Normativa sulla privacy

Il nuovo provvedimento (D.lgs. 28 dicembre 2001, n. 467, in G.U. del 16/01/2002, n. 13) modifica sostanzialmente il quadro normativo previsto dalla legge 675/96, introducendo nuove tipologie di dati, i dati quasi-sensibili, dando alle imprese più agevolazioni (informativa e consenso più snello) e permettendo alle associazioni di trattare i dati dei loro associati senza ricorrere al consenso

Ecco quali sono le modifiche apportate dal decreto delegato. 

Notificazione
Innanzitutto vengono ridotti i casi di obbligo della notificazione al Garante (prevista dall'art. 7 L. 675/96), verranno notificati solo i trattamenti che siano suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato e in altre determinate circostanze. 
Quindi, invece di un elenco in negativo, verrà previsto dal Garante un elenco in positivo di soggetti tenuti alla Notificazione. Questa norma entrerà in vigore non appena il Garante predisporrà gli elenchi. 

Informativa e consenso
L'informativa dovrà contenere il nome di almeno un responsabile a cui rivolgersi per ottenere le informazioni previste dall'art. 13 L. 675/96 (diritto dell'interessato), non sarà più necessario elencare tutti i responsabili, interni ed esterni, migliorando, così, l'iter burocratico e la gestione delle informative. 
Nei rapporti commerciali non è più necessario il consenso dell'interessato quando si dia luogo all'esecuzione di misure precontrattuali "adottate". E' il caso degli istituti di credito e delle assicurazioni che finalmente potranno trattare i dati e comunicarli a terzi senza il consenso dell'interessato.
Inoltre non è più necessario il consenso se il trattamento persegue un interesse legittimo del titolare o di un terzo destinatario dei dati. I casi di esonero del consenso saranno individuati dal Garante entro gennaio 2003. 

Le nuove sanzioni
L'omessa adozione delle misure minime di sicurezza, previste dal DPR 318/99, è punita con la reclusione fino a due anni o con l'ammenda da 5164,6 a 41316, 6 euro (da 10 a 80 milioni di lire).
Chi non si è ancora adeguato alle misure minime (password, antivirus, Documento Programmatico sulla Sicurezza, ecc.) potrà sanare l'irregolarità al massimo entro sei mesi dall'accertamento e dietro pagamento di una somma pari a un quarto del massimo della contravvenzione (10329,14 euro - 20 milioni di lire). 
La mancata o falsa notificazione è depenalizzata, si pagherà una sanzione amministrativa da 5164.6 a 30987, 4 euro (da 10 a 60 milioni).
Fornire al Garante notizie false o presentare documenti contraffatti comporta la pena detentiva da sei mesi a tre anni.
La mancata informativa comporterà una sanzione da 1549,37 a 9296,22 euro (da 3 milioni a 18 milioni di lire) e se riguarda i dati sensibili, giudiziari e i nuovi dati quasi sensibili potrà arrivare fino a 15493,71 euro (30 milioni di lire). La contravvenzione per mancata informativa potrà, inoltre, essere aumentata fino al triplo quando risulti inefficace in ragione delle condizioni economiche del contravventore. 
L'organo competente a ricevere il rapporto e ad irrogare le sanzioni sarà il Garante. 

Associazioni e dati sensibili
Le associazioni, gli enti o organismi senza scopo di lucro, i partiti, i movimenti politici, le confessioni e le comunità religiose potranno trattare i dati sensibili senza il consenso dell'interessato ma solo con la preventiva autorizzazione del Garante. 
I dati dovranno riferirsi agli iscritti e non dovranno essere diffusi al di fuori dell'ambito dell'associazione o dell'ente. 
Il consenso dell'interessato e l'autorizzazione del Garante non sono necessari quando i dati sono relativi all'adesione di associazioni e organizzazioni sindacali o di categoria ed altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria. 

Dati "quasi-sensibili"
Nasce una nuova categoria di dati, che si affianca ai dati comuni e a quelli sensibili": i dati cosiddetti "semi o quasi sensibili". Si tratta del trattamento di dati (individuati dal nuovo art. 24-bis L. 675/96 rubricato "Altri dati particolari) che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato. 
Tale trattamento è ammesso nel rispetto di misure ed accorgimenti a garanzia dell'interessato che saranno prescritti dal Garante entro gennaio 2003.
E' il caso tipico dei nominativi inseriti nelle centrali dei rischi a cui fanno riferimento gli istituti di credito, dati diversi dal semplice indirizzo o nominativo ma meno riservati dei dati sulla salute. 

Blocco dei dati
Il Garante potrà bloccare il trattamento dei dati se risulta un illecito o se il titolare del trattamento non si adegua alle indicazioni dell'Autorità. 

Internet, Marketing e codici deontologici
Sarà il Garante, entro il 30 giugno 2002, a promuovere i codici deontologici che dovranno regolare il trattamento dei dati in diversi settori: Internet, rapporti di lavoro e finalità previdenziali, il direct marketing, le informazioni commerciali, le centrali rischi, le banche dati pubbliche, l'utilizzo di strumenti automatizzati di rilevazioni delle immagini. 
Questa è l'ennesima proroga, sperando che la strada scelta, quella dei codici, sia più veloce dell'adozione di provvedimenti legislativi specifici. 

Privacy e telefono
Entro il 30 giugno 2002 i fornitori di servizi di telecomunicazioni accessibili al pubblico dovranno documentare al Garante la predisposizione di misure idonee affinché le chiamate effettuate da qualsiasi terminale possano essere pagate con modalità alternative alla fatturazione. 
Inoltre i fornitori di servizi di telecomunicazioni dovranno predisporre procedure adeguate per garantire l'annullamento del mascheramento del chiamante da parte dei servizi abilitati a ricevere chiamate di emergenza, questo per evitare scherzi e chiamate di disturbo.

Normative di riferimento

D.lgs. 28 dicembre 2001, n. 467
Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell'articolo 1 della legge 24 marzo 2001, n. 127

L. 31 dicembre 1996, n. 675
Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali