Codice della privacy: definizioni




L'art. 4 del D.Lgs. n. 196/2003 conteneva una serie di definizioni fondamentali per la comprensione del testo normativo e delle dinamiche che proponeva. Con l'entrata in vigore del GDPR (Regolamento UE 679/2016) e in esito all'intervento largamente abrogativo di cui al D.Lgs. n. 101/2018, tali definizioni risultano ormai superate, sostituite da quelle di cui all'art. 4 del predetto Regolamento. Sia pure nel quadro dei predetti interventi, si forniscono di seguito le esplicitazioni delle previdenti definizioni, comunque utili alla comprensione delle decisioni e di tutti quei provvedimenti adottati nel tempo di vigenza del D.Lgs. n. 196/2003. Si aggiunga che l'arco definitorio di cui al GDPR risulta discretamente divergente rispetto a quello di cui infra, di modo che potrebbe palesarsi comunque utile fare ricorso a nozioni che, pur non più corrispondenti a norme in vigore, sono tuttavia dotate di una formulazione intrinsecamente utile ed efficace. D'altronde a propria volta il GDPR introduce nuove definizioni, funzionali alla comprensione di fenomeni altrettanto nuovi.

La nozione di "trattamento" corrispondeva a "qualunque operazione o complesso di operazioni, effettuate anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco (vale a dire la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento) la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati". Va segnalato come anche l'attività di un motore di ricerca debba essere qualificata come "trattamento di dati personali": in questo senso gli algoritmi di ricerca che consentono di collegare ad un nominativo introdotto in una stringa di ricerca di pervenire ad informazioni contenenti dati personali o addirittura sensibili relativi a detta persona manifestano in pieno la delicatezza del tema, stante la natura diffusiva della comunicazione propria di internet (Corte Giustizia CEE Grande Sez., n. C131/12/2014).

"Dato personale", d'altronde, era qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. "Dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato.

Per "dati sensibili" (assolutamente rilevanti, dal momento che il trattamento degli stessi richiedeva particolari cautele: cfr. l'art. 26 del t.u.) i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. "Dati giudiziari" erano i dati personali idonei a rivelare provvedimenti di cui all'art. 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313 , in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

Quanto ai soggetti, il "titolare" (cfr. l'art. 28 t.u.) era la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. "Responsabile" (art. 29 t.u.) era inoltre la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali. Per "incaricato" (art. 30 t.u.) si intendevano le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. L' "interessato" era la persona fisica cui si riferiscono i dati personali.

La norma in esame conteneva ulteriori aspetti definitori secondari, non per questo irrilevanti. Per "comunicazione" si intendeva l'attività consistente nel il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. La "diffusione" consisteva invece nel dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. "Dato anonimo" era il dato che in origine, o a seguito di trattamento, non potesse essere associato ad un interessato identificato o identificabile. Si definiva invece "blocco" la conservazione dei dati personali con sospensione temporanea di ogni altra operazionedel trattamento. "Banca di dati" era qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti. "Garante" era l'autorità di cui all'art. 153 del t.u., istituita dalla legge 31 dicembre 1996, n. 675 . Per "comunicazione elettronica" si intendeva ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Erano escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile. La "chiamata" era definibile come la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale. Per "reti di comunicazione elettronica" si intendevano i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato. La "rete pubblica di comunicazioni" era descritta come una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico; il "servizio di comunicazione elettronica", come i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002. L' "abbonato" era qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate, mentre l' "utente" era qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata. I "dati relativi al traffico" consistevano in qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione. Per "dati relativi all'ubicazione" si intendeva ogni dato trattato in una rete di comunicazione elettronica che indicasse la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico. Il "servizio a valore aggiunto" era il servizio che richiedesse il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione; la "posta elettronica" consisteva nei messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.

Il III comma della norma in esame specificava ancora che, ai fini del codice dovessero intendersi per "misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configuravano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'art. 31 del t.u.; per "strumenti elettronici" gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettuasse il trattamento; per "autenticazione informatica" l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità. Le "credenziali di autenticazione" corrispondevano ai dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica; la "parola chiave" era la componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica; il "profilo di autorizzazione" era l'insieme delle informazioni, univocamente associate ad una persona, che consentisse di individuare a quali dati essa può accedere, nonchè i trattamenti ad essa pemessi. Per "sistema di autorizzazione" si intendeva l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.

Infine al IV comma dell'art.4 t.u. veniva spiegato che per "scopi storici" si intendessero le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato; per "scopi statistici" le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici, per "scopi scientifici" le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.

News collegate

Percorsi argomentali

Aggiungi un commento


Se vuoi aggiornamenti su "Codice della privacy: definizioni"

Iscriviti alla Newsletter di WikiJus!

Iscriviti