Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing' ![Crea PDF]( "Crea PDF")
![Banca dati, normativa sulla sicurezza]()
Da febbraio adempimenti semplificati in materia di privacy
Sulla Gazzetta Ufficiale n.13 del 16.1.2 e' stato pubblicato il decreto legislativo 28 dicembre 2001 n. 467 che apporta importanti correzioni ed integrazioni alla normativa in materia di protezione dei dati personali.
La maggior parte delle novita' entrera' in vigore dal 1° febbraio 2002; le altre diventeranno operative nel corso dell'anno.
Sul tema la redazione di PuntoSicuro ha intervistato il dott. Giovanni Buttarelli, Segretario generale del Garante per la protezione dei dati personali e Presidente dell'Autorità di Controllo Schengen.
Dott. Buttarelli, da quali esigenze nasce il decreto 467/2001, quali carenze legislative intende colmare?
Innanzitutto il recepimento della direttiva comunitaria quadro in materia non era ancora completato; per cui questo decreto ha introdotto alcune disposizioni aggiuntive che hanno ormai pressoche' ultimato il processo di recepimento.
Mancano alcuni dettagli, ma era importante applicare la legge anche da chi, stabilito fuori dall'Unione Europea, tratta informazioni personali avvalendosi di mezzi situati sul nostro territorio; ad esempio in caso di ''trattamenti invisibili'' effettuati attraverso siti web da un lato e Pc dall'altro con l'uso di cookies o software spia non dichiarati agli interessati.
Inoltre c'e' il caso molto importante del cosiddetto ''prior checking'' che ha portato ad introdurre una nuova categoria di dati a cavallo tra quelli comuni e quelli ''sensibili''. La legge ora permette di ''personalizzare'' le garanzie e le tutele aggiungendo ai comuni requisiti per il trattamento dei dati specifiche misure e accorgimenti che l'Autorita' Garante puo' impartire in quanto, pur trattandosi di dati comuni, il loro trattamento puo' comportare uno specifico rischio per gli interessati.
Pensiamo ad esempio a liste di sospettati, a determinati trattamenti di dati a fini di antireciclaggio, oppure a certi trattamenti di dati in ambito lavorativo.
Inoltre e' possibile, d'ora in poi, trattare dati personali anche secondo ulteriori presupposti, diversi da quelli del consenso, quando ci siano situazioni non espressamente previste dall'attuale legge, ma che saranno individuate attraverso un futuro e prossimo provvedimento del Garante, nel caso ci sia un ''interesse legittimo'' del titolare del trattamento e questo interesse possa essere valorizzato in quanto non esiste un prevalente e legittimo interesse della persona a cui si riferiscono le informazioni o un suo diritto fondamentale.
Infine c'e' il profilo di adattamento di alcuni istituti gia' esistenti sulla base dell'esperienza di un primo quadriennio; quindi sia sul piano sanzionatorio, sia sul piano degli adempimenti questo decreto ha introdotto alcuni ''aggiustamenti in corso d'opera''.
Questi aggiustamenti permettono di semplificare gli adempimenti a carico del gestore delle banche dati, ma al tempo stesso di salvaguardare le garanzie. Anzi, per quanto attiene agli strumenti per inibire se necessario, o sanzionare, alcuni trattamenti viene offerta all'autorita' garante una strumentazione in piu' che permette di vietare con maggiore agilita', laddove sia necessario, un trattamento e al tempo stesso introduce una graduazione maggiore nel quadro delle sanzioni.
Quali sono le principali novita' introdotte dal decreto?
Anzitutto la semplificazione degli adempimenti di carattere puramente formale.
La notificazione del trattamento che va effettuata all'autorita' Garante viene ulteriormente circoscritta, rispetto agli esoneri del 1997 , ai soli casi in cui sia pregiudizievole per i diritti e le liberta' dell'interessato.
L'informativa che oggi, a rigor di legge deve contenere la lista integrale dei vari, e a volte gli innumerevoli, responsabili del trattamento potra' indicare soltanto quel responsabile che serve da trait d'union con l'interessato.
In caso di trattamento di dati legati all'adempimento di obblighi contrattuali e precontrattuali non sara' piu' necessario richiedere uno specifico consenso, come avveniva fino ad oggi.
Per quanto riguarda i dati sensibili ci sono adattamenti che permettono da un lato di completare il recepimento della direttiva comunitaria per cio' che attiene al trattamento dei dati all'interno di associazioni, partiti politici e movimenti che trattano questi dati per il perseguimento di finalita' lecite.
Anche per quanto riguarda il trattamento per far valere o difendere un diritto in sede giudiziaria c'e' una estensione della possibilita' di trattare questi dati in base alla sola autorizzazione del Garante, senza il consenso dell'interessato, in particolare ai fini delle investigazioni difensive previste dalla legge n.397/2000.
Il decreto 467/2001 punta poi, per quanto riguarda le sanzioni, a raggiungere l'obiettivo primario dell'attuazione dei principi. Quindi in materia di misure di sicurezza si mantiene la sanzione penale, ma al tempo stesso si introduce l'istituto del cosiddetto ''ravvedimento operoso''.
La persona denunciata per mancata adozione di misure minime di sicurezza potra' regolarizzare la propria posizione, anche agli effetti penali, ovviamente con una sorta di pagamento anche estintivo, ma comunque in un tempo strettamente necessario completando tutto il quadro delle misure che aveva omesso di mettere in opera.
La parte piu' significativa, a parte gli altri adeguamenti di sanzioni, e' quella che riguarda il completamento e la specificazione dei principi di privacy nei vari settori.
Per questo aspetto c'e' un'interessante previsione di 7 codici di deontologia che da internet alle centrali di rischio, dall'informazione commerciale al direct marketing, dovranno completare sotto la supervisione del garante la disciplina della protezione dati in vari settori per specificare queste garanzie generali.
Saranno redatti su intervento e impulso del Garante con un ruolo centrale delle organizzazioni di categoria. Il dato significativo e' che si tratta non di codici deontologici della vecchia generazione, ma di vere e proprie fonti del diritto il cui rispetto e' condizione per la liceita' del trattamento. Saranno quindi pubblicati sulla Gazzetta Ufficiale, come gia' e' avvenuto per quello sugli storici e sul giornalismo, e potranno essere invocati in caso di contenzioso.
L'Italia e' il primo Paese in Europa che, per quanto riguarda Internet, sceglie questa strada della maggiore combinazione di fonti diverse del diritto cui da una espressa rilevanza.
Riguardo alla disciplina del trattamento dei dati personali in Internet, oltre al codice deontologico, quali provvedimenti sono attesi e quali i nodi ancora da sciogliere?
Ponendo attenzione ad una decisione adottata dai Garanti europei il 17 maggio dello scorso anno, pubblicata sul sito internet della Commissione europea, si puo' vedere che non e' affatto incompatibile il mezzo Internet con l'attuazione di questi principi, in materia di informativa e consenso; semmai ci vuole una certa intelligenza e inventiva per quanto riguarda le modalita' con cui questi due fattori possono essere soddisfatti.
Gia' i Garanti hanno dato delle indicazioni a livello europeo, adesso si tratta di dare forza a queste indicazioni e di trovare un modo affinché ciascun utente, quando si collega ad un sito, gia' nella home page e con un quesito, possa trovare un minimo di informazioni sulla privacy policy del sito, trovando poi un'informativa piu' dettagliata e corretta in una pagina dedicata interamente alla strategia privacy del sito stesso.
Naturalmente questo portera' ad affrontare temi molto delicati come il cosiddetto ''anonimato protetto'', come i tempi di conservazione dei log [file che registrano tutto cio' che accade in un web server], come quello del trattamento di dati a fini di invio di comunicazioni indesiderate.
Alcuni aspetti dovranno essere disciplinati conformemente alla direttiva sulle telecomunicazioni modificata, che in questo momento e' stata gia' convenuta a livello europeo, e reca nuove norme sullo spamming che seguono il caso italiano, quindi la corrispondenza indesiderata con posta elettronica diviene basata sul consenso preventivo dell'abbonato (opt-in).
La maggior parte delle novita' entrera' in vigore dal 1° febbraio 2002; le altre diventeranno operative nel corso dell'anno.
Sul tema la redazione di PuntoSicuro ha intervistato il dott. Giovanni Buttarelli, Segretario generale del Garante per la protezione dei dati personali e Presidente dell'Autorità di Controllo Schengen.
Dott. Buttarelli, da quali esigenze nasce il decreto 467/2001, quali carenze legislative intende colmare?
Innanzitutto il recepimento della direttiva comunitaria quadro in materia non era ancora completato; per cui questo decreto ha introdotto alcune disposizioni aggiuntive che hanno ormai pressoche' ultimato il processo di recepimento.
Mancano alcuni dettagli, ma era importante applicare la legge anche da chi, stabilito fuori dall'Unione Europea, tratta informazioni personali avvalendosi di mezzi situati sul nostro territorio; ad esempio in caso di ''trattamenti invisibili'' effettuati attraverso siti web da un lato e Pc dall'altro con l'uso di cookies o software spia non dichiarati agli interessati.
Inoltre c'e' il caso molto importante del cosiddetto ''prior checking'' che ha portato ad introdurre una nuova categoria di dati a cavallo tra quelli comuni e quelli ''sensibili''. La legge ora permette di ''personalizzare'' le garanzie e le tutele aggiungendo ai comuni requisiti per il trattamento dei dati specifiche misure e accorgimenti che l'Autorita' Garante puo' impartire in quanto, pur trattandosi di dati comuni, il loro trattamento puo' comportare uno specifico rischio per gli interessati.
Pensiamo ad esempio a liste di sospettati, a determinati trattamenti di dati a fini di antireciclaggio, oppure a certi trattamenti di dati in ambito lavorativo.
Inoltre e' possibile, d'ora in poi, trattare dati personali anche secondo ulteriori presupposti, diversi da quelli del consenso, quando ci siano situazioni non espressamente previste dall'attuale legge, ma che saranno individuate attraverso un futuro e prossimo provvedimento del Garante, nel caso ci sia un ''interesse legittimo'' del titolare del trattamento e questo interesse possa essere valorizzato in quanto non esiste un prevalente e legittimo interesse della persona a cui si riferiscono le informazioni o un suo diritto fondamentale.
Infine c'e' il profilo di adattamento di alcuni istituti gia' esistenti sulla base dell'esperienza di un primo quadriennio; quindi sia sul piano sanzionatorio, sia sul piano degli adempimenti questo decreto ha introdotto alcuni ''aggiustamenti in corso d'opera''.
Questi aggiustamenti permettono di semplificare gli adempimenti a carico del gestore delle banche dati, ma al tempo stesso di salvaguardare le garanzie. Anzi, per quanto attiene agli strumenti per inibire se necessario, o sanzionare, alcuni trattamenti viene offerta all'autorita' garante una strumentazione in piu' che permette di vietare con maggiore agilita', laddove sia necessario, un trattamento e al tempo stesso introduce una graduazione maggiore nel quadro delle sanzioni.
Quali sono le principali novita' introdotte dal decreto?
Anzitutto la semplificazione degli adempimenti di carattere puramente formale.
La notificazione del trattamento che va effettuata all'autorita' Garante viene ulteriormente circoscritta, rispetto agli esoneri del 1997 , ai soli casi in cui sia pregiudizievole per i diritti e le liberta' dell'interessato.
L'informativa che oggi, a rigor di legge deve contenere la lista integrale dei vari, e a volte gli innumerevoli, responsabili del trattamento potra' indicare soltanto quel responsabile che serve da trait d'union con l'interessato.
In caso di trattamento di dati legati all'adempimento di obblighi contrattuali e precontrattuali non sara' piu' necessario richiedere uno specifico consenso, come avveniva fino ad oggi.
Per quanto riguarda i dati sensibili ci sono adattamenti che permettono da un lato di completare il recepimento della direttiva comunitaria per cio' che attiene al trattamento dei dati all'interno di associazioni, partiti politici e movimenti che trattano questi dati per il perseguimento di finalita' lecite.
Anche per quanto riguarda il trattamento per far valere o difendere un diritto in sede giudiziaria c'e' una estensione della possibilita' di trattare questi dati in base alla sola autorizzazione del Garante, senza il consenso dell'interessato, in particolare ai fini delle investigazioni difensive previste dalla legge n.397/2000.
Il decreto 467/2001 punta poi, per quanto riguarda le sanzioni, a raggiungere l'obiettivo primario dell'attuazione dei principi. Quindi in materia di misure di sicurezza si mantiene la sanzione penale, ma al tempo stesso si introduce l'istituto del cosiddetto ''ravvedimento operoso''.
La persona denunciata per mancata adozione di misure minime di sicurezza potra' regolarizzare la propria posizione, anche agli effetti penali, ovviamente con una sorta di pagamento anche estintivo, ma comunque in un tempo strettamente necessario completando tutto il quadro delle misure che aveva omesso di mettere in opera.
La parte piu' significativa, a parte gli altri adeguamenti di sanzioni, e' quella che riguarda il completamento e la specificazione dei principi di privacy nei vari settori.
Per questo aspetto c'e' un'interessante previsione di 7 codici di deontologia che da internet alle centrali di rischio, dall'informazione commerciale al direct marketing, dovranno completare sotto la supervisione del garante la disciplina della protezione dati in vari settori per specificare queste garanzie generali.
Saranno redatti su intervento e impulso del Garante con un ruolo centrale delle organizzazioni di categoria. Il dato significativo e' che si tratta non di codici deontologici della vecchia generazione, ma di vere e proprie fonti del diritto il cui rispetto e' condizione per la liceita' del trattamento. Saranno quindi pubblicati sulla Gazzetta Ufficiale, come gia' e' avvenuto per quello sugli storici e sul giornalismo, e potranno essere invocati in caso di contenzioso.
L'Italia e' il primo Paese in Europa che, per quanto riguarda Internet, sceglie questa strada della maggiore combinazione di fonti diverse del diritto cui da una espressa rilevanza.
Riguardo alla disciplina del trattamento dei dati personali in Internet, oltre al codice deontologico, quali provvedimenti sono attesi e quali i nodi ancora da sciogliere?
Ponendo attenzione ad una decisione adottata dai Garanti europei il 17 maggio dello scorso anno, pubblicata sul sito internet della Commissione europea, si puo' vedere che non e' affatto incompatibile il mezzo Internet con l'attuazione di questi principi, in materia di informativa e consenso; semmai ci vuole una certa intelligenza e inventiva per quanto riguarda le modalita' con cui questi due fattori possono essere soddisfatti.
Gia' i Garanti hanno dato delle indicazioni a livello europeo, adesso si tratta di dare forza a queste indicazioni e di trovare un modo affinché ciascun utente, quando si collega ad un sito, gia' nella home page e con un quesito, possa trovare un minimo di informazioni sulla privacy policy del sito, trovando poi un'informativa piu' dettagliata e corretta in una pagina dedicata interamente alla strategia privacy del sito stesso.
Naturalmente questo portera' ad affrontare temi molto delicati come il cosiddetto ''anonimato protetto'', come i tempi di conservazione dei log [file che registrano tutto cio' che accade in un web server], come quello del trattamento di dati a fini di invio di comunicazioni indesiderate.
Alcuni aspetti dovranno essere disciplinati conformemente alla direttiva sulle telecomunicazioni modificata, che in questo momento e' stata gia' convenuta a livello europeo, e reca nuove norme sullo spamming che seguono il caso italiano, quindi la corrispondenza indesiderata con posta elettronica diviene basata sul consenso preventivo dell'abbonato (opt-in).
Pubblica un commento
Ad oggi, nessun commento è ancora stato inserito.Banca Dati di PuntoSicuro
