza come “il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza, previste nel presente regolamento, che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti dall’articolo 15, comma 1, della legge 675/1996”.

Il Regolamento prevede una classificazione dei rischi sostanzialmente basata sull’individuazione degli strumenti utilizzati per il trattamento dei dati e sulla tipologia di dati trattati.

Con l’art. 2 viene disciplinato il trattamento effettuato tramite elaboratori che non siano accessibili da altri elaboratori o terminali. Strumenti in grado di operare autonomamente, che non siano in grado di condividere i dati con altri strumenti analoghi, neppure occasionalmente.

E’ il caso, ad esempio, del personal computer con il quale vengono stampate le etichette necessarie per le spedizioni, all’interno del quale è memorizzato il database dei clienti, che non viene collegato alla rete aziendale  e non è dotato di modem o di altro tipo di connessione ad Internet.

E’ opportuno evidenziare che Internet è la rete pubblica per eccellenza, ma non è la sola rete pubblica alla quale sia possibile collegarsi.

Ne sono un esempio il circuito Fidonet, rete di BBS amatoriali tramite i quali gli italiani hanno conosciuto, agli inizi degli anni 90, la telematica, o il collegamento “peer to peer”, attraverso il quale due computer possono collegarsi tra loro e scambiare dati, pur senza utilizzare Internet.

Anche tali collegamenti vengono effettuati su reti telefoniche, e quindi disponibili al pubblico, nonostante costituiscano un fenomeno certamente meno evidente e conosciuto della Rete.

Per gli apparati non connessi con reti pubbliche – come potrebbe essere anche l’organizer del dirigente, utilizzato per tenere memorizzati di dati di clienti e fornitori – il D.P.R. 318/99 ritiene sufficiente l’adozione di una parola di accesso al sistema, o di più parole di accesso se vi sono diversi incaricati del trattamento che utilizzano lo stesso dispositivo. In quest’ultimo caso è obbligatoria anche l’individuazione per iscritto del soggetto preposto alla custodia delle parole di accesso.

E’ necessario sottolineare che la stessa misura di sicurezza (password di accesso) è richiesta per il trattamento dati a fini esclusivamente personali, ove sia effettuato con strumenti elettronici contenenti banche dati.

Più complesso, invece, l’iter per la messa in sicurezza di dispositivi connessi a reti locali o geografiche, che la norma distingue in accessibili o non accessibili da reti pubbliche.

Uno dei principali problemi applicativi da risolvere ha riguardato l’individuazione dei termini tecnici da associare ai dispositivi citati dal Legislatore. La definizione di elaboratore, ad esempio, non chiarisce se per tale debba intendersi solo un personal computer o anche un telefono cellulare, un qualsiasi dispositivo palmare ed ogni altro strumento idoneo alla consultazione delle banche dati da proteggere (es.: uno sportello multifunzione).

Altro concetto poco chiaro è stato, per qualche tempo, quello di rete disponibile al pubblico, ove diveniva complicato individuare la differenza, ad esempio, tra Internet e la rete interna di una pubblica amministrazione o di un’azienda, ove quest’ultime fossero in parte basate su connessioni telefoniche tradizionali.

La dottrina ha risolto il problema estendendo il concetto di elaboratore a qualsiasi dispositivo elettronico che sia in grado di accedere ai dati, in applicazione dello spirito della legge, che accorda tutela, per l’appunto, ai dati trattati, e non alle modalità di trattamento (individuate solo nei requisiti minimi da rispettare) o agli strumenti tramite i quali l’accesso sia possibile.

Per la distinzione tra rete pubblica e privata, si è preferito, invece, far riferimento al concetto di pubblico in quanto disponibile ad un utenza indeterminata, non immediatamente individuabile o circoscritta, come è appunto quella di Internet e delle reti di telecomunicazione in generale.

E’ quindi pubblica o accessibile dall’esterno qualsiasi rete, anche interna, che abbia una connessione verso il mondo esterno e sia raggiungibile da chiunque, almeno tecnicamente, indipendentemente dalle modalità di connessione logica o fisica e dalle autorizzazioni concesse dall’amministratore del sistema.

E’ tale, cioè, anche una rete tra uffici diversi della stessa azienda che, pur non prevedendo la possibilità di accesso logico dall’esterno, da parte di estranei, sia comunque realizzata in parte facendo uso di cavi di proprietà dell’operatore di telefonia locale, i quali, almeno potenzialmente, sono esposti ad eventuali tentativi di accesso dall’esterno da parte di soggetti non autorizzati.

E’ da considerare, invece, rete non accessibile dall’esterno, quella che non possieda alcuna connessione fisica con altre reti c.d. pubbliche (può essere considerata tale la rete di un’azienda che non preveda connessioni esterne, né occasionali (tramite modem), né permanenti (tramite router o altri strumenti analoghi).

In tal senso, è necessario precisare che il computer dotato di modem, per quanto connesso ad una rete pubblica solo occasionalmente, deve rispondere ai criteri di sicurezza stabiliti per gli elaboratori accessibili dall’esterno.

Il motivo, del resto, è facilmente comprensibile. Proprio il computer dotato di modem costituisce un elemento critico della sicurezza di una rete aziendale o istituzionale. L’accesso dall’esterno a tale rete, infatti, è solitamente possibile tramite un router, che già di per sé implementa diverse misure di sicurezza idonee a non consentire il login a soggetti non autorizzati, ed è generalmente presidiato da un firewall se vi sono delle porte di comunicazione aperte e da proteggere, apparato, quest’ultimo, che si pone tra il router e la rete esterna, e disciplina gli accessi con estrema rigorosità, sulla base dei criteri stabiliti dall’amministratore del sistema.

L’inserimento di un computer dotato di modem in questo sistema, mette in crisi la sicurezza dell’intera rete aziendale, giacchè è molto semplice, attraverso un virus o una backdoor, entrare nella rete attraverso il modem che si è connesso occasionalmente ed è probabilmente privo di misure di sicurezza efficaci, mentre è certamente più complesso – se non decisamente improbabile – che l’accesso non autorizzato vada a buon fine in presenza di un firewall o di un router ben configurati.

Premesso quanto sopra, l’adozione delle misure di sicurezza per elaboratori connessi in rete inizia con l’assegnazione di un codice di identificazione personale a ciascun utente del sistema (User Id), al quale deve, ovviamente, essere associata una parola di accesso.

Lo stesso User Id non può essere assegnato a utenti diversi, neppure in tempi diversi e deve essere gestito in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consentiva l’accesso al sistema o in caso di mancato utilizzo per un periodo superiore ai sei mesi.

L’art. 4 del D.P.R. 318/99 prevede, inoltre, che il sistema sia dotato di programmi idonei a prevenire l’azione di virus informatici e di programmi distruttivi o disturbanti, facendo espresso riferimento ai software di cui all’art. 615 quinquies c.p.

Lo stesso articolo dispone che l’aggiornamento di tali programmi debba essere effettuato con cadenza almeno semestrale, ma è appena il caso di evidenziare che un buon documento programmatico per la sicurezza informatica, invece, non dovrebbe prevedere periodi di aggiornamento superiori a quindici giorni, visto che sei mesi sono paragonabili, nel mondo tecnologico, all’incirca ad un’era geologica.

Nel caso di trattamento di dati sensibili o provenienti dal casellario giudiziale, ulteriori misure di sicurezza devono essere implementate per garantire la verifica periodica delle autorizzazioni concesse e l’effettiva ed attuale necessità di accedere a determinati dati da parte dei soggetti autorizzati.

Devono essere soggetti ad autorizzazione anche l’installazione e l’utilizzo di strumenti che possano essere utilizzati per la connessione verso reti disponibili al pubblico, come i modem.

La redazione del documento programmatico sulla sicurezza, nel caso di trattamento di dati sensibili o provenienti dal casellario giudiziale, mediante elaboratori connessi a reti pubbliche, è obbligatoria, e la verifica delle misure adottate deve essere eseguita con cadenza almeno annuale.

Il Garante per la Privacy, tuttavia, ne ha raccomandato l’adozione anche ai soggetti non tenuti, giacché è certamente più semplice, per le Forze dell’Ordine preposte ai controlli, eseguire un accertamento sulla base di un documento redatto dall’azienda, dal quale dedurre i rischi rilevati e le contromisure adottate, che non procedere alla medesima rilevazione sulla base del solo D.P.R. 318/99, il quale, come ogni norma, potrebbe essere soggetto a diversa interpretazione (come spesso accade) da parte degli addetti alla sicurezza, rispetto ai tutori dell’ordine.

In particolare, il documento sulla sicurezza dovrebbe contenere, oltre alle misure logiche di sicurezza già specificate, una serie di misure fisiche e organizzative che consentano di proteggere i locali all’interno dei quali sono conservati gli archivi o si effettuano i trattamenti.

Potrebbero essere tali, ad esempio, l’installazione di un sistema di radioallarme collegato alla centrale operativa di un Istituto di Vigilanza, implementato da un sistema di monitoraggio e gestione degli accessi tramite telecamere di sorveglianza e badge magnetici, idonei a verificare e memorizzare l’identità dei soggetti che entrano ed escono dai locali e che eseguono le operazioni di trattamento dati.

A queste misure fisiche si affiancano quelle previste dagli artt. 7, 9 e 10 del Regolamento.

Nel caso di trattamento di dati sensibili, i supporti di memorizzazione non possono essere riutilizzati, salvo che nei casi in cui le informazioni precedentemente registrate non siano recuperabili (es.: nel caso di un floppy o di un cd-riscrivibile, a seguito di formattazione incondizionata). In caso contrario devono essere distrutti.

Poiché in ogni azienda e in ogni istituzione, inevitabilmente, esistono archivi cartacei, per questi ultimi devono essere adottate ulteriori misure di sicurezza: gli atti e i documenti contenenti i dati devono essere conservati in archivi ad accesso selezionato e, se affidati agli incaricati del trattamento, devono essere da questi ultimi conservati in modo adeguato e restituiti al termine delle operazioni.

Se gli archivi contengono dati sensibili, gli atti e i documenti devono essere conservati in contenitori muniti di serratura e l’accesso agli archivi deve essere controllato e registrato, al pari di quanto avviene per i supporti informatici.

Per tutti i tipi di trattamento eseguito con strumenti informatici, dovranno essere previste procedure di backup dei dati e di verifica periodica dell’integrità degli stessi, oltre a criteri di messa in sicurezza delle transazioni, con l’adozione, ad esempio, di software crittografici che consentano solo ai soggetti autorizzati di prendere visione del contenuto delle comunicazioni.

Non sarebbe particolarmente difficile, a tal fine, implementare una rete dati interamente cifrata, che impedisca, in caso di accesso non autorizzato al sistema, di prendere visione delle informazioni ivi memorizzate.

Il D.P.R. 318/99 ha, infine, il merito di aver incentrato l’attenzione degli operatori del settore sulla necessità di procedere alla formazione del personale, rendendolo consapevole dei rischi individuati e parte attiva delle procedure finalizzate alla prevenzione dei danni.

Attraverso la responsabilizzazione del personale si può evitare che i problemi connessi al trattamento si verifichino ad opera di dipendenti semplicemente “imbranati”, mentre, per i dipendenti scorretti, sarà sufficiente l’implementazione delle misure di sicurezza – e la capillare informazione in tal senso – a dissuaderli dal porre in essere comportamenti che inevitabilmente verrebbero individuati.

Appare inutile evidenziare, in conclusione, che la redazione di un buon Documento Programmatico per la Sicurezza informatica non può prescindere da un’approfondita analisi della struttura aziendale e dei rischi connessi alla gestione di ogni archivio e di ogni strumento informatico.

In tale ottica, l’occasione può essere propizia per ristrutturare i processi decisionali e i flussi documentali aziendali, non solo al fine di renderli conformi alla normativa testè esaminata, ma, soprattutto, per semplificare e razionalizzare l’intera organizzazione, trasformando in un momento di crescita l’adempimento dei doveri imposti dalle norme.

A solo titolo di esempio, si potrebbe procedere ad una rilevazione del software installato, per verificare se sia obsoleto, se non vi siano alternative più economiche o maggiormente rispondenti alle necessità dell’azienda, se le installazioni corrispondano alle licenze d’uso disponibili (in caso contrario, anziché pagare le forti multe previste in caso di controllo e rischiare un procedimento penale, sarebbe opportuno procedere all’acquisto delle stesse o all’adozione di altri tipi di software, magari liberi dai vincoli del copyright) e se la modulistica predisposta da determinati uffici non sia estensibile all’intera azienda, magari con le opportune modifiche, sia per ragioni di economicità (gli altri uffici non dovranno perdere tempo per predisporre modelli identici o simili), sia per ragioni di efficienza e di immagine (lo studio di modelli analoghi ed appropriati, per tutti gli uffici, determina una maggiore efficienza delle singole strutture, una maggiore produttività individuale, una migliorata visibilità nei rapporti con l’esterno e l’invio certo e corretto di tutti i dati rilevanti per la comunicazione aziendale).

In buona sostanza, se è vero che un adeguamento di tale portata comporta dei costi – soprattutto se accompagnato da una complessiva revisione dell’organizzazione aziendale – anche a causa dell’inevitabile ricorso a professionisti esterni, esperti in materia, è di comune esperienza che tali sforzi finanziari saranno nel tempo compensati dall’incremento di produttività che segue ogni ristrutturazione.

In ogni caso, l’azienda eviterà di incorrere in sanzioni, anche piuttosto pesanti, che certamente non hanno alcun aspetto positivo; e questo aspetto può essere visto sia come un ulteriore vantaggio, sia come un buon motivo per non perdere altro tempo, soprattutto considerando che, negli ultimi mesi, il Garante ha più volte sollecitato le Forze dell’Ordine ad effettuare controlli in tal senso.

Gianluca Pomante


[1]Art. 13 (Diritti dell’interessato)

In relazione al trattamento di dati personali l’interessato ha diritto:

a) di conoscere, mediante accesso gratuito al registro di cui all’articolo 31, comma 1, lettera a), l’esistenza di trattamenti di dati che possono riguardarlo;

b) di essere informato su quanto indicato all’articolo 7, comma 4, lettere a), b) e h);

c) di ottenere, a cura del titolare o del responsabile, senza ritardo:

1) la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la comunicazione in forma intellegibile dei medesimi dati e della loro origine, nonchè della logica e delle finalità su cui si basa il trattamento; la richiesta può essere rinnovata, salva l’esistenza di giustificati motivi, con intervallo non minore di novanta giorni;

2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;

3) l’aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l’integrazione dei dati;

4) l’attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato;

d) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorchè pertinenti allo scopo della raccolta;

e) di opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva e di essere informato dal titolare, non oltre il momento in cui i dati sono comunicati o diffusi, della possibilità di esercitare gratuitamente tale diritto.

Per ciascuna richiesta di cui al comma 1, lettera c), numero 1, può essere chiesto all’interessato, ove non risulti confermata l’esistenza di dati che lo riguardano, un contributo spese, non superiore ai costi effettivamente sopportati, secondo le modalità ed entro i limiti stabiliti dal regolamento di cui all’articolo 33, comma 3.

I diritti di cui al comma 1 riferiti ai dati personali concernenti persone decedute possono essere esercitati da chiunque vi abbia interesse.

Nell’esercizio dei diritti di cui al comma 1 l’interessato può conferire, per iscritto, delega o procura a persone fisiche o ad associazioni.

Restano ferme le norme sul segreto professionale degli esercenti la professione di giornalista, limitatamente alla fonte della notizia.

[2]Art. 8 (Responsabile)

Il responsabile, se designato, deve essere nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Il responsabile procede al trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 1 e delle proprie istruzioni.

Ove necessario per esigenze organizzative, possono essere designati responsabili pi soggetti, anche mediante suddivisione di compiti.

I compiti affidati al responsabile devono essere analiticamente specificati per iscritto.

Gli incaricati del trattamento devono elaborare i dati personali ai quali hanno accesso attenendosi alle istruzioni del titolare o del responsabile.

[3]Art. 12. (Casi di esclusione del consenso)

Il consenso non è richiesto quando il trattamento:

a) riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo, ovvero per l’adempimento di un obbligo legale;

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;

d) è finalizzato unicamente a scopi di ricerca scientifica o di statistica ed è effettuato nel rispetto dei codici di deontologia e di buona condotta sottoscritti ai sensi dell’articolo 31;

e) è effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità . In tale caso, si applica il codice di deontologia di cui all’articolo 25;

f) riguarda dati relativi allo svolgimento di attività economiche raccolti anche ai fini indicati nell’articolo 13, comma 1, lettera e), nel rispetto della vigente normativa in materia di segreto aziendale e industriale;

g) è necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere;

h) è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento.

h-bis) è necessario, nei casi individuati dal Garante sulla base dei principi sanciti dalla legge, per perseguire un legittimo interesse del titolare o di un terzo destinatario dei dati, qualora non prevalgano i diritti e le libertà fondamentali, la dignità o un legittimo interesse dell’interessato.

Lascia una risposta

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *