Questa voce è stata curata da Andrea Stanchi
Definizione
La legge italiana tutela la riservatezza dell’individuo prevedendo, tra l’altro, che nessuno possa trattare i dati personali di qualcun altro senza averlo preventivamente informato del trattamento che intende fare, delle ragioni della raccolta dei dati, delle logiche e modalità di trattamento, della circolazione dei dati conseguente al trattamento.
Sulla base di queste informazioni il titolare dei dati (definito dalla normativa come interessato) può prestare il proprio consenso o meno al trattamento. Senza consenso, in linea generale e salvo le specifiche eccezioni della legge, il trattamento non può essere effettuato. Nessun dato sensibile (v. infra) può essere trattato senza consenso.
La giurisprudenza ha precisato (Cass. 10260/2009) che la regola è che il trattamento è vietato tranne i casi in cui è consentito dalla legge (per il consenso o per la ricorrenza dei presupposti di non necessità di questo).
Su queste premesse è facile comprendere la natura fondamentale del c.d. “principio di necessità” (art. 3) la cui funzione è limitare, allo stretto indispensabile, il ricorso alle tecnologie che consentono il trattamento dei dati personali, prevedendo la esclusione del trattamento di dati personali (cioè di dati individui) quando le finalità perseguite possono essere realizzate mediante il trattamento di dati anonimi o mediante opportuni accorgimenti che permettano l’individuazione dell’interessato solo in caso di necessità.
Il c.d. “principio di necessità” deve essere poi integrato e collegato all’articolo 11 relativo alle modalità di trattamento dei dati e ai requisiti degli stessi con particolare riferimento al c.d. “principio di finalità” di cui allo stesso articolo 11, comma 1, lett. c) e d) per i quali i dati debbono essere esatti, pertinenti e non eccedenti rispetto allo scopo per i quali sono raccolti e trattati.
I dati vanno conservati per il periodo necessario alle finalità del trattamento e comunque per un tempo definito (in molti casi è previsto dalla normativa o dai provvedimenti a portata generale del Garante).
Il trattamento deve essere presidiato da misure di sicurezza fisiche (segregazione delle aree di residenza dei server e limitazioni di accesso, con identificazione delle persone che accedono) e logiche (sono tali le misure di processo, piuttosto che informatiche, ecc.).
La violazione delle regole della legge comporta l’applicazione di sanzioni penali.
I diritti possono essere fatti valere sia presso il Garante (la legge disciplina varie forme di accesso all’Autorità: segnalazioni, reclami, ricorsi), sia presso l’Autorità Giudiziaria ordinaria.
Per ulteriori informazioni sul tema di veda la voce Privacy – Tutela della riservatezza