CIRCOLARE N. 5 MAG97

LEGGE nr.675/1996 “TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI DATI PERSONALI”

Premessa

Dall’ 8 maggio 1997 è in vigore la legge nr. 675/96 , relativa al c.d. trattamento di dati personali, con la quale il Legislatore ha voluto garantire che l’utilizzo di dati personali delle persone fisiche, delle persone giuridiche, degli enti e delle associazioni si svolga nel pieno rispetto dei diritti e delle libertà fondamentali riconosciute dal nostro ordinamento, e ciò con particolare riferimento al diritto di riservatezza e a quello dell’identità personale delle persone fisiche ed ai diritti delle persone giuridiche, degli enti e delle associazioni.

E’ quantomai opportuno, preliminarmente, evidenziare l’eccesso di zelo, ma nello stesso tempo la farraginosità e la contraddittorietà con cui il nostro Legislatore ha inteso recepire i principi della direttiva 95/46/Ce a cui si ispira la nuova legge.

Infatti, da una prima lettura della nuova normativa, emerge un’indubbia rigidità e confusione del tenore letterale della stessa con comprensibili ed evidenti ripercussioni nel suo ambito applicativo.

Molteplici rilievi critici, dubbi interpretativi ed espresse richieste di modifica promananti da associazioni commerciali ed industriali e da ordini professionali sono oggi al vaglio del Governo che per effetto di un’espressa delega prevista dalla nuova legge, dovrà, in futuro, certamente intervenire con provvedimenti modificativi sulla legge in esame o quanto meno con circolari esplicative.

Fermo quanto sopra, è comunque opportuno delineare, seppur in modo sintetico, i principi generali contenuti nel testo normativo in esame.

Ambito di applicazione La legge è destinata ad essere applicata ad una generalità di soggetti, e cioè alle persone fisiche (avvocati, commercialisti, medici, psicologi, giornalisti…), alle persone giuridiche, alla Pubblica Amministrazione, agli enti o associazioni che intendano procedere ad un c.d. “trattamento”, salve le eccezioni che verranno di seguito meglio precisate. Per “trattamento” si deve intendere una operazione, svolta con o senza l’ausilio di mezzi elettronici, concernente la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, la comunicazione, la diffusione, la cancellazione e la distruzione di “dati personali” (art.1).

Per “dato personale” si deve intendere, pur nella indeterminatezza del testo normativo, “qualunque informazione relativa a persone fisiche e giuridiche, enti, associazioni, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (art.1).

La nuova legge non trova, peraltro, applicazione:

I) al trattamento di “dati personali” effettuato da persone fisiche per fini esclusivamente personali (agende elettroniche o cartacee, rubriche…), sempre che i dati non siano destinati a una comunicazione sistematica o alla diffusione. Per questi dati, tuttavia, è comunque previsto un obbligo di custodia per il cui inadempimento sono previste una responsabilità civile e l’applicazione di sanzioni penali (art.3);

II) al trattamento di “dati personali” effettuato da particolari soggetti, quali, a titolo esemplificativo, il Centro elaborazione dati di cui all’art.8 della legge 01.04.81 n.121, il servizio del casellario giudiziale, altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato, o di prevenzione, accertamento o repressione dei reati, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento (art.4)

Obblighi del soggetto che esegue il trattamento- notificazione e modalità del trattamento

A) Notificazione

Il “titolare”, ovverosia la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità e alle modalità del trattamento, che intenda procedere ad un trattamento di dati personali è tenuto a darne notificazione al Garante secondo precise e determinate modalità (art.7).

Peraltro, ai sensi dell’art.26 il trattamento, nonchè la cessazione del trattamento di dati concernenti persone giuridiche, enti o associazioni non sono soggetti all’obbligo di notificazione al Garante.

B) Modalità di trattamento

Il trattamento dei dati personali da parte dei privati o di enti pubblici economici (c.d. titolari del trattamento), realizzato dopo l’entrata in vigore della legge, è ammesso solo con il consenso del c.d. interessato ovverosia della persona fisica o giuridica cui si riferiscono i dati stessi, salve le deroghe espressamente previste dall’art.12 secondo cui il consenso non è richiesto quando il trattamento:

- riguarda dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

- è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato o per l’acquisizione di informative precontrattuali attivate su richiesta di quest’ultimo, ovvero per l’adempimento di un obbligo legale;

- riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;

- è finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratti di atti anonimi;

- è effettuato nell’esercizio della professione di giornalista e per l’esclusivo perseguimento delle relative finalità;

- riguarda dati relativi allo svolgimento di attività economiche raccolti anche ai fini di informazione commerciale, di invio di materiale pubblicitario o di vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione commerciale interattiva (peraltro ai sensi dell’art.13 l’interessato, pur non essendo necessario il suo consenso per il trattamento, ha il diritto di opporsi all’utilizzo dei suoi dati ed ha il diritto di essere informato dal titolare della possibilità di esercitare gratuitamente tale diritto);

- è necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, nel caso in cui l’interessato non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intenedere o di volere;

- è necessario ai fini dell’attività di investigazione di cui all’art.28 delle norme di attuazione del c.p.p.

Il consenso è validamente prestato se espresso in piena libertà, in forma specifica per iscritto e purchè siano state precedentemente comunicate all’interessato le finalità dell’utilizzo dei dati, le persone cui verranno trasmessi e qualsiasi altra informazione relativa al trattamento stesso.

L’interessato deve essere informato oralmente o per iscritto, prima dell’utilizzo dei suoi dati personali, circa le finalità e le modalità del trattamento, l’ambito di diffusione dei dati, nonchè i soggetti ai quali possono essere comunicati (art.10).

L’interessato ha diritto non solo ad essere informato in ordine alla notificazione al garante, ma anche di conoscere dell’esistenza di trattamenti che possono riguardarlo direttamente dal soggetto che li utilizza; ha, inoltre, il diritto di ottenere la cancellazione, o la trasformazione in forma anonima dei dati trattati in violazione di legge (art.13).

I dati personali, dopo essere stati registrati, devono essere trattati in modo lecito e secondo correttezza; devono essere esatti e aggiornati, pertinenti e completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti (art.9).

Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è soggetto, ex art.18 della legge, ad una responsabilità extracontrattuale ed tenuto al risarcimento ai sensi dell’art.2050 c.c. (responsabilità per l’esercizio di attività pericolosa), salvo che non sia in grado di dare la prova di avere adottato tutte le misura idonee ad evitare il danno stesso

La legge, inoltre, ammette la risarcibilità anche di un danno non patrimoniale in caso di violazione delle norme relative alle modalità di trattamento (art.29).

Il trattamento di dati personali realizzato da soggetti pubblici, esclusi gli enti pubblici economici, è consentito soltanto per lo svolgimento delle funzioni istituzionali; la comunicazione e la diffusione a soggetti pubblici, esclusi gli enti pubblici economici, dei dati trattati sono ammesse solo se previste da una legge o un regolamento, o risultino necessarie per lo svolgimento dei fini istituzionali (previa comunicazione al Garante) (art.27).

Una tutela speciale è prevista, poi, per i c.d. dati sensibili ovverosia quelli idonei a rivelare - come prevede l’art.22 - l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Questi dati possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante. Per le deroghe a tale principio si veda la nota nr.4 .

Garante per la protezione dei dati

Il Legislatore ha istituito la figura del Garante al fine di assicurare la piena applicazione del disposto normativo: il Garante, operando in piena autonomia e con indipendenza di giudicato, deve istituire un registro generale dei trattamenti, controllare se i trattamenti siano effettuati nel rispetto delle norme di legge, ricevere le segnalazioni e i reclami degli interessati, adottare i provedimenti previsti dalla legge, denunciare i fatti configurabili reati perseguibili d’ufficio.

Per l’esecuzione dei propri compiti al Garante sono stati riconosciuti importanti poteri istruttori: ad esempio, può richiedere al responsabile del trattamento di fornire informazioni e di esibire documenti; qualora ricorra la necessità, può disporre accessi alle banche di dati, ispezioni o verifiche nel luogo ove si svolge il trattamento (art.31-32).

Sanzioni

L’ambito sanzionatorio si divide su più livelli: in primis, chiunque, essendone tenuto, non provveda alle notificazioni al garante ovvero indichi in esse notizie incomplete o non rispondenti al vero, è punito con la reclusione da tre mesi a due anni (art.34). In secondo luogo, salvo che il fatto costituisca più grave reato, chiunque al fine di trarne per sè o per altri profitto o di recare ad altri un danno, proceda al trattamento di dati personali senza il consenso dell’interessato, è punito con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due anni (art.35).

In terzo luogo se si omette di adottare le misure necessarie a garantire la sicurezza dei dati personali è prevista la reclusione fino a due anni; sono, infine, previste sanzioni di carattere amministrativo in caso di inosservanza dei provvedimenti del Garante (art.36)

Disposizioni transitorie

La legge in esame, come è già stato evidenziato, è entrata in vigore il giorno 8 maggio 1997: tuttavia, fermi i diritti dell’interessato ad essere informato dei trattamenti che possono riguardarlo, le disposizioni che prescrivono il consenso dell’interessato non si applicano in riferimento ai dati personali raccolti precedentemente alla data di entrata in vigore della legge stessa, o il cui trattamento sia iniziato prima di tale data (art.41).

Per i trattamenti svolti senza ausilio di mezzi elettronici o comunque automatizzati che non riguardano i c.d. dati sensibili, le disposizioni della legge si applicano a decorrere dal 1 gennaio 1998 (art.45).

Le disposizioni che prevedono un’autorizzazione del Garante, inoltre, si applicano a decorrere dal 30 novembre 1997 .

In conclusione, una legge molto severa e mal formulata, ma nononostante ciò, in attesa che si consolidi un orientamento giurisprudenziale ed in assenza di una prassi significativa sull’applicazione della legge in esame, ritengo quantomai opportuno propendere, al fine di non incorrere in pesanti sanzioni, per una interpretazione restrittiva e rigida dei principi dianzi indicati, e ciò alla luce anche delle preannunciate integrazioni e correzioni alla legge.

Considerata la complessità e le continue innovazioni in relazione alla materia trattata, lo studio rimane a disposizione per qualsiasi ulteriore approfondimento o chiarimento che si dovesse rendere necessario.

Milano , Maggio 1997

Studio Legale GGM