RECENTI
MODIFICHE ALLA LEGGE 675/96
Ambito di applicazione della Legge
Per evitare che la legge italiana
venga aggirata, si prevede la sua
applicazione anche a quei soggetti che,
pur avendo giuridicamente sede in un paese non appartenente all'Unione
Europea, utilizzano per il trattamento dei dati personali, mezzi e/o
strumenti, presenti nel territorio italiano.
Il
Titolare del trattamento deve di
conseguenza nominare in Italia un proprio rappresentante
legale, al quale l'interessato possa rivolgersi per
esercitare i suoi diritti.
Informativa
Snellito
il modello di informativa.
Dal
1 marzo 2002, l'informativa dovrà
però anche indicare almeno un
responsabile del Titolare nel territorio dello Stato Italiano (preferibilmente quello al quale l’interessato può rivolgersi per far
valere i suoi diritti).
Notificazioni
La notificazione andrà effettuata solo se il trattamento reca
pregiudizio ai diritti e alle libertà dell'interessato secondo il
principio del bilanciamento degli interessi.
Si
prevederà un elenco tassativo di soggetti obbligati a effettuare la
notificazione.
Sempre
nell'ottica di evitare l'aggiramento della normativa italiana, all'interno della Notifica andrà indicato "il Titolare nel
territorio dello Stato e di almeno un responsabile, da indicare nel
soggetto eventualmente designato ai fini di cui all'articolo 13".
Trattamento
ammesso senza il consenso
Non
sarà necessario chiedere il consenso per adempiere ad obblighi
contrattuali e pre-contrattuali (anche quando il soggetto titolare sia
una banca o un’assicurazione).
Introdotto il concetto di "misure
pre-contrattuali adottate"
in sostituzione del precedente e poco chiaro "acquisizione di
informative pre-contrattuali attivate".
Si
tratta di una modifica importante. Si pensi alle situazioni in cui si
devono acquisire informazioni sul
contraente per perfezionare il contratto (banche ed assicurazioni spesso si
sono trovate ad operare trattamenti sui dati dei clienti senza il loro
preventivo consenso).
Entro il gennaio 2003
verranno individuate dal Garante le altre ipotesi di esonero dal consenso,
dove
ci sia un legittimo interesse di chi gestisce i dati (titolare del
trattamento) o di un terzo al quale i dati sono comunicati, e non
prevalga un diritto fondamentale o un altro legittimo interesse della
persona interessata (cosiddetto principio del "bilanciamento di
interessi").
Dati sensibili
Senza il consenso ma
solo con la preventiva autorizzazione del Garante si possono trattare
dati sensibili, nel caso di trattamento
effettuato da enti, associazioni, o organismi senza scopo di lucro (anche
non riconosciuti), partiti, sindacati, confessioni e comunità religiose.
I dati trattati devono riferirsi ai soli iscritti e non possono venire
comunicati e/o diffusi al di fuori dell'ente e dell'associazione.
Allo stesso modo, il consenso non è necessario nel caso di trattamento
di dati sensibili effettuato per salvaguardare la vita dell'interessato
incapace di agire e/o d'intendere e volere o per i trattamenti
effettuati per esigenze di investigazioni difensive o per la tutela di
un diritto in sede giudiziaria, in conformità con il codice
deontologico degli avvocati e degli investigatori.
Il consenso e l'autorizzazione non sono necessari quando i dati sono
utilizzati per l'adesione ad associazioni e organizzazioni sindacali ed
a carattere sindacale.
Depenalizzazione
Escluse
le conseguenze penali nel caso di trattamenti effettuati per motivi
esclusivamente personali - cioè con un computer "domestico" -
per chi omette le misure minime di sicurezza prescritte dalla normativa
sulla privacy.
Viene
depenalizzata l’omessa, non tempestiva o incompleta notificazione al
Garante. Si pagherà una sanzione
amministrativa da 5.164,6 a 30.987,4 Euro (da 10 a 60 milioni di lire).
Multe
aumentate, diminuito il penale
Modifiche
anche al regime sanzionatorio. Si passa dalle pesanti responsabilità penali, anche
per omissioni colpose, ad un apparato sanzionatorio incentrato sulle
sanzioni pecuniarie.
Il
penale rimane, ma può in taluni casi, essere evitato con un
ottemperanza tardiva. In pratica a violazione accertata, adeguandosi
anche se tardivamente alla normativa, il soggetto può sanare la
situazione, pagando una sanzione pecuniaria.
La sanzione per la mancata informativa all’interessato arriva fino a
9.296,2 Euro (18 milioni di lire) e a 15.493,7 Euro (30 milioni di lire)
nei casi di maggiore pregiudizio per l’interessato.
Chi
omette di fornire al Garante la documentazione richiesta sarà
sottoposto a sanzione pecuniaria fino a 15.493,7 Euro (30 milioni di
lire). Nessuna sanzione penale anche per l'infedele notificazione.
Inoltre
sono previste maggiori sanzioni, anche in relazione alle capacità
economiche del contravventore.
Nuove e più stringenti fattispecie di reato previste nell'art. 37 bis:
la falsa notificazione, la produzione di dichiarazioni o documenti falsi
anche in fase di verifica nonché l'inosservanza del divieto del Garante
di proseguire un trattamento illecito sono punite con la reclusione da
sei mesi a tre anni.
La mancata adozione delle misure minime di sicurezza è punita con la
reclusione da due mesi a due anni e con un ammenda da 5.164,6 a
41.316,6 (da 10 a 80 milioni).
PER
VEDERE UNO SCHEMA DELLE SANZIONI COMPLETO, CLICCA
QUI
Adempimento
tardivo o ravvedimento operoso
I
titolari del trattamento che omettono l’adozione delle misure minime
di sicurezza possono sanare la loro posizione, evitando le conseguenze
penali, adempiendo alla normativa (entro un termine prescritto ma non
superiore ai 6 mesi) e pagando un'ammenda.
Nei
sessanta giorni successivi allo scadere del termine concesso, se risulta
l’adempimento alla prescrizione, l'autore del reato è ammesso dal
Garante a pagare una somma pari al quarto del massimo dell'ammenda
stabilita per la contravvenzione (41.316,6 Euro). L'adempimento e il
pagamento estinguono il reato.
Una
nuova categoria di dati "semi-sensibili"
A metà tra dati comuni e sensibili, i dati "semi-sensibili" (già presente
nella direttiva CEE del 1995) potranno essere trattati solo dopo che il
Garante abbia stabilito preventivamente, entro il gennaio 2003, gli
eventuali accorgimenti da adottare (il cosiddetto "prior checking).
A seguito dell'introduzione dell'art. 24 bis (altri dati particolari),
il Garante dovrà, entro gennaio 2003, individuare le apposite tutele
per la nuova categoria di dati semi sensibili (a cavallo tra comuni e
sensibili).
Per
fare un esempio sono semi-sensibili i dati relativi alle liste di
sospettati di frode, i nominativi inseriti nelle centrali rischi, i dati
relativi alla situazione finanziaria, il cui trattamento può, come è
facile comprendere, arrecare un danno agli interessati.
I
codici deontologici
Interverranno
nei settori in cui l'applicazione della legge n. 675/96 è risultata
più difficoltosa per la complessità della situazione.
Saranno
interessati settori come Internet, la videosorveglianza, il direct
marketing, i rapporti di lavoro, le banche dati gestite in ambito pubblico,
l’informazione commerciale, le cosiddette "centrali rischi".
Saranno disciplinati attraverso i codici di deontologia e di buona
condotta, che dovranno essere promossi dal Garante entro il giugno 2002.
Lavoreranno
ai codici gli organismi rappresentativi dei vari settori,
previa verifica da parte dell’Autorità della loro conformità alla
legge.
Privacy
e telecomunicazioni
Imposto l’obbligo ai fornitori di servizi di telecomunicazioni di
informare adeguatamente il pubblico circa l’identificazione del
chiamante. Deve essere poi assicurata disattivazione di tale servizio
per le chiamate di emergenza.
I
fornitori di servizi telefonici dovranno rendere effettivo l’uso di
modalità di pagamento alternative alla fatturazione in modo da
assicurare l’anonimato dell’utente (ad es., carte pre-pagate).
Maggiori garanzie per i cittadini
Diventa
specifico reato la produzione di dichiarazioni o documenti falsi dinanzi
all’Autorità Garante anche in fase ispettiva o l’inosservanza del
divieto del Garante di proseguire un trattamento illecito, anche quando
non comporti un pregiudizio rilevante.
Il
Garante potrà bloccare o vietare ogni tipo di trattamento illecito
anche in assenza di un pregiudizio rilevante per le persone interessate,
diversamente da quanto era previsto in precedenza (eventualmente
concedendo dapprima un termine per regolarizzare il trattamento).