INTRODUZIONE
I – IL RUOLO DELLA DISCIPLINA PRIVACY NEL CAD
II – RICHIAMI E RIFERIMENTI ALLA DISCIPLINA PRIVACY NEL CAD
III – DISCIPLINA GENERALE PRIVACY NEL CAD
IV – LE MISURE DI SICUREZZA NEL CAD
V – RUOLO E FUNZIONE DEL GARANTE PRIVACY NEL CAD
VI – CONCLUSIONI
Privacy in Azienda: Manuale di Formazione per Titolari, Responsabili e Incaricati (Autore Eric Falzone – Casa Editrice Hoepli Spa) – Decreto legislativo 30 giugno 2003, n. 196 – Decreto legislativo 7 marzo 2005, n. 82 – Decreto legislativo n. 159 del 4 aprile 2006
Copyright 2006 – Dr. Eric Falzone
Via A. Gloria 21 – 35030 Rubano (PD) – Tel. 348-6916273 – Fax 049-631246 – E-mail: eric.falzone@eucs.it
Tutti i diritti sono riservati.
La riproduzione, modifica e utilizzo di qualsiasi parte del presente documento è consentita solo previa autorizzazione dell’Autore.
E’ comunque escluso ogni utilizzo del contenuto del presente documento per la redazione di ulteriori saggi, testi o pubblicazioni.
“Codice Privacy” e “Codice dell’Amministrazione Digitale (CAD)” due testi unici che si integrano e completano sullo sfondo di una comune visione di una società dell’informazione attenta al rispetto dei principi costituzionali della tutela e protezione dei dati personali.
A quasi tre anni di distanza dalla sua entrata in vigore, il Codice Privacy sta dimostrando tutta la sua importanza ed autorevolezza diventando uno dei pilastri fondamentali su cui si sta poggiando e conformando tutta la legislazione italiana.
Nonostante ancora la scarsa e limitata applicazione del D.Lgs 196/2003, il diritto alla Privacy comincia ora ad essere finalmente avvertito, dall’opinione pubblica e dagli organi legislativi, come un bene e un diritto assoluto che non può essere sacrificato o asservito a scopi economici o di altra natura.
Un esempio lampante di questa tendenza è ravvisabile nel Codice dell’Amministrazione Digitale, nel quale il Diritto alla Privacy è assunto come principio guida inderogabile, a cui si devono sempre conformare ed attenere Pubblica Amministrazione e Privati in ogni loro scelta o attività.
I – IL RUOLO DELLA DISCIPLINA PRIVACY NEL CAD
Analizzando dettagliatamente i singoli articoli di legge del Codice dell’Amministrazione Digitale rinveniamo subito al “Capo I: Principi Generali” che:
Ø “Le disposizioni del CAD si applicano nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni in materia di protezione dei dati personali approvato con decreto legislativo 30 giugno 2003, n. 196…” (Art. 2.5)
Da ciò si evince immediatamente che premessa fondamentale per una corretta applicazione del Codice dell’Amministrazione Digitale è in primis il rispetto della disciplina in materia di protezione di dati personali prevista dal Codice Privacy.
Nella parte finale del suddetto articolo poi, il legislatore enfatizza l’importanza ed il ruolo della privacy definendola esplicitamente – con palese richiamo all’art. 2 della Costituzione Italiana – un diritto fondamentale che non può e non deve essere mai violato in quanto premessa essenziale per il rispetto della libertà e dignità umana.
Ø “…cittadini e le imprese hanno, comunque, diritto ad ottenere che il trattamento dei dati effettuato mediante l’uso di tecnologie telematiche sia conformato al rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato.” (Art 2.5)
II – RICHIAMI E RIFERIMENTI ALLA DISCIPLINA PRIVACY NEL CAD
Da un’attenta lettura del Codice dell’Amministrazione Digitale, si desume chiaramente che la conoscenza della disciplina privacy è una premessa fondamentale e imprescindibile per la corretta comprensione ed applicazione delle disposizioni legislative in esso contenute.
In tutto il testo di legge, infatti, ritroviamo continui ed espliciti richiami al diritto alla privacy, che per chiarezza espositiva possono essere agevolmente sintetizzati e ricondotti a 3 macroaree della normativa disciplinata dal Codice Privacy:
Ø Disciplina Generale Privacy
Ø Misure di Sicurezza
Ø Funzione Consultiva dell’Autorità Garante
III – DISCIPLINA GENERALE PRIVACY NEL CAD
A seguito dell’analisi del CAD, la prima macroarea privacy rinvenibile è quella relativa all’applicazione della disciplina generale del Codice Privacy, che è esplicitamente richiamata nei seguenti articoli:
Ø Art. 20.5 – Documento informatico – “Restano ferme le disposizioni di legge in materia di protezione dei dati personali.”
Ø Art. 32.3.b – Obblighi del Certificatore – “Il certificatore…deve…rilasciare e rendere pubblico il certificato elettronico … nel rispetto del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni;”
Ø Art. 32.5 – Obblighi del Certificatore – “Il certificatore raccoglie i dati personali solo direttamente dalla persona cui si riferiscono o previo suo esplicito consenso, e soltanto nella misura necessaria al rilascio e al mantenimento del certificato, fornendo l’informativa prevista dall’articolo 13 del decreto legislativo 30 giugno 2003, n. 196. I dati non possono essere raccolti o elaborati per fini diversi senza l’espresso consenso della persona cui si riferiscono.”
Ø Art. 46.1 – Dati particolari contenuti nei documenti trasmessi – “Al fine di garantire la riservatezza dei dati sensibili o giudiziari di cui all’articolo 4, comma 1, lettere d) ed e), del decreto legislativo 30 giugno 2003, n. 196, i documenti informatici trasmessi ad altre pubbliche amministrazioni per via telematica possono contenere soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e indispensabili per il perseguimento delle finalità per le quali sono acquisite.”
Ø Art. 50.1 – Disponibilità dei dati delle pubbliche amministrazioni – “I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili… salvi i limiti alla conoscibilità dei dati previsti dalle… norme in materia di protezione dei dati personali…”
Ø Art. 50.2 – Disponibilità dei dati delle pubbliche amministrazioni – “Qualunque dato trattato da una pubblica amministrazione… nel rispetto della normativa in materia di protezione dei dati personali, è reso accessibile e fruibile alle altre amministrazioni quando l’utilizzazione del dato sia necessaria per lo svolgimento dei compiti istituzionali dell’amministrazione richiedente…”
Ø Art. 52.1 – Accesso telematico ai dati e documenti delle pubbliche amministrazioni – “L’accesso telematico a dati, documenti e procedimenti è disciplinato dalle pubbliche amministrazioni secondo le disposizioni… in materia di protezione dei dati personali…”
Ø Art. 55.1 – Consultazione delle iniziative normative del Governo – “La Presidenza del Consiglio dei Ministri può pubblicare su sito telematico le notizie relative ad iniziative normative del Governo, nonché i disegni di legge di particolare rilevanza, assicurando forme di partecipazione del cittadino in conformità con le disposizioni vigenti in materia di tutela delle persone e di altri soggetti rispetto al trattamento di dati personali.”
Ø Art. 56.2 – Dati identificativi delle questioni pendenti dinanzi all’autorità giudiziaria di ogni ordine e grado – “Le sentenze e le altre decisioni del giudice amministrativo e contabile, rese pubbliche mediante deposito in segreteria, sono contestualmente inserite nel sistema informativo interno e sul sito istituzionale della rete Internet, osservando le cautele previste dalla normativa in materia di tutela dei dati personali.”
Ø Art. 52.2-bis – Dati identificativi delle questioni pendenti dinanzi all’autorità giudiziaria di ogni ordine e grado – “I dati identificativi delle questioni pendenti, le sentenze e le altre decisioni depositate in cancelleria o segreteria dell’autorità giudiziaria di ogni ordine e grado sono, comunque, rese accessibili ai sensi dell’art. 51 del codice in materia di protezione dei dati personali approvato con decreto legislativo n. 196 del 2003.”
Ø Art. 66.7 – Carta d’identità elettronica e carta nazionale dei servizi – “Nel rispetto… delle vigenti disposizioni in materia di protezione dei dati personali, le pubbliche amministrazioni, nell’àmbito dei rispettivi ordinamenti, possono sperimentare modalità di utilizzazione dei documenti… per l’erogazione di ulteriori servizi o utilità.”
Ø Art. 75.3 – Partecipazione al Sistema pubblico di connettività – “Ai sensi… dell’articolo 25 del decreto legislativo 30 giugno 2003, n. 196, è comunque garantita la connessione con il SPC dei sistemi informativi degli organismi competenti per l’esercizio delle funzioni di sicurezza e difesa nazionale, nel loro esclusivo interesse e secondo regole tecniche che assicurino riservatezza e sicurezza. E’ altresì garantita la possibilità di connessione al SPC delle autorità amministrative indipendenti.”
Ø Art. 77.1.f – Finalità del Sistema pubblico di connettività – “…garantire lo sviluppo dei sistemi informatici nell’ambito del SPC salvaguardando la sicurezza dei dati, la riservatezza delle informazioni, nel rispetto dell’autonomia del patrimonio informativo delle singole amministrazioni e delle vigenti disposizioni in materia di protezione dei dati personali.”
IV – LE MISURE DI SICUREZZA NEL CAD
La seconda macroarea di riferimento è invece quella relativa alle misure di sicurezza che Pubblica Amministrazione, professionisti, aziende e privati cittadini devono adottare al fine di garantire un corretto trattamento di dati personali nell’applicazione delle disposizioni impartite dal Codice dell’Amministrazione Digitale.
Ø Art. 32.1 – Obblighi del titolare – “Il titolare del certificato di firma è tenuto ad assicurare la custodia del dispositivo di firma e ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno ad altri; è altresì tenuto ad utilizzare personalmente il dispositivo di firma.”
Ø Art. 32.2 – Obblighi del certificatore – “Il certificatore è tenuto ad adottare tutte le misure organizzative e tecniche idonee ad evitare danno a terzi.”
Ø Art. 44.1.d – Requisiti per la conservazione dei documenti informatici – “il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto.”
Ø Art. 47.3.b – Trasmissione dei documenti attraverso la posta elettronica tra le pubbliche amministrazioni – “ … le pubbliche amministrazioni centrali provvedono a… utilizzare la posta elettronica… nel rispetto delle norme in materia di protezione dei dati personali e previa informativa agli interessati in merito al grado di riservatezza degli strumenti utilizzati.”
Ø Art. 51.1 – Sicurezza dei dati – “Le norme di sicurezza definite nelle regole tecniche di cui all’articolo 71 garantiscono l’esattezza, la disponibilità, l’accessibilità, l’integrità e la riservatezza dei dati.”
Ø Art. 51.2 – Sicurezza dei dati – “I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta.”
Ø Art. 66.2.c – Carta d’identità elettronica e carta nazionale dei servizi – “…eventuali indicazioni di carattere individuale connesse all’erogazione dei servizi al cittadino, sono possibili nei limiti di cui al decreto legislativo 30 giugno 2003, n. 196”
Ø Art. 82.5.b – Fornitori del Sistema pubblico di connettività – “Limitatamente ai fornitori dei servizi di connettività dovranno inoltre essere soddisfatti anche i…requisiti… possesso di comprovate conoscenze ed esperienze tecniche nella gestione delle reti e servizi di comunicazioni elettroniche, anche sotto il profilo della sicurezza e della protezione dei dati.”
V – RUOLO E FUNZIONE DEL GARANTE PRIVACY NEL CAD
La terza macroarea di riferimento presente nel CAD è quella relativa alle funzioni consultive dell’Autorità Garante per la protezione dei dati personali.
Dalla lettura del testo di legge infatti, si evince chiaramente che ogni disposizione del CAD, che comporta un trattamento di dati personali, è soggetta al preventivo parere del Garante Privacy.
Questo aspetto è di fondamentale importanza in quanto ribadisce l’intento del legislatore di assoggettare l’intero Codice dell’Amministrazione Digitale alla disciplina privacy vigente.
I principali richiami all’intervento dell’Autorità Garante in funzione consultiva sono rinvenibili nei seguenti articoli:
Ø Art. 22.4 – Documenti informatici originali e copie. Formazione e conservazione – “Le regole tecniche in materia di formazione e conservazione di documenti informatici delle pubbliche amministrazioni sono definite …sentito il Garante per la protezione dei dati personali.
Ø Art. 38.1 – Pagamenti informatici – “Il trasferimento in via telematica di fondi tra pubbliche amministrazioni e tra queste e soggetti privati è effettuato secondo le regole tecniche stabilite … sentiti il Garante per la protezione dei dati personali e la Banca d’Italia.”
Ø Art. 58.3 – Modalità della fruibilità del dato – “Il CNIPA, sentito il Garante per la protezione dei dati personali, definisce schemi generali di convenzioni finalizzate a favorire la fruibilità informatica dei dati tra le pubbliche amministrazioni …”
Ø Art. 60.3 – Base di dati di interesse nazionale – “Le basi di dati di interesse nazionale sono individuate… sentito il Garante per la protezione dei dati personali.”
Ø Art. 66.1 – Carta d’identità elettronica e carta nazionale dei servizi – “Le caratteristiche e le modalità per il rilascio della carta d’identità elettronica… sono definite… sentito il Garante per la protezione dei dati personali…”
Ø Art. 66.2 – Carta d’identità elettronica e carta nazionale dei servizi – “Le caratteristiche e le modalità per il rilascio, per la diffusione e l’uso della carta nazionale dei servizi sono definite… sentito il Garante per la protezione dei dati personali…”
Ø Art. 66.6 – Carta d’identità elettronica e carta nazionale dei servizi – “…sentito il Garante per la protezione dei dati personali… sono dettate le regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della carta di identità elettronica, del documento di identità elettronico e della carta nazionale dei servizi, nonché le modalità di impiego.”
Ø Art. 71.1 – Regole tecniche – “Le regole tecniche previste nel presente codice sono dettate…sentito… il Garante per la protezione dei dati personali nelle materie di competenza… in modo da garantire la coerenza tecnica con… le regole di cui al disciplinare pubblicato in allegato B al decreto legislativo 30 giugno 2003, n. 196.”
Dall’analisi del Codice dell’Amministrazione Digitale emerge quindi chiaramente l’esplicita volontà del legislatore di assoggettare l’intera disciplina del testo legislativo al rispetto del principio costituzionale del diritto alla privacy.
Tale approccio dovrebbe far quindi seriamente riflettere quanti non hanno ancora compreso la fondamentale importanza della corretta applicazione delle disposizioni e degli adempimenti previsti dal D.Lgs 196/03 al fine di garantire un trattamento di dati che sia consono al rispetto delle libertà fondamentali e della dignità umana.
In particolare l’omessa, sommaria o inidonea applicazione delle disposizioni del Codice Privacy, preclude la possibilità da parte di Pubbliche Amministrazioni, professionisti e aziende di sfruttare in maniera adeguata e sicura i vantaggi economici e competitivi offerti dall’applicazione delle nuove tecnologie del settore informatico e delle telecomunicazioni.
Al fine di poter applicare correttamente le innovazioni apportate dal CAD nei rapporti tra Pubbliche Amministrazioni, aziende e cittadini, risulta pertanto indispensabile che i titolari di dati personali recuperino velocemente le carenze di adeguamento alla disciplina privacy ancora in essere ed in particolar modo quelle relative alle misure di sicurezza.
Solo infatti con un’applicazione sistematica del Codice Privacy sarà possibile un progresso tecnologico digitale che rispetti la protezione del dato personale.
DR. ERIC FALZONE – PADOVA 04 Dicembre 2006
Scrivi un commento
Accedi per poter inserire un commento