1997: LA LEGGE E LA RETE |
Interventi e repliche - 53 |
Legge 675/1996: atto terzo di Luca-M. de Grazia (avvocato in Forsinone, <luca.degrazia@rtmol.it>) |
Ci risiamo: mi dispiace comunicare che con decreto
legislativo 28.07.1997 n.255 <http:
www.interlex.com/testi/dl255_97.htm> sono state apportate ulteriori
modifiche alla "famosa" Legge n.675/1996 (testo coordinato= <http:www.interlex.com/testi/l675_96.htm>)
; con tale decreto sono state apportate delle modifiche per quanto concerne la
necessità di notificare l’inizio del trattamento dei dati, e sono state
inoltre ulteriormente spostate in avanti le danno di entrata in vigore di alcune
parti della stessa legge, per questo mi sembra opportuno aggiornare quanto ho
scritto a suo tempo, ben prima dell’entrata in vigore del decreto stesso. A prescindere dall’ovvio disappunto nel costatare che nel giro di neanche quattro mesi dalla sua entrata in vigore la legge ha già subìto due interventi "correttivi", occorre rilevare che - pur essendo state introdotte delle semplificazioni per quanto riguarda la notifica del trattamento - sono rimaste del tutto invariate le problematiche connesse agli artt. 22,24 e 28 (dati sensibili, dati concernenti la salute, dati da trasferire all’estero). E tutto questo nonostante le dichiarazioni quasi trionfalistiche del Garante! Le modifiche per quanto concerne la notifica del trattamento (art.5-bis e 5-ter) prevedono la possibilità di effettuare una notifica in forma semplificata ovvero la possibilità di non effettuare per nulla tale notifica. Riporterò spesso - in inciso - il testo stesso della Legge, anche perché tutti si possano rendere conto di come siano scritte le leggi ed a quali difficoltà si vada incontro per cercare di capirne il senso. La notifica in forma semplificata (art-5-bis) riguarda i "comuni mortali" soltanto qualora i dati raccolti siano trattati "c) temporaneamente senza l'ausilio di mezzi elettronici o comunque automatizzati, ai soli fini e con le modalità strettamente collegate all'organizzazione interna dell'attività esercitata dal titolare, relativamente a dati non registrati in una banca di dati e diversi da quelli di cui agli articoli 22 e 24." Tradotto in termini "umani", vuol dire che chi procede al trattamento di dati personali senza il computer, per soli fini interni ed intrinseci all’attività espletata, può utilizzare la notificazione in forma semplificata, semprechè tali dati non riguardino i "famigerati" articoli 22 e 24 (dati sensibili e dati concernenti la salute). Comunque, il tutto sarà possibile quando il Garante avrà emanato il regolamento per il proprio funzionamento, cosa che - ad oggi 19 settembre 1997 - naturalmente non è ancora avvenuta. Negli altri casi, previsti dall’art. 5-ter, e per riassumere, si può non effettuare la notificazione del trattamento - semprechè tali dati non siano i "soliti" articoli 22 e 24 (dati sensibili e dati concernenti la salute) - se la notificazione, appunto: "...riguarda dati contenuti o provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità di cui all'articolo 20, comma 1, lettera b) ...": si ritorna al problema di dare un'indicazione chiara di quali siano i dati pubblici, come ho già scritto. Quindi, nulla di nuovo, ed è stata persa un’altra occasione. "...è effettuato per esclusive finalità di gestione del protocollo, relativamente ai dati necessari per la classificazione della corrispondenza inviata per fini diversi da quelli di cui all'articolo 13, comma 1, lettera e), con particolare riferimento alle generalità e ai recapiti degli interessati, alla loro qualifica e all'organizzazione di appartenenza..." e/o d) riguarda rubriche telefoniche o analoghe non destinate alla diffusione, utilizzate unicamente per ragioni d'ufficio e di lavoro e comunque per fini diversi da quelli di cui all'articolo 13, comma 1, lettera e): immediatamente applicabile, e vuol dire che non si devono notificare i trattamenti riguardanti le rubriche da utilizzare ad uso personale e professionale, semprechè tale archiviazione non sia effettuata per gli scopi per cui è nata la Legge, e cioè porre un limite alle vendite per corrispondenza e per telefono. Piccola annotazione: se è stata necessaria una modifica alla Legge per stabilire quanto appena scritto, è del tutto evidente che PRIMA ciò non era possibile, o no ? "...è finalizzato unicamente all'adempimento di specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ed è effettuato con riferimento alle sole categorie di dati, di interessati e di destinatari della comunicazione e diffusione strettamente collegate a tale adempimento, conservando i dati non oltre il periodo necessario all'adempimento medesimo; è effettuato, salvo quanto previsto dal comma 5-bis, lettera b) da liberi professionisti iscritti in albi o elenchi professionali, per le sole finalità strettamente collegate all'adempimento di specifiche prestazioni e fermo restando il segreto professionale; dai piccoli imprenditori di cui all'articolo 2083 del Codice civile per le sole finalità strettamente collegate allo svolgimento dell'attività professionale esercitata, e limitatamente alle categorie di dati di interessati, di destinatari della comunicazione e diffusione e al periodo di conservazione dei dati necessari per il perseguimento delle finalità medesime; h) è finalizzato alla tenuta di albi o elenchi professionali in conformità alle leggi a ai regolamenti; anche in questo caso, tradotto in termini più chiari, la modifica alla Legge ha stabilito che è esonerato, ad esempio, chi tiene le varie contabilità automatizzate, i liberi professionisti nell’esercizio della loro professione, i piccoli imprenditori per quanto riguarda tutto ciò che è strettamente collegato all’attività esercitata, gli Ordini e Collegi Professionali per la tenuta degli Albi dei propri iscritti. ATTENZIONE: in tutti questi casi, qualora vi siano dei dati "sensibili", scattano gli artt. 22 e 24 della Legge ! "...è effettuato per esclusive finalità: dell'ordinaria gestione di biblioteche, musei e mostre, in conformità alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie; meno male, in caso contrario ve lo immaginate l’organizzatore di una manifestazione sportiva che deve chiedere ed ottenere da tutti i possibili partecipanti i loro dati e deve previamente trasmetterli al Garante , oppure un laureando che per compilare la bibliografia della propria tesi (scritta sul computer) deve notificare al Garante che sta procedendo ad acquisire i dati relativi a chi ha scritto le sue "fonti di informazione" ? è effettuato da associazioni, fondazioni, comitati anche a carattere politico, filosofico, religioso o sindacale, ovvero da loro organismi rappresentativi, istituti per scopi non di lucro e per il perseguimento di finalità lecite, relativamente a dati inerenti agli associati e ai soggetti che in relazione a tali finalità hanno contatti regolari con l'associazione, la fondazione, il comitato o l'organismo, fermi restando gli obblighi di informativa degli interessati e di acquisizione del consenso, ove necessario; in questo caso la Legge non è molto chiara. Secondo il mio personale parere - peraltro suffragato dalla lettere stessa della Legge - tale articolo non va ad abrogare l’art.22, per cui il legale rappresentante del sindacato potrà non notificare il trattamento, ma dovrà comunque richiedere l’autorizzazione. D’altra parte, anche in italiano, una cosa è dire "notificazione del trattamento" (art.5) ed altra cosa è dire "autorizzazione al trattamento" (art.22). Insomma, la situazione resta come la avevo già descritta nel precedente articolo. Anche in questo caso, altra occasione perduta ! "... è effettuato dalle organizzazioni di volontariato di cui alla legge 11 agosto 1991, n. 266, nei limiti di cui alla lettera l) e nel rispetto delle autorizzazioni e delle prescrizioni di legge di cui agli articoli 22 e 23...". Bontà sua (del Garante) anche qui, v'immaginate tutte le organizzazioni di volontariato che - oltre a lavorare gratis - sarebbero state soggette ad un onere non indifferente. ATTENZIONE: anche qui - come espressamente previsto, qualora vi siano dei dati "sensibili", scattano gli artt. 22 e 23 della Legge ! "... è effettuato temporaneamente ed è finalizzato esclusivamente alla pubblicazione o diffusione occasionale di articoli, saggi e altre manifestazioni del pensiero, nel rispetto del Codice di cui all'articolo 25 è effettuato, anche con mezzi elettronici o comunque automatizzati, per la redazione di periodici o pubblicazioni aventi finalità di informazione giuridica, relativamente a dati desunti da provvedimenti dell'autorità giudiziaria o di altre autorità..." : anche qui vi è una tutela dei giornalisti ed assimilati, con una ulteriore specificazione per quanto concerne la pubblicazione dei dati derivanti da sentenze, (come avevo anche in questo caso già osservato). Tali ultimi dati devono però avere finalità di "informazione giuridica" ed essere inseriti in periodici a ciò dediti, per cui se dovrebbe dedurre che non è comunque possibile pubblicare estratti di sentenze (per definizione "pubbliche") con i nomi delle parti, senza il loro previo consenso; è effettuato temporaneamente per esclusive finalità di raccolta di adesioni a proposte di legge d'iniziativa popolare, a richieste di referendum, a petizioni o ad appelli; forse poteva essere un modo per evitare troppi referendum ma, scherzi a parte, l’esplicitazione di tale possibilità - torno a ripetere - vuol dire che PRIMA ciò non sarebbe stato possibile! "...è finalizzato unicamente all'amministrazione dei condomini di cui all'articolo 1117 e seguenti del Codice civile, limitatamente alle categorie di dati, di interessati e di destinatari della comunicazioni necessarie per l'amministrazione dei beni comuni, conservando i dati non oltre il periodo necessario per la tutela dei corrispondenti diritti...": poveri amministratori di condominio, oltre a dover cercare di mitigare le quotidiane liti che sempre esistono, possono tirare un sospiro di sollievo, perché non debbono più notificare al Garante tutta la loro attività. C’è un però - peccato -: tutto quanto sopra scritto vale SOLTANTO per la notificazione dell’esistenza del trattamento, ma rimangono valide tutte le altre norme relative alla sicurezza, ai trasferimenti dei dati all’estero, etc. etc.… Quasi dimenticavo: "...art.5-quinquies. Il titolare che si avvale dell'esonero di cui al comma 5-ter deve fornire gli elementi di cui al comma 4 a chiunque ne faccia richiesta"...., il che vuol dire che se qualcuno mi chiede se il suo nome è inserito nella mia banca dati, devo comunque rispondere, e vado incontro alle sanzioni di legge nel caso io non risponda. Da ultimo: tutte le scadenze che riguardano notifiche ed autorizzazioni (art. 7 e 28: trattamento dati e trasferimento dati personali all’estero) sono posticipati dal 01.01.1998 al 31.03.1998, mentre i trattamenti di cui all’art.5 (è cioè TUTTI, tranne quelli riguardanti gli artt. 22 e 24, dati sensibili e dati concernenti la salute) - come al solito - sono posticipati dal 01.04.1998 al 30.06.1998. Vi è una logica in tutto questo ? A me pare di no. |
INTERVENTI E REPLICHE - HOME PAGE |