Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali
PARTE I - DISPOSIZIONI GENERALI |
|
Titolo I - PRINCIPI GENERALI |
Art. 4. Definizioni |
|
1. Ai fini del presente codice si intende per:
|
|
|
a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
|
|
|
b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
| |
|
|
c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato; |
|
|
d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale; |
|
|
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale; |
|
|
f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; |
|
|
g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali; |
|
|
h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile; |
|
|
i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; |
|
|
l ) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; |
|
|
m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; |
|
|
n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile; |
|
|
o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento; |
|
|
p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti; |
|
|
q) "Garante", l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675. |
|
Relazione
Il comma 1 riguarda le definizioni "generali" già contenute nell'art. 1, comma 2, della legge n. 675/1996, alle quali sono state apportate alcune integrazioni:
• alla lett. a), la definizione di trattamento include anche la "consultazione", in attuazione di quanto previsto dall'art. 2, par. 1, lett. b) della direttiva 95/46/CE;
• la lett. c), contiene la definizione di "dati identificativi" già applicabile in base alla normativa previgente in materia di trattamenti per scopi statistici e di ricerca scientifica (art. 10, comma 5, d. lg. n. 281/1999);
• le lett. d) ed e), recepiscono in forma di definizioni le nozioni di dati sensibili e di dati “giudiziari”, indicate, rispettivamente, agli articoli 22, comma 1, e 24 della legge n. 675/1996. La definizione di dati “giudiziari" è stata aggiornata tecnicamente a seguito all'adozione del testo unico in materia di casellario giudiziale e, inoltre, integrata in misura ragionevole con il riferimento alla qualità di imputato o di indagato, senza prendere in considerazione le violazioni amministrative, in attuazione di quanto previsto dalla direttiva 95/46/CE (art. 8, comma 5, il quale si riferisce ai trattamenti riguardanti "infrazioni"). Analoga operazione è stata effettuata per la definizione di "incaricati" (ricavata, in particolare, dall'art. 19 della legge n. 675/1996), con la quale si chiarisce, fra l'altro, che gli incaricati del trattamento possono essere solo persone fisiche (art. 4, comma 1, lett. h);
alla lett. l), la definizione di "comunicazione" precisa che tale non può considerarsi la comunicazione effettuata nei confronti dell'interessato, del rappresentante del titolare nel territorio dello Stato, del responsabile o dell'incaricato, in linea con la citata direttiva europea 95/46/CE in base alla quale tali soggetti sono considerati “destinatari” dei dati e non rientrano nella nozione di "terzo" (art. 2, par. 1, lett. f), dir. 95/46/CE). |
|
2. Ai fini del presente codice si intende, inoltre, per:
|
|
a) "comunicazione elettronica", ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile;
|
|
b) "chiamata", la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale; |
|
c) "reti di comunicazione elettronica", i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato; |
|
d) "rete pubblica di comunicazioni", una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico; |
|
e) "servizio di comunicazione elettronica", i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002; |
|
f) "abbonato", qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura ditali servizi, o comunque destinatario di tali servizi tramite schede prepagate; |
|
g) "utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata; |
|
h) "dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione; |
|
i) "dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico; |
|
l) "servizio a valore aggiunto", il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione; |
|
m) "posta elettronica", messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza. |
|
Relazione
Il comma 2 contiene le definizioni necessarie per i trattamenti effettuati nell'ambito delle comunicazioni elettroniche (cfr. in particolare, Parte II, Titolo X), le quali riproducono pressoché pedissequamente le definizioni riportate nella direttiva n. 2002/58/CE sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle comunicazioni elettroniche, nonché quelle, espressamente richiamate, della direttiva "quadro" n. 2002/21/CE in materia di reti e servizi di comunicazione elettronica. Al riguardo va rilevato che la definizione di "comunicazione" di cui alla citata direttiva 2002/58 è riferita, nel testo, alla "comunicazione elettronica" per distinguerla dalla "comunicazione" tout court di cui al comma 1 dell'articolo in commento.
|
|
3. Ai fini del presente codice si intende, altresì, per:
|
|
|
a) "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
|
|
|
b) "strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento; |
|
|
c) "autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità; |
|
|
d) "credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; |
|
|
e) "parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; |
|
|
f) "profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonchè i trattamenti ad essa consentiti; |
|
|
g) "sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente. |
|
Relazione
Il comma 3 reca le definizioni relative alle misure minime di sicurezza di cui al Titolo V della Parte I e al disciplinare tecnico allegato al codice. Si tratta in gran parte di definizioni "nuove" indicative degli specifici adempimenti cui sono tenuti i titolari del trattamento a tutela della sicurezza dei dati e dei sistemi.
|
|
4. Ai fini del presente codice si intende per:
|
|
|
a) "scopi storici", le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato;
|
|
|
b) "scopi statistici", le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici; |
|
|
c) "scopi scientifici", le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore. |
|
Relazione
Il comma 4 riproduce le definizioni contenute nel d. lg. n. 281/1999 in materia di trattamenti per scopi storici, statistici e scientifici, con la sola sostituzione, meramente formale, della locuzione "scopi di ricerca scientifica" con la locuzione "scopi scientifici".
|
| |
|
 a cura degli specialisti di GBsoftware
Commento
L' articolo 4 può essere senza dubbio considerato uno dei più importanti, in quanto, in esso, sono contenuti i termini più utilizzati all'interno del Codice della Privacy, oramai divenuti di uso comune per gli operatori del settore.
La conoscenza delle definizioni chiave è infatti fondamentale non solo per comprendere le disposizioni legislative contenute nel Testo unico della privacy, ma anche per l'espletamento dei periodici adempimenti previsti dalla disciplina.
In una rapida spiegazione del significato dei termini più importanti contenuti all'interno della normativa in materia di privacy, pare opportuno cominciare dai termini “dato” e “trattamento dei dati”.
L'oggetto della disciplina della privacy, infatti, è rappresentato dal trattamento dei dati.
Il codice non fornisce una singola definizione di dato, ma ne individua varie tipologie, a seconda del tipo di informazione dallo stesso fornita relativamente al soggetto interessato.
In particolare, nel presente articolo è precisato il concetto di dato: personale, identificativo, sensibile, giudiziario e anonimo.
A seconda delle categorie di dato oggetto di trattamento, vi sono specifici obblighi ed adempimenti da rispettare.
Ovviamente maggiore è la delicatezza del dato trattato più elevate sono le misure di sicurezza previste.
La prima e fondamentale domanda cui rispondere è cosa la legge, e le relative interpretazioni, intendano per dati personali.
Quando si trattano gli stessi si è, infatti, soggetti alle previsioni ed agli adempimenti imposti dalla legge, mentre il trattamento di informazioni e notizie, che non sono considerati dati personali, è fuori dall'ambito di applicazione della stessa.
I l dato personale è una informazione su un soggetto , sia esso una persona fisica, una persona giuridica, un ente od una associazione: ciò porta ad escludere dalla definizione la semplice combinazione di nome, cognome, luogo e data di nascita di una persona.
Nel valutare se una determinata informazione costituisca un dato personale si deve utilizzare il massimo rigore, propendendo nell'incertezza più per la risposta affermativa, che per quella negativa. Tale fatto ha implicazioni pratiche soprattutto per quanto riguarda l'obbligo, per chi tratta dati personali, di comunicare quali essi siano al soggetto cui si riferiscono, su richiesta di quest'ultimo ( diritto di accesso , previsto dall'articolo 7 del codice).
In una decisione presa nel 1999, il Garante ha precisato che l'espressione qualunque informazione vuole evidentemente attribuire alla definizione di dato personale la massima ampiezza, comprendendo anche ogni notizia, informazione o elemento che abbia un'efficacia informativa tale, da fornire un contributo aggiuntivo di conoscenza rispetto ad un soggetto identificato od identificabile.
Per essere considerata un dato personale, l'informazione deve riferirsi ad un soggetto identificato o identificabile , sia esso una persona fisica o una persona giuridica.
Non rientrano quindi nell'applicazione della legge i dati anonimi , i quali né si riferiscono ad un dato soggetto, né permettono di risalire, neppure se associati con altri elementi, allo stesso. Più precisamente, la lettera n) della disposizione in commento, definisce anonimo “il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile” .
Il concetto di soggetto identificabile deve essere accuratamente analizzato, per applicarlo correttamente caso per caso.
Non tutti i dati sono uguali di fronte alla legge, ma la stessa garantisce una più intensa tutela a quelli che più toccano la libertà e la sfera intima delle persone.
Nell'ambito dell'intero coacervo dei dati personali, la legge ha quindi individuato le seguenti categorie di dati, alle quali sono riservate particolari forme di tutela : i dati sensibili , i dati giudiziari e i dati di natura comune, ma il cui trattamento presenta rischi specifici , di cui si occupa l'articolo 17 del codice.
Per effettuare correttamente il trattamento dei dati personali è di fondamentale importanza comprendere se essi appartengono ad una di tali categorie, ovvero se essi rientrano nei dati comuni , per trattare i quali gli oneri e le cautele imposti dalla legge sono meno stringenti.
Ai dati sensibili è garantita una più intensa tutela, in quanto toccano la sfera più intima e delicata della personalità: tali sono i dati idonei a rivelare lo stato di salute e la vita sessuale della persona e, mentre taluni di questi dati sono propri delle sole persone fisiche (es. origine razziale o etnica), altri possono riguardare anche le persone giuridiche (ci si riferisce in particolare alla adesione ad associazioni imprenditoriali e di categoria). Nel silenzio della legge, in merito, anche nei riguardi di tali soggetti si applicano le particolari forme di tutela, previste per la generalità dei dati sensibili, nonostante venga evidentemente meno ogni motivazione di evitare intenti discriminatori e persecutori.
E' di fondamentale importanza soffermarsi sul fatto che la legge considera di natura sensibile non solo determinati dati, di per sé esaustivi al fine di rivelare una informazione sensibile in merito ad una persona, ma estende la definizione anche ai dati idonei a rivelare tale informazione.
In taluni casi non esistono quindi dati di per sé sensibili o non sensibili: determinate informazioni relative ad un soggetto, se adeguatamente elaborate, possono infatti essere idonee a rivelare la sfera sensibile di una persona. In questi casi, quello che rende un dato sensibile è l'uso che il titolare del trattamento ne fa, in relazione alle concrete finalità per le quali il dato viene trattato.
Per dati giudiziari si intendono quei dati cui è garantita una particolare tutela, in quanto sono idonei a rivelare taluni provvedimenti di cui all'articolo 3, comma 1, Dpr 313/2002 o la qualità di imputato o di indagato.
Per il semplice fatto di essere a conoscenza di dati personali altrui, non si viene automaticamente assoggettati alle disposizioni del codice privacy, infatti, p er essere assoggettati alle norme della legge occorre porre in atto un trattamento dei dati così come definito dalla lettera a) della disposizione in commento.
Le operazioni di trattamento si possono idealmente suddividere in tre macro-tipologie, in funzione del fatto che il loro fine sia: il reperimento delle informazioni, il trattamento “interno” delle informazioni o l'uso delle informazioni nei rapporti con l'esterno.
È importante chiarire che non tutto ciò di cui si viene a conoscenza è considerato raccolta di dati, e rende quindi soggetti alle disposizioni della legge. Esiste cioè una fondamentale differenza tra raccolta generica di informazioni , il verificarsi della quale non fa sorgere alcun obbligo e raccolta di dati personali in senso stretto , l'attuazione della quale, invece, rende soggetti agli obblighi previsti dalla legge.
L'uso delle informazioni nei rapporti con l'esterno sono i trattamenti più delicati, in quanto è con essi che si può concretamente ledere la sfera della privacy altrui: essi vengono genericamente definiti come utilizzo , ovvero la realizzazione dello scopo per cui si è provveduto alla raccolta ed ai trattamenti interni.
Con i termini titolare, responsabile, incaricati ed interessato, vengono individuate quelle figure che, all'interno della corretta applicazione della normativa, assumono un ruolo di estremo rilievo. Al titolare spetta, per presunzione assoluta di legge, la direzione delle attività di trattamento dei dati personali. A tale soggetto competono, infatti, le decisioni strategiche di fondo su come ( modalità ) e perché ( finalità ) raccogliere e trattare i dati, nonché sull' organizzazione del trattamento e sulle risorse (strumenti) da dedicarvi , anche per garantire la sicurezza . Il titolare è una figura di massima importanza, in quanto può disporre in maniera ampia in merito al trattamento dei dati personali in termini di: 1) finalità ed obiettivi perseguiti; 2) modalità di effettuazione; 3) strumenti utilizzati; 4) misure di sicurezza. Il titolare del trattamento è tenuto al rispetto dei numerosi obblighi ed adempimenti previsti dalla legge sulla privacy. Il titolare non può sottrarsi, anche se delega taluno, o al limite tutti gli aspetti gestionali ad altri soggetti, al compito di vigilare sul fatto che le norme privacy vengano diligentemente rispettate e che le misure di sicurezza vengano attuate. Conseguentemente, è il soggetto che per primo è tenuto al risarcimento degli eventuali danni, nonché quello su cui grava in prima istanza la spada di Damocle delle ricche e variegate sanzioni penali, di cui il sistema – privacy è assai ben fornito.
L'individuazione di un responsabile del trattamento, invece, non si riferisce tanto alla possibilità di designare un soggetto, al quale il titolare possa trasferire, delegandole, le proprie responsabilità giuridiche, quanto piuttosto alla possibilità di affidare specifici incarichi di ordine organizzativo e direttivo ad un soggetto professionalmente qualificato e capace. Dal testo legislativo si evince che il responsabile non si limita ad essere il mero esecutore delle istruzioni impartitegli dal titolare, poiché le caratteristiche di esperienza, capacità tecnica, affidabilità e conoscenza della legge, poste come condizioni necessarie per la sua nomina, lo qualificano come soggetto in grado di integrare, da un punto di vista pratico e tecnico, le scelte strategiche che il titolare, non necessariamente dotato delle capacità tecniche idonee, ha intrapreso in ordine al trattamento dei dati personali. Il responsabile è tenuto al rispetto delle istruzioni impartitegli dal titolare del trattamento e delle norme in materia di privacy. Il responsabile deve procedere al trattamento attenendosi alle istruzioni assegnate dal titolare che, anche attraverso verifiche periodiche, deve vigilare sulla puntuale osservazione delle disposizioni di legge e delle istruzioni impartite. Il ruolo di responsabile può essere affidato a persone fisiche, persone giuridiche ed a qualsiasi altro ente, associazione od organismo, facenti o meno parte della organizzazione del titolare: quest'ultimo, se ritiene di farlo, può quindi nominare un proprio dipendente, un consulente esterno o una società terza. Per quanto concerne gli incaricati, invece, essi sono coloro i quali effettuano materialmente le operazioni connesse al trattamento dei dati personali, quali raccolta ed elaborazione, archiviazione e comunicazione e diffusione. La presenza dei soggetti incaricati al trattamento dei dati è necessaria per il funzionamento di una qualsiasi realtà operativa. Pur non rispondendo in maniera diretta delle violazioni, anche per tali figure vige l'obbligo di rispettare tutte le norme in materia di privacy. La designazione degli incaricati deve avvenire obbligatoriamente per iscritto ed indicare espressamente le operazioni che dagli stessi possono essere messe in atto. L'incaricato ha una assoluta mancanza di autonomia gestionale, nel lavoro di trattamento affidatogli, e, conseguentemente, nessun tipo di responsabilità penale od amministrativa, inerente la disciplina in materia di protezione dei dati, grava sull'incaricato. Le uniche responsabilità, che permangono a suo carico, sono connesse con la violazione delle clausole del contratto di servizio, attraverso il quale è stato conferito l'incarico: in altri termini, l'incaricato risponderà esclusivamente degli inadempimenti contrattuali, nella misura in cui il servizio non è conforme a quanto richiesto dal committente (in questo caso dall'azienda titolare o dal responsabile). L' interessato, nelle sue vesti di soggetto cui si riferiscono i dati personali, può assumere qualsiasi forma giuridica e viene ad esistenza dal momento in cui i relativi dati personali iniziano ad essere oggetto di trattamento. I diritti dell'interessato sono elencati nell'articolo 7, D. lgs. N. 196/2003.
Il terzo comma della disposizione in esame, offre, invece, una completa elencazione di tutta quella terminologia che trova il suo nerbo negli articoli da 33 a 36 del codice sulla privacy, ove viene ridisegnata radicalmente la mappa delle misure minime di sicurezza e disciplinati gli accorgimenti da adottare, per i trattamenti effettuati mediante strumenti elettronici , mentre, n el quarto comma dell'articolo 4, vengono definiti i corretti significati di termini, che trovano la loro applicazione negli articoli da 97 a 110 del codice, ove si dà rilievo alla modalità di trattamento da utilizzare quando per indagini di carattere storico, statistico o scientifico, si ha a che fare con il trattamento di dati. | |
