Area Professionisti:
Contatta la Redazione:
tutte le mattine, dal lunedì al venerdì: 9:00-13:30
Per la legge italiana, ciascuno di noi può raccogliere le informazioni private di altre persone, ma può utilizzarle solo per scopi personali. Questo significa che se per esempio scattiamo una foto ad un amico, possiamo conservarla e guardarla tutte le volte in cui lo desideriamo, ma non abbiamo il diritto di passarla ad altre persone o diffonderla senza il suo permesso.
Caso diverso è quello di un'azienda, un ente pubblico economico o altro che necessita dei dati personali di qualcuno per i propri scopi (come pubblicizzare prodotti o indagini di mercato). In questi casi per poter procedere al trattamento dei dati personali si devono seguire delle regole ben precise atte a tutelare la privacy delle persone coinvolte.
Prima di tutto, si ha l'obbligo di fornire a questa persona un'informativa e deve essere firmato il consenso
Sanzioni. Poiché per legge tutte le aziende, gli enti, i professionisti ecc. sono obbligati a trattare in modo corretto i dati personali di cui vengono in possesso, nel caso di violazioni o utilizzo scorretto di quelle informazioni, possono essere puniti con sanzioni che arrivano fino a 60.000 euro, con il risarcimento dei danni se una persona ne fa richiesta e, nei casi più gravi, anche con condanne alla reclusione da 1 a 3 anni.
L'informativa è un documento attraverso il quale si comunica a qualcuno la ragione per la quale servono i suoi dati ed in quale modo si ha intenzione di utilizzarli.
Si deve spiegare se è obbligatorio o meno lasciare le sue informazioni private (ad esempio, per poter fare una fattura sono obbligatori i dati della persona a cui la fattura va fatta; per poter avere la pizza a domicilio, è necessario comunicare il proprio indirizzo) e cosa succede se ci si rifiuta di farlo (ad esempio il servizio non verrà erogato).
Si deve anche inserire l'elenco di tutti i diritti di cui gode questa persona: il diritto di chiedere di visualizzare i suoi dati in qualunque momento, di farli modificare, bloccare o cancellare.
Inoltre, nell'informativa sul trattamento dei dati personali deve essere scritto se l'azienda ha intenzione di comunicare o diffondere questi dati a terzi, e chi sono questi terzi.
Devono essere presenti nell'informativa anche i nomi di chi ha ricevuto i dati:
Se chi effettua il trattamento dei dati si trova in un paese che non fa parte dell’Unione Europea ma utilizza comunque strumenti italiani (per esempio un call-center italiano), deve rispettare la nostra legge sulla privacy. Per questo, deve nominare anche un rappresentante sul nostro territorio. Pper esempio se un’azienda che produce cibo in scatola in America lo volesse pubblicizzare tramite un call-center italiano, deve nominare qualcuno che la rappresenti in Italia.
Grazie all'informativa, una persona saprà cosa l'azienda ha intenzione di fare delle sue informazioni private e in base a questo sarà in grado di decidere se dare o meno il consenso. Il consenso, infatti, è il permesso di utilizzare i dati forniti per vari scopi.
Consenso scritto e orale. Quando si tratta di dati sensibili, il consenso deve essere scritto.
Per quanto riguarda gli altri dati, il permesso può essere scritto oppure orale, quindi anche dato per telefono, purché venga annotato.
Ad esempio, se l'addetta di una struttura sanitaria chiama un paziente per una prenotazione, può chiedergli il consenso per inviargli comunicazioni che riguardano l'appuntamento tramite sms o messaggio vocale. Il paziente potrà dare il suo permesso a voce e l'addetta lo annoterà.
Come esempio di permesso scritto possiamo invece pensare ad uno di quei moduli che dobbiamo compilare quando ci abboniamo a qualcosa. In quei moduli può esserci scritto che il trattamento prevede due operazioni:
Accanto a ciascuna di queste operazioni sono presenti due quadratini con le voci "acconsento" e "non acconsento".
E' possibile dare il permesso per la prima operazione (comunicazioni urgenti) segnando il quadratino "acconsento" e non darlo invece per la seconda (offerte), segnando il quadratino "non acconsento".
Il permesso può riguardare, infatti, tutto il trattamento che subiranno i dati o solamente alcune operazioni precise.
Per riassumere, il consenso deve essere documentato per iscritto (anche nel caso di consenso vocale), la persona deve darlo liberamente (non deve sentirsi obbligata) e deve riguardare "quel" trattamento preciso.
Quando è obbligatorio il consenso?
Il consenso di una persona, non sempre è obbligatorio.
Il consenso non è richiesto quando i dati vengono presi da una pubblica amministrazione per scopi istituzionali per esempio quando devono ricevere una comunicazione, come il foglio sul quale c'è scritto presso quale seggio elettorale dovrò votare, oppure da enti o associazioni non a scopo di lucro di cui la persona fa parte o con le quali ha rapporti costanti.
Non è necessario se il trattamento è previsto da una legge, un regolamento o una normativa comunitaria (ad esempio, se ci ferma un poliziotto e ci porta in caserma per accertamenti, siamo obbligati a farci identificare), se i dati servono per indagini difensive, per la tutela di vita ed incolumità delle persone, per scopi scientifici, storici oppure statistici.
Il consenso non serve se le informazioni sono state prese in registri, archivi, elenchi o documenti pubblici (ad es. da un elenco telefonico pubblico), oppure se servono per svolgere attività economiche (per esempio per gestire rapporti con fornitori, clienti ecc.
Infine, non è necessario se quei dati sono previsti nel contratto firmato da una persona o se servono per soddisfare una sua richiesta prima che il contratto scada (ad esempio, se voglio un nuovo numero di telefono cellulare, devo firmare un contratto con la compagnia telefonica nel quale saranno presenti tutti i miei dati).
Il consenso è obbligatorio quando l'intenzione non è solo di utilizzare i dati ma anche di comunicarli ad altri o diffonderli.
Nel caso di dati sensibili, il consenso oltre ad essere obbligatorio, deve essere scritto ed è necessaria dell'autorizzazione del Garante per trattare i dati (anche per quanto riguarda dati giudiziari serve l'autorizzazione della legge o un provvedimento del Garante).
Prima di poter procedere con il trattamento, la legge obbliga ad adottare alcune misure minime di sicurezza, create per evitare che i dati vengano distrutti o persi o finiscano nelle mani di gente non autorizzata.
Se per esempio abbiamo intenzione di trattarli utilizzando strumenti informatici, dobbiamo assicurarci che i computer siano ben protetti, che l'incaricato sia individuabile in modo preciso (login) e possa accedervi con una chiave d'accesso posseduta solo da lui (password). Per alcuni dati delicati (ad esempio quelli su salute e vita sessuale di una persona), inoltre, è necessario che vengano adottate anche particolari tecniche di cifratura, cioè che risulti impossibile per i non addetti ai lavori decifrarli.
Se invece non vengono utilizzati strumenti elettronici ma, ad esempio, archivi, dobbiamo assicurarci che ci sia un sistema di vigilanza valido e che l'accesso all'archivio sia limitato. In archivio, infatti, dovranno entrare solo persone ammesse, identificate e registrate in modo preciso. Di queste persone deve essere controllata l'identità ed anche il tempo di permanenza in archivio.
Notificazione (per dati pericolosi). Quando si tratta di dati che possono comportare particolari rischi per i diritti della persona, ad esempio quando si raccolgono informazioni che riguardano lo stato di salute oppure dicono esattamente in quale punto geografico preciso la persona si trova in quel momento (come è possibile fare adesso con la "geolocalizzazione" mentre siamo collegati ad Internet), dobbiamo notificare al Garante che abbiamo intenzione di utilizzarli.
Il Garante, dietro richiesta, potrà effettuare una verifica preliminare, in base alla quale suggerire eventuali altre misure di sicurezza ed accorgimenti da adottare per tutelare le informazioni di quella persona prima di procedere al trattamento.
Una volta terminato il trattamento, i dati devono essere distrutti.
Possono anche essere ceduti ad un altro titolare (abbiamo detto, infatti, che nell'informativa può esser scritto anche che il titolare ha intenzione di comunicarli a terzi o diffonderli), ma solo se verranno utilizzati per scopi compatibili con quelli per i quali sono stati raccolti.
Possono essere ceduti anche per scopi storici, statistici o scientifici.
Infine possono essere conservati ma solamente per fini personali, senza comunicarli o diffonderli ad altri.
Area Professionisti:
Contatta la Redazione:
tutte le mattine, dal lunedì al venerdì: 9:00-13:30