La regolamentazione del trattamento dei dati personali in Italia è stata per la prima volta affrontata in modo organico con l’approvazione del decreto legislativo n. 196/2003, che ha introdotto il Codice della Privacy, successivamente integrato e modificato dal Decreto Legislativo n. 101/2018, in applicazione della normativa europea contenuta nel Regolamento europeo sulla protezione dei dati personali n. 679/2016, in sigla conosciuto come GDPR (General Data Protection Regulation).
Dati personali e sensibili
Si definisce dato personale "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
Per dati sensibili si intendono quei "dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale".
Trattamento dei dati
Il trattamento di dati personali consiste in "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati".
I titolari del trattamento, cioè coloro che raccolgono i dati, devono rispettare, oltre alle norme di legge, anche le regole deontologiche e di buona condotta predisposte dall'Autorita' garante, a seconda del tipo di attività svolta.
Consenso
Nel momento in cui i dati vengono raccolti o inseriti per la registrazione, al soggetto interessato che li fornisce dev'essere data informativa relativa all'utilizzo degli stessi e ai suoi diritti; deve, inoltre, essere richiesto il consenso del soggetto interessato in forma scritta, riferito ad ogni singolo trattamento chiaramente individuato.
Nel concetto di trattamento rientra anche la comunicazione e diffusione dei dati; si parla di “comunicazione” quando essi vengono portati a conoscenza di soggetti terzi specificati, di “diffusione” quando sono resi pubblici ad un numero indeterminato di persone.
Comunicazione e diffusione sono sempre vietate quando riguardano dati personali dei quali sia stata ordinata la cancellazione, oppure quando è decorso il periodo di tempo necessario ai fini dell’utilizzo.
Dati bancari
A tal proposito, in materia bancaria, l’art. 11 del D.lgs 196/2003 prevede che che i dati personali, compresi quelli di natura soggettiva che rilevano per la valutazione dell’affidabilità di chi richiede un prestito, o assicurativo o nel mercato del lavoro, devono essere trattati in modo lecito e secondo correttezza, essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati.
Sul punto si è espressa di recente la Corte di Cassazione, con l’ordinanza n. 368/2021, relativamente al ricorso presentato da un soggetto che aveva citato in giudizio una banca, chiedendone la condanna al risarcimento dei danni, per aver diffuso illecitamente i propri dati personali.
La Suprema Corte, a partire dal dettato costituzionale, afferma anzitutto che la dignità dell’interessato è ritenuta preminente rispetto all’iniziativa economica privata che, secondo l’art. 41 Cost., non può svolgersi in modo da recare danno alla dignità umana.
Da tale principio costituzionale consegue che il soggetto che effettua il trattamento di dati personali, nello specifico la banca convenuta, deve esaminare e comparare le informazioni in maniera lecita e corretta, dovendo utilizzare solo le informazioni pertinenti rispetto alle finalità per le quali gli stessi sono raccolti e la durata del trattamento non può essere superiore a quella predeterminata in funzione della specifica finalità.