Fonte: La legge in pillole.

Una legge, per difendere la privacy informatica?

All’inizio del 1970, i governanti di una nazione del Nord Europa dopo aver attribuito un codice di riconoscimento individuale a tutti i cittadini (il nostro codice fiscale), avviarono una serie di programmi sociali.

Fece notizia, tra gli altri, un progetto per l’archiviazione su computer (a quel tempo, chiamato “calcolatore”) dei dati sanitari e delle cartelle cliniche di tutti i cittadini, con la possibilità di accedervi tramite terminali collegati alla rete telefonica pubblica.
In caso di emergenza (incidente stradale a 100 km da casa), il medico del pronto soccorso, utilizzando il codice personale del malato, poteva leggere i dati sanitari dell’individuo e conoscere le notizie dei precedenti fisiologici e patologici personali ed ereditari del paziente, per poter intervenire in una condizione obiettiva di conoscenza clinica dell’individuo.

Successivamente, fece notizia il caso di un cittadino della stessa nazione che si vide rifiutare un posto di lavoro perché nella sua cartella clinica informatica era riportata la notizia che un prozio aveva mostrato sintomi di alterazione delle facoltà mentali.
E’ evidente che, un’informazione utile dal punto di vista clinico, deve essere usata soltanto per lo scopo per il quale è stata raccolta; ogni altro utilizzo è improprio e, quindi, come tale, diventa un grave abuso ed un attentato alla riservatezza dell’individuo.

Il Codice della privacy in pillole

In 20 domande e 20 risposte le norme del D. Lgs. n.196/2003 (“Codice in materia di protezione dei dati personali”, di seguito “Codice della privacy”) che ha abrogato la Legge n.675/1996.

1 – Quali finalità si propone il Codice?

Le norme del Codice della privacy, in aderenza alla disciplina dell’Unione Europea, intendono garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali (tutelati, in generale, dalla Costituzione della Repubblica), nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale.

La tutela si estende anche ai diritti delle persone giuridiche.

2- Che cos’è il trattamento dei dati personali ?

Il trattamento dei dati personali è qualunque operazione o complesso di operazioni svolte con o senza l’ausilio di strumenti elettronici, che concerne le operazioni di:

-raccolta dei dati, -registrazione, -organizzazione, -conservazione, -consultazione, -elaborazione, -blocco, -modificazione, -utilizzo, -interconnessione, -comunicazione, -diffusione, -cancellazione, -distruzione, -selezione, -estrazione, -raffronto.

3- Quali sono i dati personali ?

I dati personali sono tutte le informazioni relative a persone fisiche o giuridiche, oppure ad enti e associazioni, che consentano l’identificazione diretta o indiretta di questi stessi soggetti.

Ad esempio, sono dati personali rientranti nelle previsioni del Codice, oltre ai dati anagrafici ed economici, anche le immagini, i suoni e i codici identificativi riconducibili a un individuo.

Esiste, inoltre, una categoria di dati – i cosiddetti dati sensibili – attinenti alla sfera personalissima dei singoli (informazioni sulle opinioni religiose o politiche, sulle abitudini sessuali, etc.), per i quali la legge prevede una tutela più forte rispetto agli altri.

Il trattamento di dati relativi a procedimenti penali ed a tutti i provvedimenti di cui all’art. 686, comma 1, lett. a) e d), nonché commi 2 e 3, è ammesso solo se autorizzato da espressa disposizione di legge o provvedimento del Garante, che ne specifichi le finalità, i tipi di dati e le operazioni autorizzate.

4 – Che cos’è una banca dati ?

Una banca dati è un insieme di informazioni personali, raccolte e conservate in una o più unità di supporto, dislocate in uno o più siti, organizzata secondo una pluralità di criteri determinati, tali da facilitarne il trattamento.

5 – Quali sono i soggetti del trattamento ?

Il titolare: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione o organismo cui competono le decisioni circa le finalità e le modalità del trattamento di dati personali, ivi compresa la sicurezza dei dati.

Il responsabile: la persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.

L’incaricato: colui che compie le operazioni del trattamento di dati personali, attenendosi alle istruzioni impartite dal titolare o dal responsabile.

L’interessato: la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali.

Il rappresentante stabilito nel territorio dello Stato: Nel caso in cui il titolare risieda all’estero, deve essere nominato un rappresentante che sia stabilito nel territorio dello Stato italiano.

6 – Qual’è l’ambito di applicazione del Codice?

Il Codice si applica al trattamento di dati personali (anche se detenuti all’estero) da chiunque effettuato nel territorio dello Stato, con o senza mezzi elettronici, o comunque automatizzati.

Inoltre, il Codice si applica anche al trattamento di dati personali effettuato da chiunque sia stabilito in un qualunque Paese, anche extraeuropeo, ed impieghi per il trattamento mezzi situati nel territorio dello Stato, anche diversi da quelli elettronici o automatizzati, salvo che essi siano utilizzati a soli fini di transito nell’Unione Europea. In questi casi deve essere nominato il rappresentante stabilito nel territorio dello Stato italiano.

Non è soggetto alla legge il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali (agende, elenchi, raccolte), sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione.

Anche in questo caso, comunque, il titolare deve garantire la sicurezza dei dati ed è responsabile del danno eventualmente prodotto per effetto di una qualunque operazione di trattamento.

7 – Quali sono gli obblighi del titolare nei confronti dell’Autorità Garante per la protezione dei dati personali?

Il titolare che intenda procedere ad un trattamento di dati personali, rientranti tra quelli previsti dall’art. 37 del Codice, deve darne comunicazione, mediante notificazione, all’Autorità Garante per la protezione dei dati personali.

Il Garante è un’autorità pubblica, che opera in piena autonomia e con indipendenza di giudizio e di valutazione e che ha specifiche funzioni di controllo e vigilanza in materia di tutela dei dati personali.

Si tenga però presente che, in virtù delle novità introdotte dal D,lgs. 196/2003, che ha abrogato la legge 675/1996, l’adempimento della notificazione, prima obbligo generalizzato, sarà in futuro limitato ai soli casi previsti da un emanando regolamento.

8 – Cosa deve essere comunicato al Garante?

Al Garante deve essere comunicato il trattamento dei dati personali riguardante particolari settori, specificatamente elencati dall’art. 37. Inoltre, il Garante con proprio provvedimento potrà individuare altri trattamenti suscettibili di recare pregiudizio ai diritti ed alle libertà dell’interessato.

Le modifiche di cui sopra comportano un cambiamento anche nelle modalità di effettuazione della notifica, che può avvenire solo per via telematica.

9 – Quali sono gli obblighi relativi al trattamento ?

I dati personali devono essere:

1. trattati in modo lecito e corretto;

2. raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;

3. esatti e, se necessario, aggiornati;

4. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati;

5. conservati in una forma che consenta l’identificazione dell’interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.

10 – Quali informazioni devono essere fornite agli interessati ?

Il soggetto interessato, o la persona presso la quale sono raccolti i dati personali devono essere preventivamente informati per iscritto, circa:

1. le finalità e le modalità del trattamento;

2. l’obbligo o la facoltà di conferire i dati;

3. le conseguenze giuridiche del rifiuto a rispondere;

4. i soggetti a cui i dati possono essere comunicati;

5. l’ambito di diffusione dei dati personali;

6. i diritti spettanti al soggetto interessato;

7. identificazione anagrafico-logistica del titolare del trattamento, del responsabile nel territorio dello Stato, di almeno un responsabile del trattamento, se designato; occorre indicare, inoltre, le modalità tramite cui reperire l’elenco completo ed aggiornato di tutti i responsabili del trattamento.

11 – E’ necessario il consenso dell’interessato per il trattamento dei dati personali ?

Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso soltanto con il consenso espresso dell’interessato, salve le eccezioi di cui al punto seguente. Il consenso è validamente prestato soltanto se è espresso liberamente.

Il consenso per il trattamento dei dati comuni può anche essere orale, purché documentato per iscritto, mentre quello per i dati sensibili deve essere prestato esclusivamente in forma scritta.

12 – Quando non è necessario il consenso dell’interessato ?

Il consenso dell’interessato non è richiesto quando il trattamento:

1. riguarda dati trattati per adempiere ad obblighi previsti da leggi, regolamenti o disposizioni comunitarie;

2. è necessario per l’esecuzione di un contratto di cui è parte l’interessato, o per l’esecuzione di misure precontrattuali adottate su richiesta di quest’ultimo;

3. riguarda dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque;

4. riguarda dati relativi allo svolgimento di attività economiche;

5. è necessario per la salvaguardia dell’incolumità o della vita dell’interessato o di un terzo;

6. con l’esclusione della diffusione, è effettuato per lo svolgimento di investigazioni difensive;

7. con l’esclusione della diffusione, è necessario, nei casi individuati dal Garante, per perseguire un legittimo interesse del titolare o di un terzo destinatario, anche in riferimento all’attività di gruppi bancari e di società controllate o collegate;

8. con esclusione della comunicazione all’esterno e della diffusione, è effettuato da associazioni, enti o organismi senza scopo di lucro, anche non riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti, per il raggiungimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo;

9. è necessario, in conformità con i codici deontologici, per esclusivi scopi scientifici, statistici o storici.

13 – Quali sono i diritti dell’interessato ?

Il Codice prevede che, circa i suoi dati personali, l’interessato abbia diritto:

1. di conoscere, mediante l’accesso al registro dei trattamenti presso il Garante, l’esistenza di trattamenti che lo riguardino;

2. di essere informato dal titolare circa le finalità del trattamento;

3. di ottenere dal titolare la conferma, l’aggiornamento, la cancellazione, la rettifica dei dati trattati, o la loro trasformazione in forma anonima;

4. di opporsi in tutto o in parte, per motivi legittimi, al trattamento di dati che lo riguardino.

5. di chiedere il blocco dei dati trattati in violazione di legge.

14 – Come possono essere fatti valere i propri diritti dall’interessato ?

L’interessato può e deve, in primo luogo, agire direttamente nei confronti del titolare, del responsabile, o tramite gli incaricati del trattamento, chiedendo che i suoi diritti, se violati, vengano ripristinati.

L’interessato, dopo aver fatto valere i suoi diritti nei confronti del titolare del trattamento, in mancanza di soddisfazione della richiesta, può far valere i propri diritti dinanzi all’Autorità giudiziaria o con ricorso al Garante.

Se si sceglie la strada della giustizia ordinaria non è più possibile proporre ricorso al Garante.

15 – Cosa è previsto per i dati sensibili ?

I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere trattati soltanto con il consenso scritto dell’interessato e con l’autorizzazione del Garante.

Per i soggetti pubblici il trattamento è consentito solo ed esclusivamente se è autorizzato da una legge, che specifichi quali sono i dati trattabili e le operazioni eseguibili, nonché le rilevanti finalità di interesse pubblico che si intendono perseguire.

In presenza di una previsione di legge che specifichi le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, i soggetti pubblici, con atto di natura regolamentare adottato in conformità col parere espresso dal Garante, devono identificare e rendere pubblici i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi.

Nel caso in cui il trattamento non è espressamente previsto da una disposizione di legge, i soggetti pubblici possono chiedere una speciale autorizzazione al Garante, rendendo altresì pubblici, nei modi di cui sopra, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi.

In tutti i casi, comunque, è necessario fornire all’interessato una completa informativa.

16 – Cosa è previsto per i dati inerenti alla salute ?

Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono, anche senza l’autorizzazione del Garante, trattare i dati personali idonei a rivelare lo stato di salute, limitatamente ai dati e le operazioni indispensabili per il perseguimento di finalità di tutela dell’incolumità fisica e della salute dell’interessato.

Se le finalità di tutela riguardano terzi o la collettività, in mancanza del consenso dell’interessato, il trattamento può avvenire soltanto previa autorizzazione del Garante.
Sono previste modalità semplificate per la raccolta del consenso.

E’ in ogni caso vietata la diffusione dei dati inerenti alla salute.

17 – Quali sono le garanzie di sicurezza dei dati personali previsti dal Codice?

L’Allegato B del Codice (“Disciplinare tecnico in materia di misure minime di sicurezza”) ha individuato le misure minime di sicurezza che tutti i titolari del trattamento, siano essi soggetti privati o pubblici, devono adottare, pena l’arresto sino a due anni.

Le misure individuate sono graduate per classi di dati e per tipologie di trattamento. Occorre pertanto verificare accuratamente quali misure di sicurezza sono obbligatorie, in relazione ai singoli trattamenti.

I dati personali oggetto del trattamento devono, comunque, essere custoditi in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, nonché di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità di raccolta.

A tale scopo devono essere predisposte tutte le idonee misure di sicurezza in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento. Eventuali danni subiti dagli interessati dovranno ottenere risarcimento.

18 – Cosa è previsto per la comunicazione e la diffusione dei dati personali ?

La comunicazione e la diffusione sono consentite, come il trattamento, con il consenso dell’interessato, ovvero nel caso in cui ricorra un’ipotesi di esenzione.

In ogni caso, non possono essere comunicati o diffusi i dati per i quali è stata ordinata la cancellazione, ovvero quando è stato superato il periodo di tempo necessario al raggiungimento degli scopi, ovvero per scopi diversi da quelli indicati nella notificazione del trattamento al Garante, ove prescritta.

19 – Quali sono le regole per i dati trattati da soggetti pubblici ?

Il trattamento, la comunicazione e la diffusione di dati personali da parte di soggetti pubblici sono ammessi unicamente per lo svolgimento di funzioni istituzionali, anche in mancanza di una norma di legge o regolamento che lo preveda espressamente.

La comunicazione e la diffusione a soggetti pubblici sono ammesse soltanto quando siano previste da leggi o regolamenti, o risultino comunque necessarie per lo svolgimento di funzioni istituzionali: in quest’ultimo caso deve essere data comunicazione al Garante.

La comunicazione e la diffusione a soggetti privati o ad enti pubblici economici è ammessa soltanto se prevista da legge o regolamento.

20 – Quali sanzioni sono previste ?

Il Codice sanziona penalmente i comportamenti adottati in difformità dallo stesso, quali il trattamento illecito di dati personali, la omessa adozione delle misure di sicurezza, nonché l’omessa osservanza dei provvedimenti del Garante, la falsità nelle dichiarazioni al Garante.

Sono, inoltre, previste sanzioni amministrative nei casi di omessa o incompleta notificazione del trattamento al Garante, di inosservanza delle richieste del Garante o per l’omessa informativa ai soggetti interessati.

E-commerce, giungla di tasse online – Economia – Panorama.it.

Sfoglia più di 900 pagine di regolamento e allarga le braccia. «È una questione complessa» ammette il funzionario dell’Agenzia delle dogane «e a volte, fra dazi da applicare, imposte sul valore aggiunto da calcolare e norme Ue in contraddizione con quelle italiane, facciamo fatica pure noi». Figuriamoci un comune consumatore che ha deciso di comprare via internet qualcosa fuori dall’Unione Europea: non sa che si sta per inoltrare in una vera e propria giungla di balzelli che possono fare aumentare anche di parecchio il prezzo dell’oggetto acquistato.

Ogni giorno i pacchi extra Ue che arrivano negli uffici delle Poste italiane (il principale a Lonate Pozzolo, dietro all’aeroporto di Malpensa) e in quelli dei corrieri internazionali sono circa 50 mila. E molte di più sono le buste contenenti merce. Dentro c’è di tutto: dalle magliette agli orologi, dalle carrozzine per neonati agli apparecchi elettronici. Acquisti fatti, di solito via web, soprattutto in Cina, negli Stati Uniti, in India. Ovvero ovunque il prezzo prometta uno sconto rispetto ai cartellini esposti sugli scaffali in patria. Peccato che a volte ci sia la sorpresa, e la promessa di un risparmio a portata di clic non venga mantenuta. A causa dei costi di importazione. Che possono essere anche due o tre volte il prezzo pagato per l’articolo. E così l’affare si trasforma in un «pacco». «Succede, e neppure tanto raramente, che una volta scoperto quanto si deve pagare per poter ritirare la merce ce la lascino qui» raccontano alle dogane.

Stabilire quanto si deve pagare al postino per ricevere la merce solo in teoria è semplice. In realtà è un sudoku per burocrati. L’abc dell’import per i privati stabilisce che fino a 22 euro di merce non si deve versare nulla, da 23 si devono aggiungere anche le spese di importazione ma fino ai 150 euro si paga comunque solo l’Iva, mentre oltre questa cifra si pagano sia i dazi sia l’imposta sul valore aggiunto. In realtà, la faccenda è più complessa, per tre ragioni.

La prima è che in Italia i dazi si pagano anche al di sotto, tra 23 e 150 euro, nonostante le norme europee. La seconda è che non è affatto facile stabilire con esattezza la tipologia di merce e quindi l’aliquota del dazio da applicare. La terza è che quest’ultimo dipende non dal paese in cui si è deciso di comprare, ma da quello da dove arriva il prodotto.

Perché, se si decide di comprare una bicicletta online negli Stati Uniti, ma poi questa mi viene spedita dalla Cina, dove viene prodotta, le cose si complicano. L’acquisto della bicicletta, o anche solo di un pedale, comporterà infatti un dazio del 48,5 per cento sul valore della merce, anche se l’acquisto è avvenuto in un paese dove i dazi su questa tipologia merceologica sono di gran lunga inferiori: appena il 14 per cento.

Non solo. Le televisioni pagano il 14 per cento di dazio, però se non c’è il sintonizzatore, che magari viene spedito in un secondo momento, diventa un monitor e non c’è nulla da pagare. Un altro esempio? Quasi tutte le componenti elettroniche di un computer sono esenti da dazio in base agli accordi 2008 della Wto perché sono necessari per collegarsi alla rete internet. Ma altre parti, come gli hard disk, il dazio invece lo pagano. Ancora? Per favorire l’energia fotovoltaica i pannelli solari hanno l’Iva al 10 per cento e non pagano nulla di dazio. Anche se provengono dalla Cina.

I più informati sanno che in rete esiste un trucco per distriscarsi nel mare magnum di dazi, disposizioni e norme antidumping. Si chiama Taric ed è un software disponibile sul sito dell’Agenzia delle dogane. Nulla di complicato, teoricamente parlando: è sufficiente inserire la tipologia della merce e il paese da cui proviene per avere tutte le notizie necessarie per effettuare un acquisto consapevole. Peccato, tuttavia, che ci si debba districare fra migliaia di sottocategorie merceologiche; e che le informazioni sulle limitazioni di importazioni non siano nero su bianco, ma facciano riferimento a norme e regolamenti italiani o europei che bisogna avere poi la pazienza di trovare, tradurre dal gergo amministrativo, capire e applicare.

Così, per evitare di appesantire la testa e svuotare il conto in banca, molti aggirano la questione facendo scrivere semplicemente «gift» sul pacchetto. Essendo un dono, non dovrebbe esserci stata compravendita: un accorgimento che dovrebbe permettere alla merce di superare la frontiera senza pagare né dazio né Iva. In teoria. «Li fermiamo tutti» spiegano alle dogane «e almeno sette su 10 sono irregolari». Di fatto, il trucco è un invito al controllo alla frontiera.

Quel che per gli uomini delle dogane è un rompicapo, per chi acquista cercando l’affare a ogni costo può diventare un incubo. Ognuno dei 50 mila pacchi che ogni giorno arrivano in Italia dai paesi extracomunitari fa coppia fissa con una bolla di accompagnamento. Ovvero un foglio sul quale il mittente ha indicato la merce contenuta nell’involto, il suo valore (ovvero il prezzo pagato dal destinatario) e i costi di trasporto. Gli impiegati delle Poste italiane (che incassano per ogni pacco 2,07 euro) calcolano dazi, Iva ed eventuali sovrattasse e spediscono al destinatario in uno o due giorni. Ma una quota dei pacchi viene fermata e controllata dagli uomini della dogana. «Se tutto è regolare, il pacco riparte e arriva a destinazione nei due giorni successivi. Se invece ci sono, come si dice in gergo, delle difformità, si ferma tutto». Almeno un pacco su tre contiene merce contraffatta o presenta incongruenze tra il valore dichiarato e quello reale.

In questi casi che succede? Borse «replicate», scarpe taroccate e orologi fasulli vengono sequestrati e distrutti. Se poi l’acquirente reclama la merce, rischia come minimo una segnalazione alla procura per incauto acquisto, come massimo una denuncia per ricettazione, se gli invii sono frequenti e ripetuti. Se invece il problema è, per usare un eufemismo, un «errore di calcolo» sul valore della merce dichiarato alla dogana, si fanno le valutazioni corrette e l’acquirente dovrà soltanto pagare di più. A meno che la dogana non riesca a dimostrare che c’è stata una doppia fatturazione, con una minima parte del prezzo pagato a fronte di una fattura da allegare al pacco e il resto sborsato in nero con la carta di credito. «In questo caso i reati commessi sono due: falso in atto pubblico e contrabbando. Li prendiamo tutti, basta controllare le transazioni».

E poi ci sono prodotti che si fermano alla dogana perché norme internazionali ne vietano il commercio, come il corallo, l’avorio o la flora protetta: l’eventuale ingenuità dell’acquirente non è una scusante. Mentre possono esserlo le malattie. Tuttavia i farmaci, come cibo e alcolici, subiscono particolari controlli sanitari e se arrivati dall’India vengono regolarmente sequestrati perché ritenuti contraffatti.