Legge sulla privacy

La legge n.675 del 31 dicembre 1996 � intitolata Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, ma � generalmente nota come legge sulla privacy. Venne introdotta per rispettare gli Accordi di Schengen ed entrò in vigore nel maggio 1997.

Il Decreto Legislativo 30 giugno 2003, n. 196, ha riordinato la normativa adesso nota come "Codice di protezione dei dati personali" entrato in vigore il primo gennaio 2004.

Table of contents

1 La normativa

1.1 Finalità
1.2 Concetti e definizioni
1.3 Norme collegate

2 Aspetti controversi

2.4 La detenzione di dati � un'attività pericolosa?

La normativa

NB: se non indicato diversamente, si fa riferimento alla legge n.675 del 31.12.1996.

Finalità

La finalità di questa legge viene dichiarata nel primo comma del primo articolo:

La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità pesonale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione.

Pertanto, scopo della legge non � quello di impedire il trattamento dei dati, ma di evitare che questo avvenga calpestando diritti e dignità delle persone. Infatti definisce i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

Concetti e definizioni

La norma introduce o perlomeno definisce alcuni termini, quali:

banca dati

trattamento dei dati

dato personale

dato anonimo

dati sensibili (art.22)
titolare del trattamento dei dati
responsabile del trattamento dei dati
incaricato del trattamento dei dati
interessato a cui si riferiscono i dati personali
comunicazione e diffusione di dati
misure minime di sicurezza

e introduce la figura del Garante per la protezione dei dati.

La legge considera in modo diverso:

dati sensibili e (per deduzione) dati ordinari
soggetti pubblici (esclusi enti pubblici economici) e soggetti privati
dati detenuti a fini personali e ... gli altri

Mentre non distingue (se non per aspetti tecnici o marginali) tra

dati su supporto informatico e dati su supporto cartaceo
persone fisiche e persone giuridiche

Vengono considerati in modo particolare e trattati a parte:

dati trattati per finalità storiche
dati trattati per finalità statistiche o di ricerca scientifica
dati sanitari
dati giudiziari
trattamento dei dati per attività giornalistiche

Norme collegate

La 675/1996 viene accompagnata da numerose altre leggi, decreti legislativi, decreti del presidente della repubblica e regolamenti:

Legge 676/1996, 31 dicembre 1996: Legge delega;
D.L. n.135, 11 maggio 1999: Disposizioni integrative sul trattamento di dati sensibili da parte dei soggetti pubblici;
D.L. n.281, 30 luglio 1999: Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica;
D.L. n.282, 30 luglio 1999: Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario;
D.P.R. n.318, 28 luglio 1999: Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali;
Provvedimento del Garante per la protezione dei dati, n.1/P/2000: Individuazione dei dati sensibili da parte dei soggetti pubblici;

Aspetti controversi

La detenzione di dati � un'attività pericolosa?

L'art.18 (Danni cagionati per effetto del trattamento di dati personali) dice che:

1.Chiunque cagiona danno ad altri per effetto del trattamento di dati personali � tenuto al risarcimento ai sensi dell'art.2050 del codice civile

Il citato articolo (Responsabilità per l'esercizio di attività pericolose) a sua volta dice che:

Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, � tenuto al risarcimento, se non prova di aver adottato tutte le misure idonee a evitare il danno.

In pratica vi � un'inversione dell'onere della prova, in quanto non � il danneggiato a dover dimostrare che chi deteneva i dati non � stato attento, ma � quest'ultimo a dover dimostrare che ha fatto tutto il possibile per evitare il danno, il quale però evidentemente si � verificato! Questo riferimento all'art.2050 del c.c. viene considerato da alcuni eccessivo, in quanto tale articolo viene pensato piuttosto per coloro che producono esplosivi o trasportano prodotti particolarmente nocivi, e non per qualcosa cosí innoquo, burocratico e pulito come il trattamento di dati. Ma essendo la sussistenza di un danno (o meglio, il pericolo che un danno si verifichi) elemento centrale per la configurazione della fattispecie, ed essendo certamente ben individuabile l'eventuale danno in queste materie, almeno formalmente si tratta di un riferimento ineccepibile.

L'Analisi Economica del Diritto (EAL=Economic Analysis of Law) dà inoltre un giudizio favorevole al richiamo all'art.2050, in quanto si � in una tipica situazione:

il danneggiato non ha vantaggi dall'attività del danneggiante
il danneggiato non può far nulla per ridurre il rischio di essere danneggiato
il danneggiato non ha le informazioni necessarie per dimostrare il comportamento colposo del danneggiante
il danneggiante � l'unico a ricavare dei vantaggi nello svolgere l'attività pericolosa
il danneggiante � l'unico che può ridurre il rischio
il danneggiante � l'unico a sapere cosa ha fatto

Dunque � il danneggiante che può soppesare vantaggi/rischi/costi della sua attività, ma solo il danneggiato a subirne le conseguenze. In questo caso l'EAL ritiene che, tenendo conto di costi e benefici di tutte le parti, una norma come la 2050 ottimizza il rapporto costi-benefici della collettività.