Il D.Lgs. n. 196 del 30 giugno 2003 "Codice in materia di protezione dei dati personali" (di seguito "Codice privacy"), entrato in vigore lo scorso 1° gennaio 2004, detta la disciplina della tutela dei dati personali, abrogando tutte le norme nazionali, che si sono succedute nel corso del tempo, quali, tra tutte, la Legge 31 dicembre 1996, n. 675.

Definisce come diritto assoluto e inviolabile, tutelato attraverso sanzioni civili, penali e amministrative, la riservatezza delle persone fisiche e giuridiche (comprese le società di capitali, le associazioni riconosciute e gli enti dotati di personalità giuridica).

L'oggetto delle disposizioni di legge è il trattamento di dati personali.

Il consenso, disciplinato dagli artt. 23 e ss. del Codice, costituisce una condizione di liceità del trattamento dei dati.

• Come richiedere il consenso
  Per essere valido, il consenso deve essere richiesto prima della raccolta dei dati e solo dopo avere debitamente informato l'interessato sulle modalità e finalità del trattamento e sul diritto di accesso ai propri dati trattati garantito dalla legge, inclusa la possibilità di richiederne la modifica o cancellazione.



• Forma del consenso
  Il consenso deve essere manifestato in forma scritta nel caso in cui il trattamento abbia ad oggetto dati sensibili. Per i dati comuni, invece, è sufficiente che l'espressione del consenso dell'interessato sia esplicita, libera ed informata e, pertanto, è ammesso solo il consenso raccolto mediante Opt-In, in cui l'interessato autorizza attivamente il trattamento dei dati che lo riguardano, con modalità chiare e consultabili a richiesta in caso di contestazioni.



• Come farne uso
  Il principio generale della legge è che i dati sono di esclusiva proprietà dell'interessato, che puo' autorizzarne il trattamento da parte di terzi con modalità e finalità concordate prima del trattamento. è quindi necessario che il titolare del trattamento garantisca effettiva trasparenza e facilità di accesso all'interessato. La migliore regola da seguire in questo ambito è piuttosto semplice: basta rispettare con precisione i limiti di utilizzo fissati all'atto della raccolta dati.

I dati personali sono definiti come:

"qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale";

Sono quindi informazioni direttamente associabili a una persona, ente o associazione, di solito attraverso il nome e il cognome. E' importante specificare che il nome e il cognome in sé non sono dati personali ma la "chiave" che permette di associare a una persona fisica le informazioni che la riguardano.

Un caso particolare di dati personali sono i dati sensibili, definiti dall'articolo 4, lett. d), come:

""i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”;"

Per la loro caratteristica, la tutela riservata a questo tipo di dati e' particolarmente stretta al punto che la sola autorizzazione dell'interessato non e' sufficiente per rendere lecito il trattamento di questo tipo di dati da parte di terzi.

Per trattamento dei dati si intende "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati";

La comunicazione, ai sensi dell’art. 4, lett. l), è "il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione";

La diffusione, ai sensi dell’art. 4, lett. m), è "il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione".

Principi Generali

Il titolare di un trattamento dei dati - ovvero la societa' che decide le modalita' di questa operazione - prima di inziare il trattamento stesso deve:

• comunicare al Garante che sta trattando dei dati personali (attraverso un modulo da compilare via internet, predisposto dal Garante e chiamato notifica del trattamento);
  
  
• nominare i responsabili e gli incaricati del trattamento dei dati (persone fisiche o società) e strutturare le misure di sicurezza per garantire la massima riservatezza possibile;
  
  
• informare l'interessato dei diritti che può esercitare in base all'articolo 13 del D.Lgs. n. 196/2003 (predisporre, cioè, la cosiddetta informativa);
  
  
• richiedere il consenso esplicito dell'interessato al trattamento dei dati, e alla loro comunicazione e diffusione.

In fase di comunicazione al Garante, il titolare dei dati definisce quale uso intende fare dei dati raccolti (la finalità del trattamento - uso interno oppure comunicazione, diffusione o vendita ad aziende terze).In fase di raccolta dei dati, il titolare ha l'obbligo di specificare all'utente i suoi diritti relativi al trattamento, nonché di richiedere il consenso esplicito per ciascuno dei trattamenti che ha comunicato al garante (uso interno ai fini di erogazione del servizio, comunicazione ad aziende terze, vendita dei dati).

Il Garante della Privacy e la giurisdizione amministrativa

Il Garante per la tutela dei dati personali è un'autorità amministrativa indipendente preposta a sorvegliare sull'ottemperanza delle disposizioni del Testo Unico e col potere di comminare sanzioni amministrative (oltre alle eventuali sanzioni penali previste nei casi piu' gravi di violazione denunciati all'autorita' ordinaria).
E' un organo collegiale composto da 4 membri, eletti 2 dalla Camera dei Deputati e 2 dal Senato della Repubblica, e presieduto da un Presidente eletto all'interno dei membri. Il Garante per la tutela dei dati personali si occupa di:

• creare e aggiornare il registro generale dei trattamenti che contiene tutte le notifiche dei trattamenti di dati personali in corso inviati dalle aziende titolari;
• controllare la conformità al Codice privacy dei trattamenti notificati, e dare indicazioni per rendere i trattamenti in corso più conformi alla legge;
• ricevere i reclami dei soggetti tutelati dalla legge e adottare i provvedimenti previsti;
• curare la conoscenza delle norme e promuovere la sottoscrizione di codici di deontologia e di buona condotta per settori.

Il Garante esercita un funzione di indirizzo, coordinamento e controllo, che si esercita:

• attraverso la risposta a quesiti sollevati dagli operatori su casi concreti;
• l'emissione di pareri, di solito a seguito di interpellanze provenienti dai cittadini o enti;
• provvedimenti amministrativi a seguito di violazione delle disposizioni di legge.

Garanzie per gli utenti

Diritto di informazione, accesso, modifica e cancellazione. L'interessato è la persona fisica, giuridica, l'ente o l'associazione cui si riferiscono i dati personali.

• L'articolo 13 del D.Lgs. n. 196/2003 elenca quali informazioni deve ricevere l'interessato in fase di raccolta dati (perché e come vengono raccolti, se sono obbligatori o facoltativi, conseguenze del rifiuto alla raccolta dei dati, se vengono comunicati o diffusi e terzi, i dati relativi al titolare del trattamento e a eventuali società incaricate);



• L'articolo 7 descrive i diritti dell'interessato sui dati che lo riguardano:



• nei confronti del Garante: accesso gratuito al registro dei trattamenti per sapere se i dati che lo riguardano sono oggetto di qualche trattamento e per rintracciare il titolare e il responsabile;



• nei confronti del titolare o del responsabile del trattamento: la conferma dell'esistenza e la comunicazione dei dati; la cancellazione, il blocco e la trasformazione in forma anonima; l'aggiornamento, la rettifica o l'integrazione; l'attestazione delle operazioni compiute sui dati; la cancellazione dei dati utilizzati ai fini di invio di corrispondenza e di materiale pubblicitario.

La Robinson List (Mail preference service)
La Robinson List è una lista a cui gli utenti si possono iscrivere per limitare o inibire del tutto l'invio di posta ed e-mail contenenti informazioni commerciali. E' un'iniziativa gestita dalle associazioni nazionali di vendita a distanza che consente ai consumatori di essere inseriti in liste che poi vengono comunicate alle imprese aderenti. E' attivo anche il servizio MPS gestito direttamente dalla DMA - Direct Marketing Association -, l'associazione che raccoglie operatori di DM di tutto il mondo e che consente la cancellazione dalle liste (sia recapiti che e-mail) di tutte le societa' e associazioni nazionali aderenti.

Chi desidera limitare o evitare di ricevere pubblicità e offerte commerciali, sia tramite posta che altri mezzi (fax, telefono, sms, e-mail), può utilizzare il servizio CANCELLAMI (www.cancellami.it) per ricevere solo le offerte che desidera.

Garanzie per gli operatori

• Richiedere la "carta d'identita'" delle mailing lists
  Se la raccolta di dati personali e' gestita direttamente dall'azienda, seguire le disposizioni di legge mette al riparo da qualunque problema.
  Se si utilizzano recapiti o email acquisiti dall'esterno e' importante essere certi che il trattamento e l'utilizzo dei dati per la specifica finalita' siano dotati del necessario consenso da parte dell'interessato o ricadano in una delle categorie di esclusione dello stesso (tipico caso: i "dati conoscibili da chiunque" di talune liste compilate).
  Senza ragionevole certezza - e manleva da parte del fornitore - puo' essere rischioso utilizzare liste di nominativi esterni. Fortunatamente il mercato delle liste offre una ampia varieta' di target per la comunicazione diretta del tutto in regola con le disposizioni di legge. Il riferimento agli operatori piu' seri sul mercato e' una sicura garanzia di non incorrere in problemi con il Codice sulla Privacy.



• I pareri del Garante
  Se sussistono dubbi su specifiche tematiche relative alla Privacy, la richiesta di un parere preventivo all'Ufficio del Garante permette di avere un indirizzo di comportamento certo prima di incorrere in violazioni che possono avere conseguenze sgradite. Dopo un primo periodo di grande incertezza in cui le richieste sono state troppo superiori alle capacita' di risposta dell'Ufficio, e'oggi possibile contare su un parere certo in tempi ragionevoli.