La cultura della riservatezza sta entrando sempre più nel modo di atteggiarsi delle istituzioni, delle imprese e dei cittadini. Sia il legislatore nazionale (legge 196/03, c.d. Codice della Privacy) che quello europeo (regolamento 679/2016, c.d. GDPR, ossia GENERAL DATA PROTECTION REGULATION, entrato in vigore il 25/05/2018) hanno dettato norme ben precise per promuovere questa cultura ed introdurre regole per il rispetto degli aspetti individuali della vita delle persone.
AMBITO SOGGETTIVO DI APPLICAZIONE
La normativa riguarda le informazioni concernenti la vita privata delle persone fisiche – non di quelle giuridiche o pubbliche.
IL TRATTAMENTO DEI DATI
La gestione delle informazioni concernenti la vita privata delle persone fisiche viene indicata dal legislatore con il termine di “trattamento”.
Si tratta di termine che include tutte le manifestazioni concrete di utilizzo dei dati (raccolta, consultazione, trasmissione, comunicazione, conservazione, rettifica, distruzione ecc.).
Il trattamento dei dati è legittimo se è compiuto sulla base di una giustificazione (detta “base giuridica”) che la legge definisce i 6 modi:
- il consenso dell’interessato (che deve essere esplicito, scritto, informato e specificamente finalizzato – quindi, non generico, quindi);
- adempimento di un obbligo contrattuale (è il caso del venditore che spedisce il prodotto a distanza e deve, necessariamente, utilizzare l’indirizzo fornito dall’acquirente, anche se non vi è un consenso, quindi);
- adempimento di un obbligo di legge (è il caso del venditore che indica sulla fattura commerciale il codice fiscale del cliente i quanto a ciò obbligato dalla legge);
- per salvaguardare gli interessi vitali della persona i cui dati vengono trattati (è il caso del personale medico che utilizza le informazioni biologiche concernenti il gruppo sanguigno del paziente, ai fini di una somministrazione trasfusionale, anche senza il consenso del diretto interessato);
- l’interesse pubblico al trattamento dei dati (è il caso dell’istituzione scolastica che al fine di svolgere il servizio dell’istruzione utilizza le informazioni personali degli studenti)
- quando vi è un legittimo interesse (è il caso del supermercato che sorveglia gli scaffali dei prodotti a scopo di prevenzione dei furti, ovviamente con il giusto bilanciamento tra legittimo interesse del titolare e diritti e libertà fondamentali delle persone oggetto di ripresa.)
Si noti che casi da 2 a 5 non è necessario il consenso dell’interessato in quanto la base giuridica che legittima l’utilizzo dei dati personali deriva dalle situazioni elencate negli stessi punti.
I SOGGETTI COINVOLTI NEL TRATTAMENTO DEI DATI
- L’INTERESSATO AL TRATTAMENTO: è la persona fisica, l’individuo singolo di cui vengono utilizzati i dati personali.
- IL TITOLARE DEL TRATTAMENTO: è il soggetto che utilizza – vale a dire, tratta – i dati personali dell’interessato.
- IL RESPONSABILE DEL TRATTAMENTO: è il soggetto delegato dal TITOLARE alla gestione finalizzata dei dati dell’interessato (di solido sono i dipendenti del Titolare che gestiscono i dati dei clienti nell’ambito dell’adempimento delle loro mansioni di lavoro o di servizio).
- INCARICATO DEL TRATTAMENTO: è il soggetto, solitamente, interno al Titolare del trattamento, che gestisce i dati dell’interessato (esempio: dipendente dell’ufficio).
- RESPONSABILE DELLA PROTEZIONE DEI DATI (detto anche DPO) da non confondere con la figura del Responsabile del trattamento (vedi sopra). È una figura specializzata in conoscenza delle regole in materia di trattamento dei dati personali e svolge funzione di consulenza giuridica iin favore del Titolare, anche di intermediazione di quest’ultimo von l’Autorità garante della Riservatezza (c.d. Garante per la protezione dei dati personali).
Negli enti pubblici è una figura di designazione obbligatoria e coincide, solitamente, con il dipendente assegnatario delle funzioni di responsabile per la trasparenza e prevenzione contro i fenomeni corruttivi.
Attenzione: la figura del responsabile non sostituisce quella del Titolare, che resta il responsabile principale, ma svolge funzioni di supporto al trattamento dei dati.
L’INFORMATIVA (artt. 13 e 14 del GDPR)
Altro tassello del trattamento lecito dei dati personali è l’obbligo di informativa che il titolare deve compiere nei confronti dell’interessato prima del trattamento.
L’informativa è la cornice sulle finalità e sulle modalità dell’utilizzo dei dati: ambito, finalità, obblighi del titolare e diritti dell’interessato (come ad esempio l’accesso ai prorpi dati, la richiesta di correzione, cancellazione, c.d. diritto all’oblio, ecc), natura obbligatoria o facoltativa del conferimento dei dati e conseguenze in caso di rifiuto ecc.
L’informativa può essere fatta anche verbalmente ma è preferibile la forma scritta per avere un mezzo di prova in caso di contestazione.
Si noti che l’informativa è un atto unilaterale che il titolare rivolge all’interessato e non equivale al consenso. Nei caso da 2 a 5 sopra elencati, il consenso dell’interessato non è richiesto per il trattamento dei dati e, quindi, basta la sola informativa.
Nei retanti casi, oltre all’informativa, è necessario anche il consenso (espresso, scritto, finalizzato ed informato: informato significa, appunto, aver ricevuto l’informativa sul trattamento dei propri dati).