Regole generali per il trattamento dei dati

Il titolo III della prima parte del t.u. in materia di privacy (D.Lgs. 196/03) conteneva le regole generali per il trattamento dei dati. Il capo I annoverava quelle valevoli per tutti i trattamenti. Occorre osservare come, ai sensi dell’art. 27, comma 1, lett. a), n. 2), D.Lgs. 10 agosto 2018, n. 101, l’intero Titolo III è stato abrogato, onde tutte le norme ad esso relative più non rinvengono applicazione. La materia è attualmente disciplinata dal GDPR, ai cui artt. si fa pertanto rinvio, con specifico riferimento ai capi III e IV (relativi ai diritti dell'interessato ed alle figure del titolare e del responsabile del trattamento)

La disamina che segue ha pertantocome termine di riferimento la pregressa disciplina funzionale alla comprensione delle fattispecie dalla stessa disciplinate secondo il principio tempus regit actum.

L'art. 11 T.U. riferiva che i dati personali oggetto di trattamento dovevano essere:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
La violazione della disciplina rilevante in materia di trattamento dei dati personali cagiona l'inutilizzabilità dei dati raccolti. Non si può non osservare come le prescrizioni del tutto generiche di cui sopra contessero una serie di clausole "elastiche" di portata tale da poter in concreto porre non irrilevanti questioni. Cosa dire, ad esempio della nozione di "termini compatibili"? Cosa della non eccedenza del dato rispetto alle finalità di raccolta?

L'art. 12 considerava i codici di condotta deontologica. Essi, la cui promozione era assicurata dal Garante nell'ambito delle categorie interessate, nell'osservanza del principio di rappresentatività e tenendo conto dei criteri direttivi delle raccomandazioni del Consiglio d'Europa sul trattamento di dati personali, svolge ancora una funzione per l'applicazione della normativa e l'effettiva tutela dei dati personali. Il Garante verificava e verifica ancora la conformità dei detti codici alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuisce a garantirne la diffusione e il rispetto.
I codici erano pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e, con decreto del Ministro della giustizia, riportati nell' allegato A) del T.U..
Il III comma dell'art. 12 precisava che il rispetto delle disposizioni contenute nei codici deontologici costituisse condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici ^nota1.

La raccolta di dati personali doveva essere preceduta da apposita informativa. Di essa si occupava l'art. 13 T.U., ai sensi del quale l'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'art. 7 T.U. ;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'art. 5 T.U. e del responsabile ^nota2.

Assai rilevante, in riferimento alla lettera d) che precede, era la distinzione tra comunicazione dei dati personali e la diffusione degli stessi. Questa distinzione deve ancora essere ritenuta valida.
Mentre la prima attività consiste nel portare a conoscenza di soggetti determinati tali informazioni (cfr. Cass. Civ., Sez. II, 18421/11), la seconda è piuttosto orientata all'utilizzo di strumenti tali da permettere ad un numero indeterminato di soggetti di prendere cognizione di detti dati (cfr. Cass. Civ., Sez. II, 186/11).

L'informativa di cui al I comma dell'art. 13 T.U. conteneva anche gli elementi previsti da specifiche disposizioni del codice e poteva non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati.

Ai sensi previgente del IV comma dell'art. 13 T.U., qualora i dati personali non fossero raccolti presso l'interessato, l'informativa di cui al comma I, comprensiva delle categorie di dati trattati, doveva essere data al medesimo interessato all'atto della registrazione dei dati o, quando fosse prevista la loro comunicazione, non oltre la prima comunicazione.
Questa disposizione non si applicava quando, ai sensi del V comma dell'art. 13 T.U. :
a) i dati erano trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) i dati erano trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento;
c) l'informativa all'interessato comportava un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile.
All'esito della conversione del D.L. 70/11 era stato aggiunto un comma ulteriore alla disposizione.
A mente del comma 5 bis dell'art. 13 T.U. "L’informativa di cui al comma 1 non è dovuta in caso di ricezione di curricula spontaneamente trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. Al momento del primo contatto successivo all’invio del curriculum, il titolare è tenuto a fornire all’interessato, anche oralmente, una informativa breve contenente almeno gli elementi di cui al comma 1, lettere a), d) ed f)".

L'art. 14 T.U. conteneva una disposizione che riguardava l'eventuale utilizzo di dati personali ai fini di definire i profili e la personalità dell'interessato. Al riguardo nessun atto o provvedimento giudiziario o amministrativo che implicassei una valutazione del comportamento umano poteva essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell'interessato. L'interessato avrebbe potuto opporsi ad ogni altro tipo di determinazione adottata sulla base del trattamento di cui al comma I, ai sensi dell'art. 7, comma IV, lettera a), t.u., salvo che la determinazione fosse stata adottata in occasione della conclusione o dell'esecuzione di un contratto, in accoglimento di una proposta dell'interessato o sulla base di adeguate garanzie individuate dal codice o da un provvedimento del Garante ai sensi dell'art. 17 T.U..
Attualmente della profilazione e della opposizione al trattamento automatico dei dati si occupa l'art. 22 del DGPR.

L'art. 16 T.U. si occupava dell'eventualità in cui si ponesse termine, per qualsiasi causa, all'attività di trattamento dei dati. In tal caso i dati dovevano essere, alternativamente:
a) distrutti;
b) ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti;
c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla diffusione;
d) conservati o ceduti ad altro titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai sensi dell'art. 12 T.U. .
Il II comma della norma prevede che la cessione dei dati in violazione di quanto previsto dal comma 1, lettera b), o di altre disposizioni rilevanti in materia di trattamento dei dati personali e priva di effetti.

L'art. 17 T.U. contemplava l'ipotesi in cui il trattamento di dati personali, sia pure diversi da quelli sensibili e di quelli giudiziari, potesse presentare rischi
specifici per i diritti e le liberta fondamentali, nonchè per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare. Esso viene consentito nel rispetto di misure ed accorgimenti a garanzia dell'interessato, ove prescritti.
Queste misure ed accorgimenti erano prescritti dal Garante in applicazione dei principi sanciti dal t.u., nell'ambito di una verifica preliminare all'inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.

Note

nota1

Il IV comma della norma ulteriormente specifica che le disposizioni contenute nella stessa si applicano anche al codice di deontologia per i trattamenti di dati per finalità giornalistiche promosso dal Garante nei modi di cui al comma I e all'art. 139 T.U..
^top1

nota2

Quando il titolare ha designato più responsabili e indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali e conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando e stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'art. 7, e indicato tale responsabile.
^top2