Il consenso al trattamento dei dati personali e’ disciplinato dall’art. 23 del Codice che riproduce ai primi tre commi l’art. 11 della legge 675/96, mentre il 4° comma relativo ai dati sensibili si ispira all’art. 22, comma 3 della legge 675/96. Tale ultimo comma precisando che il consenso al trattamento dei dati sensibili e giudiziari e’ manifestato in forma scritta, come gia’ previsto nella norma generale sul trattamento dei dati sensibili (art. 26, comma 1) e’ dettato da quella esigenza propria del T.U. di razionalizzare e coordinare al meglio la materia.

In generale, a prescindere da specifiche normative, la tutela accordata dall’ordinamento giuridico alla propria immagine, al proprio nome, alla propria identita’, al segreto epistolare e telefonico impone di ritenere, per analogia, vietata la diffusione senza consenso di notizie della vita privata la cui pubblica conoscenza non sia di alcuna utilita’ sociale.
Con l’avvento della normativa sulla privacy e’ stato sancito che il trattamento di dati personali da parte di privati o di enti pubblici economici e’ ammesso solo con il consenso espresso dell’interessato.
Il consenso e’ validamente prestato solo se e’ espresso liberamente e in forma specifica. E’ necessario inoltre che l’interessato o la persona della quale sono raccolti i dati personali sia stata previamente informata per iscritto circa: le finalita’ e le modalita’ del trattamento dei dati, la natura obbligatoria o facoltativa del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere, i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati, il diritto di accesso dell’interessato ed i diritti connessi, le generalita’ del titolare ed eventualmente del responsabile.
L’obbligo di informazione non comprende il trattamento di dati personali effettuato da soggetti pubblici per finalita’ di difesa o di sicurezza dello Stato, o di prevenzione, accertamento o repressione dei reati in base ad espresse disposizioni di legge che prevedono specificamente il trattamento ovvero da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge per esclusive finalita’ inerenti la politica monetaria e valutaria, il sistema dei pagamenti, il controllo degli intermediari e dei mercati creditizi e finanziari nonche’ la tutela della loro stabilita’.
In quest’ottica bisogna riconoscere che la disposizione in esame chiarisce meglio, anche in accoglimento di quanto espressamente richiesto in sede di parere dalla Commissione giustizia del Senato, che il consenso al trattamento dei dati personali deve essere “espresso liberamente e specificamente in riferimento al trattamento chiaramente individuato,” e non solo reso “in forma specifica”, in linea con quanto richiesto dalla direttiva europea (art. 2, par. 1, lett. h, dir. n. 95/46/CE).
In effetti a livello europeo la Convenzione di Strasburgo del 1981 non prende posizione sul tema del consenso, mentre la Direttiva comunitaria di riferimento n. 95/46/CE inserisce il requisito del consenso tra le ipotesi di legittimita’ del trattamento dei dati tassativamente elencate (art. 7).

Sicuramente negli ultimi tempi il requisito del consenso ha assunto un significato particolare in quanto, come gia’ si e’ avuto modo di sottolineare, con l’avvento delle tecnologie informatiche il “right to privacy” ha acquistato un nuovo significato ed una nuova ampiezza, che non poteva avere un secolo fa: questo ora consiste nel diritto, riconosciuto al cittadino, di esercitare anche un controllo sull’uso dei propri dati personali inseriti in un archivio elettronico (FROSINI).
Anch’esso fa parte del  “diritto all’informazione”, in quanto espressione del diritto di informarsi sul proprio conto e di poter disporre dei dati informatizzati, di cui e’ in possesso il gestore di un elaboratore elettronico; piu’ correttamente puo’ parlarsi di “liberta’ informatica” intesa come una nuova manifestazione del tradizionale diritto alla liberta’ personale; che si aggiunge a quelle del diritto di disporre liberamente del proprio corpo, di esprimere liberamente il proprio pensiero.

Il diritto alla riservatezza, per effetto della nuova dimensione acquisita, non viene, infatti, piu’ inteso in un senso puramente negativo, come facolta’ di ripulsa delle intromissioni di estranei nella vita privata, o di rifiutare il consenso alla diffusione di informazioni sul proprio conto, di rinuncia alla partecipazione nella vita sociale;  ma in senso positivo, come affermazione della  liberta’ e dignita’ della persona, e come potere di limitare il potere informatico, controllandone i mezzi ed i fini di quel potere (FROSINI).
Il consenso apparentemente rappresenta l’espressione piu’ compiuta di quella liberta’ positiva di controllare i dati riferiti alla propria persona ed usciti dalla propria sfera di riservatezza in cui si sostanzia la liberta’ informatica intesa come diritto di autotutela della propria identita’ informatica.
Numerosi sono stati gli interventi del Garante in materia di consenso che hanno principalmente cercato di evitare che l’applicazione concreta della normativa trasformi il consenso in un costoso principio decorativo e di facciata. Si pensi ad esempio alla decisione del 13 febbraio 1998 riferita ad una dubbia circolare della Banca Popolare dell’Alto Adige dove il Garante ha ribadito che il consenso si intende validamente prestato quando e’ espresso liberamente. Diverse decisioni hanno poi sottolineato anche la genericita’ delle informative riguardo sia i soggetti destinatari che le finalita’ (decisione del 8 settembre 1997 relativa al caso Autogerma S.p.A. o decisione Calyx Italia S.r.l. del 15 luglio 1997).
Esistono pero’ dei casi in cui il trattamento dei dati puo’ essere effettuato senza il consenso dell’interessato. Questi casi sono previsti dall’art. 24 del Codice che unifica le previsioni dell’art. 12 e dell’art. 20 della legge 675/96.
L’articolo fa salve le specificita’ riconosciute, in alcuni casi, per la comunicazione e, soprattutto, per la diffusione dei dati (lett. c), f) e g)). La disciplina risulta ora piu’ chiara, essendo state eliminate alcune duplicazioni ed apportate talune opportune precisazioni.

In particolare in relazione alle lettere a) e b), e’ stato meglio specificato, in conformita’ a quanto previsto dalla direttiva europea (art. 7, par. 1, lett. c), dir. 95/46/CE), il presupposto di liceita’ del trattamento relativo alla sussistenza di un obbligo legale, riferita ora correttamente alla necessita’ di adempiere comunque ad un obbligo previsto dalla legge, e non piu’ solo al caso di “dati raccolti e detenuti” in base al medesimo obbligo.
Inoltre, in sintonia con il diritto vivente, si e’ chiarito che il trattamento e’ consentito quando e’ comunque necessario per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato e non solo per eseguire “misure” precontrattuali su richiesta del medesimo interessato. Quest’ultimo intervento, ripetuto in maniera speculare nell’articolo 43 (gia’ 28 della legge n. 675/1996), in relazione al trasferimento di dati all’estero, completa l’allineamento alla direttiva europea delle disposizioni concernenti trattamenti effettuati in relazione a rapporti precontrattuali, gia’ avviato con il decreto legislativo n. 467/2001 (art. 7, par. 1, lett. b), dir. 95/46/CE).

Alla lettera e), si e’ chiarito che il presupposto di liceita’ del trattamento riferito all’esigenza di salvaguardare la vita o l’incolumita’ di un terzo e’ comunque applicabile anche fuori dei precedenti casi in cui veniva specificato che l’interessato non puo’, per incapacita’ o altri motivi, prestare il proprio consenso. Inoltre, in relazione al caso in cui la medesima finalita’ riguardi la vita o l’incolumita’ dell’interessato, la disciplina e’ stata allineata a quella vigente in ambito sanitario in relazione al trattamento di dati idonei a rivelare lo stato di salute per finalita’ di cura della persona, che in base alle disposizioni previgenti risultava piu’ rigorosa rispetto a quella del trattamento di dati comuni o sensibili effettuato da soggetti diversi da quelli sanitari.
La disciplina prevede, ora, che anche in questi ultimi casi, se manca il consenso della persona incapace o altrimenti impossibilitata a prestarlo e’ necessario acquisire il consenso dei prossimi congiunti o familiari, e si puo’ procedere al trattamento dei dati personali dell’interessato solo se sia impossibile acquisire anche il consenso di tali soggetti o vi e’ rischio grave ed imminente per la salute della persona, purche’ il consenso sia acquisito successivamente (art. 82, comma 2).
La disposizione in esame ha anche soppresso l’ormai inutile riferimento specifico alla comunicazione effettuata nell’ambito di gruppi bancari o fra societa’ controllate o collegate, in quanto la disposizione era legata al generalizzato sistema delle notificazioni di trattamenti correlati che il codice ha sostanzialmente eliminato. La medesima esigenza, peraltro, puo’ essere comunque efficacemente soddisfatta in applicazione dell’istituto del bilanciamento degli interessi del titolare con i diritti dell’interessato (art. 24, comma 1, lett. g).

Inoltre e’ stato esteso l’esonero dall’obbligo di acquisire il consenso ai trattamenti in ambito “interno” effettuati da organismi “no-profit” anche in relazione a dati comuni, in conformita’ a quanto gia’ previsto per i dati sensibili, a condizione che le modalita’ di utilizzo dei dati siano esplicitate in un’apposita determinazione resa nota agli associati con l’informativa (analoga condizione e’ stata inserita per i trattamenti di dati sensibili all’art. 26, comma 4, lett. a)).
La lettera i) reca un miglior coordinamento con la disciplina in materia di trattamenti per scopi storici, statistici o scientifici.
L’art. 25 del Codice riprende quei divieti di comunicazione e diffusione di dati personali gia’ previsti nell’art. 21, 1° e 2° comma della legge 675/96. Il 2° comma dello stesso articolo riproduce la stessa eccezione contenuta nel 4° comma dell’art. 21 della legge 675/96 anche se non fa piu’ riferimento alle finalita’ di ricerca scientifica e statistica ed ai codici di deontologia e buona condotta.

La Convenzione di Strasburgo non tratta la questione della comunicazione e diffusione dei dati personali ed anche la Direttiva 95/46/CE non dedica all’argomento un’espressa disciplina. L’attivita’ della comunicazione e diffusione viene comunque ricompresa (art. 2, lett. b) nel piu’ generale concetto di “trattamento” e dunque soggiace alle medesime regole.
Il Garante e’ intervenuto a piu’ riprese su talune questioni connesse alla comunicazione e/o diffusione dei dati. Tra le varie decisioni vi e’ quella del 16/09/97 dove ha stabilito che i dati personali concernenti le classi stipendiali, le indennita’ e gli altri emolumenti corrisposti a dipendenti di concessionari di servizi pubblici sono conoscibili da chiunque vi abbia interesse. Altra decisione rilevante e’ quella del 08/01/98 dove il Garante ha rilevato che la normativa sulla privacy non ha innovato la legge 441/82 sulla pubblicita’ della situazione patrimoniale di titolari di cariche elettive o direttive.
Interessante anche la decisione del Garante del  3 aprile 2002 dove ha ritenuto infondata l’opposizione al trattamento dei dati da parte di un interessato che lamenti la violazione delle norme che regolano la comunicazione e la diffusione dei dati personali da un soggetto pubblico ad un soggetto privato senza che risulti comprovata l’inosservanza stessa (fattispecie concernente la pretesa erronea applicazione, da parte dell’Ufficio delle entrate, delle norme della legge 241/1990).
Anche la decisione del Garante datata 20 marzo 2002 si inserisce nel ricco “filone” di decisioni relative ai rapporti tra normativa sulla privacy e legge 241/90. In questo caso l’Autorita’ rileva che la semplice manifestazione, da parte del titolare del trattamento, dell’intenzione di aderire alla richiesta di accesso, ove non seguita dall’effettiva comunicazione dei dati all’interessato, comporta l’accoglimento del ricorso proposto al Garante.
Riguardo ai dati sensibili ed alle particolari garanzie prescritte dall’art. 26 del Codice esse sono in gran parte analoghe a quelle contenute nel precedente art. 22 della legge 675/96.

In particolare, in merito al trattamento, si segnalano alcuni interventi di razionalizzazione del sistema e per il pieno adeguamento della normativa alla direttiva 95/46/CE.
Anzitutto, conformemente a quanto previsto per i soggetti pubblici, si e’ nuovamente ricordato che anche i soggetti privati nel trattare dati sensibili devono altresi’ rispettare i presupposti ed i limiti stabiliti dal codice, da disposizioni di legge o di regolamento.
Un importante intervento di razionalizzazione della disciplina, riguarda il trattamento di dati sensibili effettuati da confessioni religiose.
L’art. 8, par. 2, lett. d), della dir. 95/46/CE prevede che i trattamenti effettuati da associazioni o altri organismi senza scopo di lucro operanti in ambito religioso, filosofico, politico o sindacale sono consentiti anche senza il consenso degli interessati, se effettuati in base a “garanzie adeguate” e purche’ siano utilizzati – all'”interno” degli organismi – i soli dati degli aderenti o delle persone che hanno contatti abituali con gli organismi stessi nell’ambito delle loro finalita’ lecite. Il particolare regime si giustifica in ragione del fine perseguito dagli organismi (in ogni caso non di lucro) e del “limite” rappresentato dalla circolazione dei dati solo all’interno degli organismi.

Per quanto riguarda l’ambito religioso, il decreto legislativo n. 135/1999, in materia di trattamento di dati sensibili da parte di soggetti pubblici, ha dato una prima attuazione a tale disciplina in riferimento alle confessioni religiose i cui rapporti con lo Stato sono regolati da accordi o intese (art. 22, comma 1-bis, l. n. 675/1996, introdotto dal d. lg. n. 135/1999), “autorizzando” le stesse a trattare i dati in questione anche senza il consenso degli interessati e senza l’obbligo di rispettare l’autorizzazione del Garante, nel rispetto, tuttavia, di idonee garanzie da adottare in relazione ai trattamenti effettuati. Successivamente il decreto legislativo n. 467/2001 ha integrato il medesimo articolo 22 della legge n. 675/1996 prevedendo che tutti gli organismi senza scopo di lucro, anche a carattere religioso, possono trattare i dati sensibili senza il consenso dell’interessato, ma nel rispetto dell’autorizzazione del Garante.
L’art. 26, comma 3, lett. a) del codice completa, ora, l’intervento normativo, armonizzando meglio la disciplina normativa delle confessioni religiose, anche in riferimento alla giurisprudenza costituzionale e alle garanzie di cui le medesime confessioni si dotano nel rispetto dei principi contenuti in un’autorizzazione del Garante. Un’apposita disposizione transitoria (art. 181, comma 6) consente, in ogni caso, alle confessioni religiose che, prima dell’entrata in vigore del codice, abbiano gia’ determinato e adottato le garanzie richieste nell’ambito del rispettivo ordinamento, di proseguire le attivita’ di trattamento nel rispetto delle medesime.

Per quanto riguarda, invece, i casi in cui il trattamento e’ consentito anche senza il consenso dell’interessato, previa autorizzazione del Garante, si evidenzia innanzitutto che la disciplina dei trattamenti effettuati da organismi senza scopo di lucro – analogamente a quanto sopra descritto in relazione al trattamento di dati comuni – e’ stata adeguata ad un criterio di maggiore garanzia e trasparenza prevedendo che tali organismi individuino con espressa determinazione le modalita’ di utilizzo dei dati, rendendola nota agli interessati all’atto dell’informativa (art. 26, comma 4, lett. a)).
Inoltre e’ stato apportato un intervento analogo a quello gia’ descritto per il trattamento di dati comuni necessario per salvaguardare la vita o l’incolumita’ di un terzo o dell’interessato (art, 26, comma 4, lett. b)).
In relazione al diritto di “rango pari” a quello dell’interessato – presupposto di liceita’ del trattamento di dati idonei a rivelare lo stato di salute per finalita’ di esercizio di un diritto – e’ stato precisato, in conformita’ alla giurisprudenza e al diritto vivente, che tale diritto e’ relativo ad un diritto della personalita’ o ad un altro diritto o liberta’ fondamentale e inviolabile; tale precisazione normativa ricorre, ovviamente, in ogni altro caso in cui nel codice si fa riferimento ad un diritto di rango pari (artt. 60, 71 e 92) (art. 26, comma 4, lett. c)).

Infine, in attuazione di una specifica disposizione della direttiva europea (art. 8, par. 2, lett. b), dir. 95/46/CE), e’ stato introdotto un ulteriore presupposto di liceita’ del trattamento in relazione a cio’ che e’ necessario per adempiere a specifici obblighi previsti dalla normativa, anche comunitaria, in materia di gestione del rapporto di lavoro, nei limiti previsti dall’autorizzazione del Garante e ferme restando le disposizioni del codice di deontologia e di buona condotta (art. 26, comma 4, lett. d).
Per i dati giudiziari l’art. 27 del Codice non fa altro che ripetere con riferimento ai privati ed agli enti pubblici economici lo stesso principio gia’ enunciato all’art. 21 del T.U. a proposto dei soggetti pubblici.

Scritto da