|
Relazione
L'art. 5 accorpa le disposizioni previgenti contenute in tre diversi articoli (artt. 2, 5 e 6, l. n. 675/1996).
Per quanto riguarda il diritto nazionale applicabile (artt. 2 e 6, comma 1, l. n. 675/1996), l'art. 5 completa il recepimento del principio comunitario di “stabilimento” del titolare del trattamento, indicato dalla direttiva quale criterio di applicazione della normativa nazionale, recepimento avviato con il d. lg. n. 467/2001 (art. 4 dir. n. 95/46/CE). A tal fine, esso chiarisce che il codice disciplina il trattamento di dati personali, effettuato da chiunque "è stabilito" nel territorio dello Stato (oppure effettuato in un luogo comunque soggetto alla sovranità dello Stato), anche se riguarda dati detenuti all'estero (art. 5, comma 1).
Il comma 3 riproduce la disposizione relativa al trattamento effettuato per fini esclusivamente personali (art. 5, l. n. 675/1996). |
|
a cura degli specialisti di GBsoftware
Commento
Il presente articolo disciplina l'ambito di applicazione della privacy, regolamentando il trattamento effettuato: 1) in Italia o in un luogo a sovranità italiana; 2) in un paese extracomunitario; 3) a soli fini personali. Sostanzialmente è chiarito che se il titolare del trattamento è sottoposto alla legge italiana oppure operante in un territorio nel quale vige il controllo delle autorità italiane, anche il trattamento dei dati personali dovrà essere effettuato nel rispetto del codice della privacy italiano. Non ha rilevanza che i dati personali siano stati raccolti ed elaborati all'estero.
Il comma 2 dell'articolo, disciplina diversamente le modalità di applicazione del Codice della privacy nel caso di trattamento di dati effettuato in un Paese sito fuori dall'Unione Europea, ma con l'ausilio di strumenti situati in Italia. È chiarito, in particolare, che il D.lgs. n. 196/2003 trova applicazione anche nel caso di trattamento di dati personali svolto da chiunque che, pur trovandosi in un Paese extracomunitario, utilizzi strumenti, anche non elettronici, situati in Italia. In tale ipotesi, il titolare del trattamento di dati è tenuto a nominare un rappresentante stabilito nel territorio dello Stato, al fine di poter applicare la disciplina della privacy regolamentata dal D.lgs. n. 196/2003. Il rappresentante nominato, quindi, sarà tenuto al rispetto della normativa ed all'espletamento dei vari adempimenti richiesti. Tale adempimento non è invece richiesto ai soggetti stabiliti in paesi appartenenti alla UE, in quanto, essendo i residenti della Comunità sono sottoposti ad un quadro giuridico relativamente uniforme, in materia di privacy, l'imposizione di oneri aggiuntivi risulterebbe inutile oltre che di ostacolo alla libera circolazione di beni e servizi nell'ambito della Comunità. L'obbligo di nomina del rappresentante scatta quando il soggetto stabilito fuori dalla Ue impiega, per il trattamento, strumenti situati nel territorio dello Stato , salvo che tali strumenti siano utilizzati solo ai fini di transito nel territorio dell'Unione europea. Per quanto riguarda la natura degli strumenti, la norma precisa che l'obbligo scatta anche qualora essi siano diversi dalle apparecchiature elettroniche . Ad una prima lettura della norma, si potrebbe essere portati a credere che il rappresentante si configuri semplicemente come un responsabile del trattamento, con ciò dovendo quindi accollarsi una serie di oneri e rischi, ma sempre nei limiti generali previsti per tale ruolo. La relazione al Dlgs 467/2001, che ha in origine introdotto l'obbligo in esame, sistema però subito le cose, stabilendo che il rappresentante è a tutti gli effetti un titolare del trattamento , di fronte alla legge italiana, con tanto di obblighi e gravose responsabilità. Si precisa che, in mancanza di esplicite eccezioni, si deve ritenere che l'obbligo della nomina si estenda a tutti i soggetti residenti in Paesi non appartenenti alla Ue, a nulla rilevando che per tali Paesi vengano previste delle semplificazioni, in ambiti privacy diversi.
Il comma 3 dell'articolo 5, infine, evidenzia che nel caso di trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali, il Codice della Privacy trova applicazione solo nell'ipotesi di successiva comunicazione sistematica o diffusione dei dati stessi. Anche nel caso di trattamento a fini esclusivamente personali, dovranno comunque essere rispettate le disposizioni in materia di eventuali danni cagionati a terzi per effetto del trattamento (art. 15) e di obblighi di sicurezza, ovvero porre in esame tutte le misure idonee al fine di ridurre al minimo il rischio di uso scorretto dei dati personali trattati (art. 31).
Si evidenzia infine che, correttamente, nel nuovo codice non viene riproposta la disposizione, contenuta nel primo comma dell'articolo 4 L 675/1996, per cui non sono soggetti alla normativa privacy i trattamenti effettuati: a) dal Centro elaborazione dati di cui all'articolo 8 della legge 1° aprile 1981, n. 121, ovvero sui dati destinati a confluirvi in base alla legge, nonché in virtù dell'accordo di adesione alla Convenzione di applicazione dell'Accordo di Schengen, reso esecutivo con legge 30 settembre 1993, n. 388; b) dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da segreto di Stato ai sensi dell'articolo 12 della medesima legge; c) nell'ambito del servizio del casellario giudiziale di cui al titolo IV del libro decimo del codice di procedura penale e al regio decreto 18 giugno 1931, n. 778, e successive modificazioni, o, in base alla legge, nell'ambito del servizio dei carichi pendenti nella materia penale; d) in attuazione dell'articolo 371-bis, comma 3, del codice di procedura penale o, per ragioni di giustizia, nell'ambito di uffici giudiziari, del Consiglio superiore della magistratura e del Ministero di grazia e giustizia; e) da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione dei reati, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento. |
