Il trattamento dei dati personali

privacy

Per rispettare gli accordi di Schengen e per dare attuazione alla direttiva 95/46/CE del Parlamento europeo relativa alla tutela dei dati personali, nonché alla libera circolazione di tali dati, venne emanata la legge 31 dicembre 1996 n. 675, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, la quale entrò invigore nel maggio 1997.

Col passare del tempo, a tale norma si sono affiancate ulteriori leggi, riguardanti singoli e specifici aspetti del trattamento dei dati. La sopravvenuta complessità normativa immancabilmente creatasi in seguito all’approvazione di norme diverse ha reso indifferibile l’emanazione di un Testo Unico, il Decreto legislativo 30 giugno 2003, n. 196, che ha riordinato interamente la materia. La normativa al momento vigente va desunta dal d. lgs. n. 196/2003 intitolato “Codice in materia di protezione dei dati personali“, entrato in vigore il 1º gennaio 2004.

Poiché le norme del nuovo Codice sulla protezione dei dati personali sono per la maggior parte pressoché identiche a quelle contenute nella L. 675/1996 precedentemente in vigore, nel testo che segue sono citate le norme secondo la numerazione della vecchia 675/96. Per ragioni di continuità, se non indicato diversamente, si fa riferimento alla legge n. 675 del 31 dicembre 1996.

In data 25 gennaio 2012 la Commissione Europea ha approvato la proposta di un regolamento sulla protezione dei dati personali, che andrebbe a sostituire, una volta definitivamente approvato, la direttiva 95/46/CE in tutti e 27 stati membri dell’Unione Europea, e in Italia andrà quindi a prendere il posto del D. lgs. 196/2003. Alcune delle novità del regolamento:

  • restano ferme le definizioni fondamentali, ma con alcune aggiunte (dato genetico, dato biometrico);
  • viene introdotto il principio dell’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, se relativi all’offerta di beni o servizi a cittadini UE o tali da consentire il monitoraggio dei comportamenti di cittadini UE;
  • si stabilisce il diritto degli interessati alla “portabilità del dato” (ad. es. nel caso in cui si intendesse trasferire i propri dati da un social network ad un altro) ma anche il “diritto all’oblio”, ossia di decidere quali informazioni possano continuare a circolare (in particolare nel mondo online) dopo un determinato periodo di tempo, fatte salve specifiche esigenze (ad esempio, per rispettare obblighi di legge, per garantire l’esercizio della libertà di espressione, per consentire la ricerca storica);
  • sarà eliminato l’obbligo per i titolari di notificare i trattamenti di dati personali, sostituito da quello di nominare un responsabile della protezione dei dati per le imprese al di sopra di un certo numero di dipendenti;
  • sarà introdotto il requisito della valutazione dell’impatto-privacy oltre al principio generale detto “privacy by design”;
  • sarà introdotto l’obbligo per tutti i titolari di notificare all’autorità competente le violazioni dei dati personali (“personal data breaches”);
  • le autorità nazionali di controllo, dovranno assicurare indipendenza(in Italia il Garante per la Protezione dei dati personali) e saranno dotate più specificamente poteri (anche sanzionatori).

Nel 2011 e 2012 alcuni decreti, poi convertiti in legge, hanno emendato il testo unico 196, in particolare abolendo alcuni passaggi burocratici  oppure le regole per le informazioni sensibili fornite spontaneamente mediante il proprio curriculum vitae..

Sull’applicazione della normativa vigila l’autorità garante per la protezione dei dati personali, istituita sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003. Il decreto tutela il diritto del singolo sui propri dati personali e, conseguentemente, alla disciplina delle diverse operazioni di gestione (tecnicamente “trattamento”) dei dati, riguardanti la raccolta, l’elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi.

All’art.l del testo unico viene riconosciuto il diritto assoluto di ciascuno sui propri dati, in cui si afferma testualmente: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Tale diritto pertiene i diritti della personalità.

Il diritto alla riservatezza è diverso rispetto al diritto sui propri dati perché non riguarda solamente informazioni circa la propria vita privata, ma più in generale ingloba ogni informazione relativa ad una persona, pure se non coperta da riserbo (sono dati personali ad esempio il nome o l’indirizzo della propria abitazione).

Lo scopo della normativa è quello di evitare che il trattamento dei dati avvenga senza il consenso dell’avente diritto, ovvero in modo da recargli pregiudizio. Nel Testo Unico, Titolo II articoli da 8 a 10, sono a tal scopo definiti i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

La disciplina complessiva della protezione dei dati personali non viene mutata dal nuovo codice, in quanto la finalità di questo nuovo testo di legge consistono nella razionalizzazione di tutto quel complesso di norme esistenti attraverso lo strumento del testo unico (da sempre utilizzato a tale scopo).

Nel DPR 221/50, invece, viene approvato il regolamento per l’esecuzione del DL 233/46 sulla ricostituzione degli Ordini delle professioni sanitarie e per la disciplina dell’esercizio delle professioni stesse.

Riportiamo i primi tre articoli.

Art.1 – Il Consiglio direttivo di ciascun Ordine o Collegio procede entro il mese di dicembre di ogni anno, alla revisione generale dell’Albo degli iscritti ed alle occorrenti variazioni.

Art.2 – Entro il mese di febbraio di ogni anno, ciascun Ordine o Collegio provvede, a proprie spese, alla stampa ed alla pubblicazione del rispettivo Albo e ne invia copia al prefetto, per l’affissione nella sede della Prefettura.
Un esemplare dell’Albo é rimesso, entro lo stesso mese, all’Alto Commissariato per l’igiene e la sanità pubblica , ai Ministeri di grazia e giustizia, della pubblica istruzione e del lavoro e della previdenza sociale, agli Uffici giudiziari della provincia, nonché alla Federazione da cui dipende l’Ordine o Collegio e all’Ente nazionale di previdenza ed assistenza della categoria.

Art.3 – L’Albo é formato secondo l’ordine alfabetico. Per ogni iscritto sono indicati: il cognome, il nome, la paternità; il luogo e la data di nascita; la cittadinanza, ove si tratti di sanitario straniero; il domicilio; la data di iscrizione nell’Albo; il titolo in base al quale ha avuto luogo l’iscrizione con indicazione dell’autorità, del luogo e della data del suo rilascio.Oltre il numero progressivo e indicato per ogni iscritto il numero d’ordine corrispondente all’anzianità di iscrizione nell’Albo della provincia. L’anzianità di ciascun professionista é stabilita dalla data della deliberazione di iscrizione nell’Albo.
Nel caso di parità di tale data si tiene conto di quella di abilitazione all’esercizio professionale e, sussidiariamente dell’età.
In apposita colonna dell’Albo dei medici sono indicati i titoli di docenza o specializzazione nelle materie che per tale professione formano oggetto delle singole specialità, riconosciute ai sensi di legge; per ciascuno di essi sono indicati l’autorità, il luogo e la data del rilascio.
In base alle indicazioni di cui al comma precedente sono formati separati elenchi nominativi per ogni singola specialità.
Fino alla pubblicazione del nuovo Albo le cancellazioni e le variazioni si annotano a fianco del nome degli iscritti ai quali si riferiscono.

In conclusione, il Presidente del Garante per la protezione dei dati personali, ai sensi del D.Lgs. 196/233, non ravvisa ostacoli alla consegna di elenchi nonchè a fornire dati personali degli iscritti di cui all’art. 3 del DPR 221/50 a strutture sanitarie.

Federica Ferraroni