Articoli e dottrina
 
   
 

IL NUOVO “CODICE” SULLA PRIVACY

Il 27 giugno scorso è stato approvato il Codice delle leggi in materia di protezione dei dati personali. Cambiano le regole per le notificazioni e le misure di sicurezza.


I testi unici, per definizione, sono strumenti legislativi mediante i quali si riunisce in unico (e corposo) provvedimento, tutta la precedente normativa emanata sulla materia. Ciò è accaduto anche per la disciplina inerente la tutela dei dati personali; il legislatore ha ridotto in un unico “codice” normativo le numerose disposizioni intervenute in materia di privacy dal lontano dicembre 1996, mese di emanazione della Legge sui dati personali (675/96). Numerose le novità, sia per gli adempimenti di tipo amministrativo, che per le misure minime di sicurezza richieste per il trattamento dei dati. Cercheremo di passarle brevemente in rassegna, dedicando il prossimo articolo ad approfondimenti sul tema delle misure di sicurezza. Si precisa che l’analisi viene effettuata sul testo “ufficioso” circolante su internet nei primi giorni di luglio, stante l’impossibilità di reperire il testo “ufficiale” sui siti istituzionali.

Notificazione
Con la legge sulla privacy del 1996, si stabilì che prima di iniziare qualunque trattamento di dati personali, fosse necessario effettuare una notificazione all’ufficio del Garante. L’omissione della notificazione venne sanzionata penalmente. Successivamente (a decorrere dal 1 marzo 2002 - art 24 del decreto legislativo 467/2001), detto adempimento fu mitigato, prevedendo che fossero obbligati alla notificazione solo o titolare di trattamenti di dati personali in grado di recare pregiudizio ai diritti ed alle libertà dell’interessato; tuttavia, detto principio astratto non trovò applicazione in quanto non venne mai emanato un regolamento che fissasse (in concreto) quali tipologie di trattamento dei dati dovessero essere sottoposte alla notificazione.
Ebbene, dal 1 gennaio 2004, la notificazione non sarà più obbligatoria per tutte le tipologie di trattamento. Con il Testo Unico, infatti, sono state individuate le categorie obbligate ad effettuare la notificazione. In rapidissima sintesi, dovranno effettuare la notificazione solo coloro che effettuano trattamenti di dati genetici, biometrici, relativi all’ubicazione di persone od oggetti; ovviamente anche coloro che trattano dati relativi allo stato di salute, o alla vita sessuale, o alla sfera psichica, ovvero coloro che trattano dati a carattere politico, filosofico, ecc., dovranno effettuare la notificazione, così come coloro che trattano dati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i sevizi medesimi agli utenti. Sono inoltre obbligati alla notificazione coloro che trattano dati sensibili registrati in banche dati ai fini di selezione del personale, nonché coloro che trattano dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie. Infine, sono obbligati al trattamento dei dati personali coloro che trattano dati personali relativi al rischio sulla solvibilità economica, alla situazione patrimoniale, a comportamenti illeciti e fraudolenti, al corretto adempimento di obbligazioni.

Misure di sicurezza
Le misure minime di sicurezza richieste per effettuare il trattamento dei dati personali sono state adeguate allo stato dell’attuale tecnologia e rafforzate. In merito ai trattamenti effettuati con strumenti elettronici, sono state rese obbligatorie le misure descritte nella tabella riportata a fianco. Da notare che il documento programmatico sulla sicurezza sembrerebbe previsto per tutte le tipologie di trattamento e non più solo per il trattamento di dati “sensibili”. Per tale adempimento c’è comunque tempo fino al 31 marzo 2005, mentre per le altre misure minime di sicurezza occorrerà adeguarsi entri il 30 giugno 1994.

Telecomunicazioni mail, sms, mms
In merito all’utilizzo dei sistemi di telecomunicazioni, il Testo Unico ribadisce ciò che è già presente nella nostra disciplina, pur con qualche novità. In primo luogo viene ribadito il divieto di invio di materiale pubblicitario, o di vendita diretta, o per il compimento di ricerche di mercato, o di comunicazione commerciale, mediante posta elettronica, fax, mms (multimedia messaging service) o sms (short message service), senza il preventivo consenso dell’interessato. In altre parole, viene ancora una volta ribadito il divieto di spamming. L’unica eccezione a questo principio si riscontra solo qualora il mittente utilizzi, ai fini di vendita diretta di propri prodotti e servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita. In questo caso non è richiesto il consenso espresso dell’interessato, sempre che si tratti di prodotti o servizi analoghi a quelli venduti e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni.
La novità riguarda il tempo di conservazione dei dati relativi al traffico da parte dei gestori dei servizi di telecomunicazioni. Detti dati potranno essere conservati per un massimo di 6 mesi ai fini di fatturazione e per documentazione in caso di contestazione della fattura; i mesi diventano 30 (altre versioni del Testo Unico presenti su internet parlano di 18 mesi) qualora la conservazione sia effettuata esclusivamente per finalità di prevenzione, accertamento e repressione di reati.

MISURE MINIME DI SICUREZZA(IN VIGORE DAL 30.6.2004) - utilizzazione di un sistema di autenticazione informaticanomina incaricati con istruzioni per iscrittocodici identificativipassword di almeno 8 caratteri – modificata ogni 6 mesi (tre mesi per i dati sensibili)- gestione delle credenziali di autenticazione- utilizzazione di un sistema di autorizzazione- individuazione dell’ambito del trattamento consentito a incaricati ed addetti alla gestione o manutenzione degli strumenti informatici (aggiornamento periodico)- protezione di strumenti e dati rispetto ad accessi non autorizzati e trattamenti illeciti- adozione di procedure di recovery e storageantivirus firewalll back-up settimanale- redazione di documento programmatico sulla sicurezza- cifratura o adozione di codici identificativi per trattamenti di dati sensibili effettuati da organismi sanitari

 
     
   
 
 
 


Entrato in vigore il nuovo codice della privacy, abrogata la legge 675/96

[ leggi il testo integrale : nuovo codice della privacy]

febbraio 2004

 
 
 
     
 

 

 
 
 
     
 
Barry Silvestein
Business to Business Internet Marketing Apogeo, Milano, 2001
 
 
 
  Direct marketing
L'insieme delle attività, nonché ogni altro servizio ausiliario ad esse, che permettano di offrire prodotti e servizi o di trasmettere ogni altro messaggio pubblicitario a segmenti di popolazione mediante la posta, il telefono o altri mezzi diretti, a scopo di informazione o al fine di sollecitare una reazione da parte della persona interessata.