Il "codice in materia di protezione dei dati personali" (DLgv 30 giugno 2003, n. 196), pubblicato in GU IL 29 luglio, presenta novità importanti soprattutto sotto un profilo di sicurezza. Una di queste è rappresentata proprio dall’introduzione del "principio di necessità", secondo il quale i sistemi informativi e i programmi informatici dovranno essere configurati riducendo al minimo l’utilizzazione di dati personali/dati identificativi in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, 1) dati anonimi od 2) opportune modalità che permettano di identificare l’interessato solo in caso di necessità (art. 3).

Significa che il titolare, unitamente all’amministratore di sistema (figura non più prevista tra le misure minime, ma estremamente importante nella definizione dei ruoli), dovrà preventivamente adottare delle procedure organizzative/informatiche che permettano all’utente l’accesso ai soli file necessari alla propria attività lavorativa. Non solo, il Garante vuole di più e cioè vuole escludere il trattamento di dati identificativi a quelle persone che non abbiano necessità di vederle in chiaro. Per attuare questo principio occorrerà che il titolare all’inizio di ogni anno stabilisca delle puntuali politiche di sicurezza in base allo stato dell’arte e all’evoluzione tecnologica. Tali politiche dovranno essere multidisciplinari e cioè dovranno prevedere l’implementazione di nuove tecnologie, la definizione dei ruoli chiave opportuni e la predisposizione delle procedure di sicurezza richieste dal codice.

A conferma di questa affermazione si osserva che nelle definizioni è scritto che al titolare competono "anche unitamente ad altro titolare" le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Da ciò deriva che il titolare è tenuto a decidere quali strumenti utilizzare per effettuare il trattamento e quindi nel caso degli strumenti elettronici è tenuto ad adottare i migliori sul mercato, allo scopo di ridurre al minimo qualsiasi rischio sul dato personale. Si precisa che il principio di necessità costituisce un importante potenziamento di un principio già esistente nella 675, che è quello di pertinenza.

E’ stata poi ampliata la definizione di dati giudiziari che ora comprende anche i dati personali idonei a rivelare gli eventuali carichi pendenti, la qualità di imputato o di indagato ed anche la soccombenza ad eventuali sanzioni amministrative dipendenti da reato. E’ stata introdotta quindi una nuova categoria di dati "semi-sensibili".

L’ambito di applicazione subisce un cambiamento importante. In pratica il nuovo codice si applica al trattamento di dati personali anche detenuti all’estero, effettuato "da chiunque è stabilito nel territorio dello Stato"(art. 5,1) invece che "a qualunque trattamento effettuato nello Stato". Come si comprende, grazie ad un concetto già noto alle ultime direttive europee, che è quello del luogo di stabilimento del titolare, ossia il luogo in cui il titolare stabilisce la sua attività economica, l’ambito di applicazione della legge si restringe, necessitando di una stabile organizzazione. Per quei trattamenti che vengono effettuati al di fuori della UE, ma che impiegano strumenti anche non elettronici situati in Italia, si applica la legge italiana. Il titolare "extra UE" sarà tenuto a designare un rappresentante in Italia. L’unica eccezione è il puro transito. In tal caso la legge italiana non si applica.

Tra le regole generali per tutti i trattamenti osserviamo l’art. 11, che è dedicato alle modalità del trattamto e ai requisiti dei dati, il quale aggiunge alle tradizionali modalità di trattamento, (liceità e correttezza, pertinenza con gli scopi dichiarati, conservazione coerente con le finalità della raccolta) un interessante secondo comma, che sancisce l’inutilizzabilità dei dati personali trattati in violazione del codice. Ciò significa che un provvedimento del Garante o dell’autorità giudiziaria che dichiari una violazione qualsiasi del codice potrà portare come conseguenza l’inutilizzabilità dei dati anche se non espressamente disposta. Si tratta sostanzialmente di un blocco dei dati.

Un intero articolo è dedicato ai "Codici di deontologia e buona condotta" (art. 12) che sono promossi dal Garante nell’ambito delle categorie interessate e quindi diversi per settori. Tra gli adempimenti obbligatori si segnala l’inserimento di modalità semplificate per l’informativa e il consenso.
La responsabilità civile per i danni cagionati per effetto del trattamento è prevista anche dal nuovo codice e comporta un risarcimento del danno dovuto all’esercizio di attività pericolose ai sensi dell’art. 2050 del codice civile (art. 15). In base a questa norma il titolare sarà tenuto a risarcire i danni a meno che non provi di aver adottato le misure "idonee" (attenzione non le "minime") per evitare il danno. La novità è nel secondo comma, secondo il quale il danno non patrimoniale è risarcibile anche in caso di violazione delle norme attinenti alle modalità del trattamento comprendenti anche le regole sulla conservazione.

Tra le regole ulteriori figura all'art. 23 l’importantissima norma sul consenso che, a differenza della legge 675/96 non è stata posta immediatamente dopo a quella sull’informativa. La spiegazione potrebbe essere che il consenso non sia più da considerarsi generalizzato salvo deroghe, come nel precedente testo, ma che sia necessario solo per i titolari cosiddetti privati e per gli enti pubblici economici. Al secondo comma si stabilisce che il consenso può riguardare l’intero trattamento o una o più operazioni dello stesso. Tale concetto esisteva già nella 675. Ora però il concetto di consenso specifico viene maggiormente evidenziato, nel senso che è più chiaro rispetto a prima che il consenso deve essere fornito in riferimento ad un trattamento chiaramente individuato significando che ogni tipo di singolo trattamento necessiterebbe, salvo i casi di esenzione, di un consenso specifico, come ad esempio nel caso di comunicazione di dati a terzi, individuati singolarmente o per categoria.

Si avverte immediatamente un contrasto tra il secondo e il terzo comma dell’articolo in commento. Non si comprende infatti come può il consenso riguardare tutto il trattamento e allo stesso tempo essere validamente prestato solo se specificamente riferito ad un trattamento individuato. La seconda condizione annullerebbe di fatto la prima.
Si deve però ammettere che l’articolo ha finalmente chiarito che il consenso per i dati comuni deve essere documentato per iscritto mentre quello per i sensibili deve essere scritto.

Novità importante riguarda l’esenzione dal consenso per il trattamento dei dati sensibili da parte del datore di lavoro. Infatti, quando il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione, e ferme restando le disposizioni del codice di deontologia e di buona condotta che dovrà essere emanato a breve, il consenso non è più richiesto.

Per quanto riguarda la nomina del responsabile, il codice all'art. 29 chiarisce definitivamente che questa è assolutamente facoltativa. Tale concetto si deduceva anche dal testo della 675 il quale prevedeva degli adempimenti a carico del responsabile solo "se" designato. Il responsabile resta vincolato – come prima – a quanto impartito dal titolare.

Gli incaricati vengono inseriti nel Titolo IV che riguarda i soggetti, all'art. 30 e assumono un ruolo ben preciso. Infatti devono essere designati per iscritto e deve essere individuato puntualmente l’ambito del trattamento loro consentito. Il codice considera tale anche la documentata preposizione della persona fisica ad una unità per la quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima. Il che significa che il tipo di documento contenente la nomina non ha nessuna importanza essendo sufficiente che il soggetto sia individuato per iscritto e sia definito il suo ambito di trattamento.

Il nuovo codice ripropone la distinzione tra misure di sicurezza idonee e misure di sicurezza minime con le medesime conseguenze previste dalla 675. Responsabilità civile in caso di violazione delle misure idonee; responsabilità penale (art. 169) nel caso delle minime. Il legislatore si attende una maggior sicurezza e per questo chiarisce che occorre un livello minimo di sicurezza che può essere garantito solo mediante l’applicazione delle misure minime che sono esplicitate in un allegato del codice.
Il documento programmatico per le misure di sicurezza diventa obbligatorio per tutti i titolari che trattino dati sensibili e giudiziari tramite elaboratori, a differenza di prima in cui era necessario solo per i trattamenti svolti mediante una rete disponibile al pubblico (art. 34 e allegato B).

La notificazione del trattamento (art. 37) subisce un importante cambiamento, essendo definitivamente eliminato l’obbligo generalizzato di effettuarla. I casi di obbligo di notificazione sono indicati chiaramente nel nuovo codice. Come, ad esempio, nel caso di trattamenti di dati genetici, biometrici o di dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica; o ancora nel caso di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, ecc.

Per quel che concerne il profilo sanzionatorio estremamente importante è anche che tra i "provvedimenti a seguito del ricorso" il Garante può disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l'immediata sospensione di una o più operazioni del trattamento. Il provvedimento può essere adottato anche prima della comunicazione del ricorso (art. 150).
Le sanzioni amministrative sono raddoppiate rispetto la 675.

La norma sul trattamento illecito dei dati ha subito modifiche principalmente a causa dell’aggiunta di illeciti precedentemente non previsti, come quelli relativi alla violazione delle norme sui dati di traffico o sui dati di ubicazione. Ciò che è rimasto invariato sono le violazioni sul consenso e la necessità del dolo specifico affinché il reato si concretizzi.
L’occasione per regolamentare una fattispecie nuova, concernente la raccolta occulta dei dati mediante gli strumenti informatici, è andata persa, per i dati dei lavoratori raccolti mediante monitoraggio dei sistemi informatici, avendo il legislatore scelto fare un semplice rinvio alle vecchie e non puntuali norme sul controllo a distanza contenute nello statuto dei lavoratori del 1970.

In conclusione, quello che si evince tra le righe del nuovo testo è che diventa sempre più necessario non assolvere solo a dei meri oneri burocratici, ma soprattutto creare una reale cultura della privacy attraverso degli strumenti più complessi delle semplici informative e richieste di consenso.
Mi riferisco alla creazione di strutture dedicate (uffici di sicurezza, nomine di responsabili interni ed esterni); all’elaborazione di procedure e manuali di sicurezza efficaci; all’elaborazione di contratti di outsourcing che prevedano la nomina del fornitore responsabile e apposite clausole a tutela delle informazioni; ai nuovi obblighi di dichiarazione di conformità da parte dei fornitori di servizi informatici; ai più stringenti obblighi di formazione e all’obbligo di allegare ai bilanci delle società di capitale l’avvenuta predisposizione del documento programmatico per la sicurezza.