PARLIAMO DI….

Piccole definizioni che è necessario conoscere, almeno sommariamente, per addentrarsi nella conoscenza della tanto invocata PRIVACY.
“NON VOGLIO CHE I FATTI MIEI E LE MIE COSE SIANO CONOSCIUTI DA TUTTI. POSSONO CONOSCERLI SOLO COLORO A CUI IO VOGLIO RACCONTARLI”.
Questo è il concetto che la maggior parte di noi ha di privacy. In un certo senso è un concetto corretto e rispettoso di quanto le norme prevedono.
Potremmo dire che è un concetto “naturale”. Tuttavia, per meglio comprendere la problematica, è opportuno darsi una terminologia comune e spiegare il significato del termine.
Abbiamo parlato di “fatti miei” e di “mie cose”. Questi due elementari concetti in realtà sono i DATI che ci riguardano.
Proviamo, quindi, a darci la definizione di DATO.
Il DATO è la descrizione di un fatto o di un avvenimento. Questa descrizione, spesso, è codificata ed è elementare.
Un dato, da solo, è di scarsa importanza. Perché diventi importante deve essere elaborato. L’elaborazione di uno o più dati conduce a conoscere un’informazione.
Il dato nasce dall’osservazione di fenomeni elementari. Possono presentarsi sotto varie forme: numeri, numeri e lettere dell’alfabeto, immagini fisse (una foto può essere un dato), immagini in movimento (i video possono essere dati), suoni.
L’utilità del dato può essere di lunga durata; è necessario, quindi, che i dati siano conservati con l’utilizzazione di mezzi diversi: i supporti.
I dati possono essere conservati su supporti che sono: la carta, i cd, i dvd, i floppy disk, gli hard-disk.
I dati possono essere trasmessi tra più utenti anche attraverso una rete di telecomunicazione.
Chiarito cosa è un dato e tenuto conto dell’evoluzione tecnologica, possiamo elaborare un nuovo concetto di privacy. Si è passati dalla tutela della vita privata alla protezione dei dati personali.
Ognuno di noi, infatti, è sempre più coinvolto nel crescente flusso delle informazioni che lo riguardano (dati). Ciascuno di noi per ottenere servizi e per relazionarsi con soggetti pubblici o privati ha modificato il rapporto con i propri dati.
Ritornando alla definizione iniziale possiamo meglio definire l’attuale concetto di privacy: la nostra riservatezza è la riservatezza dei nostri dati. La tutela della privacy non è più rivolta alla persona in quanto tale ma ai suoi dati ed alla loro utilizzazione. La tutela oggi è rivolta ai “fatti miei” ed alle “mie cose”. Dalla conoscenza di tali dati infatti si potrebbe facilmente accedere alla vita privata di ciascuno.
Procediamo a definire le varie categorie di dati ed a darci una chiave di lettura di quanto ad essi è legato.
Per fare questo faremo riferimento al “Codice in materia di protezione dei dati personali (D.Lgs. 196/03 e ss.mm.ii.)”, facciamo cioè riferimento a quello che, semplicisticamente, definiamo Codice della Privacy. Nel seguito lo indicheremo semplicemente come “Codice”.
Il Codice sancisce che ciascuno ha diritto alla protezione dei dati personali e garantisce che il trattamento di questi dati avvenga nel rispetto dei diritti, delle libertà fondamentali e della dignità dell’interessato.
E’ evidente che dobbiamo darci delle definizioni, vediamo quindi di elencare le definizioni principali.
Dato personale: dato personale è qualunque informazione relativa ad una persona fisica che sia individuata o possa essere identificata anche indirettamente attraverso il riferimento a qualsiasi altra informazione.
Dato identificativo: sono i dati personali attraverso cui è possibile identificare direttamente l’interessato.
Dato comune: sono dati comuni il nome, cognome, sesso, data e luogo di nascita, indirizzo, indirizzo e- mail, il codice fiscale ecc.
Dato sensibile: è la categoria di dati forse più importante e, probabilmente, è la categoria di dati più citata e meno conosciuta. I dati sensibili sono quei dati che permettono di rivelare l’origine etnica e razziale, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti politici, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico e/o sindacale.
Dato semi-sensibile: sono quei dati il cui trattamento presenta dei rischi specifici. Si ritengono tali, ad esempio i dati biometrici, i nominativi inseriti nelle centrali rischi, i dati relativi alla situazione finanziaria. Questi dati richiedono una verifica preliminare.
Dato supersensibile: sono quei dati idonei a rilevare lo stato di salute e la vita sessuale sono detti supersensibili perché per questi dati vale una disciplina particolare. Il Codice della privacy ne dispone la conservazione separata per trattamenti che non ne richiedono l’utilizzo; l’applicazione del principio della “parità di rango” per le indagini difensive; in caso di diritto di accesso a documenti amministrativi; al fine di esercitare il diritto di difesa; si richiede la cifratura o l’uso di codici identificativi in caso di trattamento con strumenti elettronici.
Dato giudiziario: in tale categoria rientrano i dati personali che consentono di rivelare i provvedimenti relativi al casellario giudiziale, all’anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti o la qualità di imputato o di indagato, la condanna definitiva penale in relazione a delitti e l’emanazione di provvedimenti di espulsione e riabilitazione di minori.
Dato anonimo: è il dato che in origine o dopo il trattamento non può essere associato ad un interessato identificato o identificabile.
Trattamento: il termine trattamento indica qualunque operazione o complesso di operazioni, comunque effettuate, relative alla raccolta, alla registrazione, all’organizzazione, alla modificazione, alla selezione, all’utilizzo, all’interconnessione, al blocco, alla comunicazione, alla diffusione, alla cancellazione e alla distruzione dei dati anche se non registrati in una banca dati.
Titolare del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente o organismo o associazione cui spettano le decisioni – anche con un altro titolare – relative alla finalità, modalità del trattamento di dati personali ed agli strumenti utilizzati ivi compreso il profilo della sicurezza.
Responsabile del trattamento: è la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente o organismo o associazione che il Titolare ha preposto al trattamento di dati personali, è scelto tra soggetti che hanno capacità ed esperienza in materia di privacy e sicurezza. Il Titolare impartisce direttive in ordine ai fini, ai mezzi e alle modalità del trattamento. Il Responsabile deve attenersi alle istruzioni. Il Titolare deve vigilare. La designazione del Responsabile e i compiti affidati devono risultare per iscritto.
Incaricato del trattamento: indica la persona fisica che il titolare o il responsabile autorizza ad effettuare le operazioni di trattamento. La designazione è effettuata per iscritto e individua l’ambito del trattamento consentito. La nomina è obbligatoria.
Amministratore di sistema: Figura rivisitata dal Garante, figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.
Interessato: è la persona fisica a cui si riferiscono i dati personali.
Principio di necessità nel trattamento dei dati: I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità.
Principio del pari rango nel trattamento dei dati: Il Codice della Privacy individua alcuni opportuni criteri per bilanciare il diritto alla “Riservatezza” con il diritto di “accesso ai documenti amministrativi”, con particolare riguardo ai documenti che contengono dati “supersensibili” attinenti alla salute e alla sessualità.
La questione dei limiti alla comunicazione di dati relativi alla salute e alla vita sessuale a persone diverse dall’interessato, assume rilievo essenziale nel caso di richieste di accesso a “cartelle cliniche”. La comunicazione di dati che rientrano nella sfera intima dell’interessato può ritenersi “giustificata” e “legittima” solo se il diritto del richiedente sia almeno di “pari rango” rispetto al diritto alla protezione dei dati personali, alla dignità, all’identità personale.
Fasi del Trattamento dei dati: Quattro sono le fasi del trattamento dei dati: 1) fase preliminare di raccolta e registrazione dei dati; 2) fase di elaborazione (organizzazione, elaborazione, modificazione, selezione, estrazione, raffronto, interconnessione, utilizzo); 3) fase di circolazione (comunicazione e diffusione); 4) fasi residuali e/o eventuali (conservazione, blocco, cancellazione, distruzione).
Comunicazione: è la conoscenza dei dati personali che viene data a soggetti determinati diversi dall’interessato dal rappresentante del titolare nel territorio italiano, dal responsabile e dagli incaricati in qualunque forma anche attraverso la loro messa a disposizione o consultazione.
Diffusione: è la conoscenza di dati personali a soggetti indeterminati in qualunque forma anche attraverso la loro messa a disposizione o consultazione.
Blocco: indica la conservazione di dati personali con la sospensione temporanea di ogni altra operazione di trattamento.
Banca dati: indica qualunque complesso organizzato di dati personali ripartito in una o più unità dislocate in uno o più siti.
Comunicazione elettronica: è l’informazione scambiata o trasmessa tra un numero finito di soggetti attraverso un sistema di comunicazione elettronica accessibile al pubblico.
Chiamata: è la comunicazione effettuata tramite un servizio di comunicazione elettronica accessibile al pubblico che permette la comunicazione bidirezionale.
Informativa: Il trattamento “leale” dei dati presuppone che le persone interessate possano conoscere l’esistenza del trattamento e disporre di un’informazione effettiva e completa in merito alle circostanze della raccolta. L’informativa sul trattamento dei dati personali è sempre obbligatoria, anche nei casi in cui non è necessario acquisire il consenso dell’interessato. L’Informativa deve contenere: a) le finalità e le modalità del trattamento; b)la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti, ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l’ambito di diffusione dei dati medesimi; e)i diritti dell’interessato previsti dal codice della privacy; f)gli estremi identificativi del titolare o del responsabile dei dati.
Consenso: Il trattamento dei dati personali da parte di Soggetti Privati e Enti Pubblici è possibile con il consenso dell’interessato, documentato per iscritto ed è valido se: all’interessato è stata resa l’informativa; se è stato espresso dall’interessato liberamente e specificatamente in riferimento ad un trattamento chiaramente individuato.
Il trattamento dei dati personali da parte delle PP.AA. è sempre possibile senza il consenso dell’interessato, purchè il trattamento si svolga nell’ambito delle attività istituzionali. Unica deroga a tale regola per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici.
Queste sono le definizioni di maggior interesse per quanto riguarda i dati. Dobbiamo ora darci le definizioni che si riferiscono in particolare alla sicurezza del trattamento.
Misure minime:
sono il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza intese a configurare il livello minimo di protezione da rischi di distruzione e/o perdita anche accidentale dei dati, dà accesso non autorizzato o da trattamento non consentito o non conforme alle finalità della raccolta.
Strumenti elettronici: sono gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o automatizzato con cui viene effettuato il trattamento.
Autenticazione informatica: è costituita dall’insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell’identità.
Credenziali di autenticazione: sono i dati e i dispositivi in possesso di una persona per l’autenticazione informatica.
Questo è l’elenco delle definizioni fondamentali che bisogna tenere ben presenti per parlare correttamente di privacy e della sua tutela.