Il Codice Privacy fornisce una definizione di “trattamento” molto ampia cosicché ogni qual volta si ha a che fare con dati personali si compie, tecnicamente, una operazione di trattamento [1].
Ognuno di noi quotidianamente viene a contatto con un’innumerevole mole di dati personali: quando raccogliamo un numero di telefono, quando consultiamo una lista di nomi, quando organizziamo la nostra agenda, quando pubblichiamo una foto su internet, quando cancelliamo file che non ci servono più...
Tali attività, il più delle volte, vengono compiute con leggerezza e nella più incompleta inconsapevolezza di svolgere un’operazione qualificabile come un trattamento dati personali dalla legge privacy.
Finché ci limitiamo ad utilizzare questi dati personali come persone fisiche e per fini strettamente personali non siamo soggetti alla disciplina del Codice Privacy, a patto di rispettarne le misure di sicurezza e di non compiere operazioni di diffusione o comunicazione sistematica di dati personali a soggetti terzi.
Quando però il trattamento dati personali è svolto per finalità diverse dall’uso strettamente personale o è realizzato da persone giuridiche, enti, associazioni o pubblica amministrazione è necessario osservare tutte le prescrizioni imposte dalla legge privacy.
In tali casi il Codice Privacy impone al soggetto che intende effettuare un trattamento dati personali (Titolare del Trattamento) l’obbligo di informare il proprietario dei dati personali (Interessato) sulle finalità e modalità del trattamento dati personali al fine di metterlo nella condizione di poter esercitare liberamente i propri diritti così come dall’art. 7 del D.lgs. 196/03.
Per tale motivo come prima cosa, il Titolare del Trattamento deve fornire all’interessato un’idonea informativa privacy sul trattamento dei dati personali così come previsto dall’art. 13 del D.lgs. 196/03.
Una volta consegnata l’informativa privacy, il Titolare del Trattamento deve ottenere dall’interessato il suo consenso privacy al trattamento dati personali secondo le modalità specificate dall’art. 23 del D.lgs. 196/03.
Per tutta la durata delle operazioni di trattamento dati personali, il Titolare del Trattamento deve rispettare le misure minime di sicurezza previste dal Codice Privacy [2] e deve adottare ulteriori misure di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita di dati personali, di accesso non autorizzato, di trattamento dei dati personali non consentito o non conforme alle finalità della raccolta.
Nei casi particolari in cui il trattamento dati personali rientri in una delle fattispecie previste dall’art. 37 del D.lgs. 196/03, il Titolare del Trattamento dovrà anche provvedere ad effettuare una notificazione preventiva al Garante Privacy.
Dr. Eric Falzone - Law Compliance Advisor - Partner EUCS
Dr. Matteo Angi - Law Compliance Advisor - Consulente EUCS
[1] Per “trattamento" deve intendersi: qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati (Codice Privacy, art. 4, comma 1, lett.a)
[2] Cfr articolo 33 e allegato B al Codice Privacy
