[Diritto] Proposta di legge sulla raccolta automatica di dati personali

Marco A. Calamari diritto@softwarelibero.it
Sun, 19 May 2002 19:55:54 +0200


Su iniziativa del gruppo di lavoro che ha promosso il
  convegno sulla e-privacy, svoltosi a Firenze il 27 aprile,
  e' stata elaborata una proposta di legge che limiti la possibilita'
  di raccogliere ed utilizzare i dati personali per mezzo di di mezzi
  automatici atipici e non denunciati, come i log di sistema di server http
  od i dati di cella delle reti GSM.

Qualunque forma di commento e/o contributo e' la benvenuta.

Saluti a tutti. Marco Calamari

-----------------------

PROPOSTA DI LEGGE (versione 3 del 15 maggio 2002)

d'iniziativa dei ......

Recante: "Norme in materia di raccolta, uso, conservazione e
cancellazione di dati personali o sensibili effettuata per mezzo
di apparecchiature automatiche".



CAPO I ­ PRINCIPI GENERALI

Art. 1
(definizioni)

Comma 1. Si definisce programma per elaboratore (software) ogni
programma per elaboratore elettronico (sia sistema operativo sia
programma applicativo).

Comma 2. Si definisce "apparecchiatura di raccolta automatica di
dati personali" qualunque apparecchio fisico o programma per
elaboratore che memorizzi o trasmetta automaticamente, in maniera
temporanea o permanente, dati riguardo il proprio funzionamento o
quello di altri apparecchi e programmi per elaboratore, in cui si
possano potenzialmente trovare o ricavare, informazioni personali
o sensibili (come individuato dalla Legge 675/96). Esempi di
queste  apparecchiature di raccolta dati personali sono le reti
GSM, i server World Wide Web ed i sistemi di videocontrollo, che
memorizzano su file di log o su supporti analogici informazioni
prodotte da individui, come messaggi brevi di testo, posizioni dei
terminali gsm,  pagine web accedute, luoghi e tempi di presenza,
dati biometrici.

Comma 3. Si definisce "gestore di raccolte dati automatizzate" il
titolare del trattamento dati (come individuato dalla Legge
675/96), od in sua mancanza il responsabile organizzativo delle
apparecchiature di raccolta dati, od in sua mancanza il
responsabile operativo delle apparecchiature di raccolta dati.

Comma 4. Si definisce "raccolta automatizzata di dati personali"
qualunque archivio o flusso di dati generato da una
apparecchiatura di raccolta automatica di dati personali.

Comma 5. Si definisce "file di log", qualunque raccolta di
informazioni effettuata da un apparecchio fisico o programma per
elaboratore che sia utile o necessaria per il suo funzionamento ma
non ne realizzi la funzione principale.

Comma 6. Si definisce "flusso di dati generato da una
apparecchiatura di raccolta automatica di dati personali" la
trasmissione di dati realizzata da una apparecchiatura di raccolta
automatica di dati personali verso altre apparecchiature o
soggetti che possono potenzialmente elaborarla o memorizzarla

Comma 7. Si definisce "procedura di backup" l'insieme di procedure
gestionali, elaboratori, periferiche per elaboratori e supporti
per la memorizzazione dei dati che vengono utilizzati per garantire
la conservazione temporanea di copie degli archivi di dati, al
fine di consentire l'archiviazione od il ripristino dei dati
stessi in caso di necessità.

Comma 8. Si definisce "profilazione degli utenti" qualunque
operazione che, elaborando dati provenienti da raccolta
automatizzata di dati personali, produca dati derivati che
evidenzino o raccolgano informazioni sugli utenti e sui loro
comportamenti

Comma 9. Si definisce "Identificatore Univoco di un Utente" (IUU)
qualunque dato che possa permettere di raggruppare ed attribuire
ad un singolo utente (non identificabile anagraficamente) una
serie di dati personali o sensibili precedentemente raccolti in
forma anonima.

Comma 10. Si definisce "identificazione di un utente" qualunque
operazione di elaborazione od incrocio di raccolte automatizzate
di dati personali tra loro o con altri tipi di dati che possa
portare, anche tramite l'impiego di IUU, all'identificazione
anagrafica di un utente.


CAPO II   RACCOLTA AUTOMATICA DI DATI PERSONALI
(obblighi per i gestori di raccolte dati automatizzate)


Art. 2

Comma 1. Le raccolte automatiche di dati personali possono essere
realizzate solo per motivi tecnicamente documentabili, richiesti
direttamente per consentire od agevolare il funzionamento di
apparecchiature o programmi per elaboratore.
Le raccolte automatiche di dati personali non devono includere
l'inserimento di IUU od essere utilizzate per operazioni di
profilazione degli utenti.
Le raccolte automatiche di dati personali possono essere
conservate solo per il tempo minimo necessario per il motivo
tecnico per cui sono effettuate, e devono successivamente essere
cancellate, in maniera documentabile, dai supporti originali e da
tutte le copie generate da eventuali operazioni di backup.
Durante la loro conservazione, ad esse devono essere applicate le
norme ed i regolamenti previsti dalla legge 675/96 e successive
modifiche ed integrazioni.

Comma 2. Nel caso che il gestore di raccolte dati automatizzate
intenda elaborare i dati raccolti per scopi diversi da quelli
tecnici previsti, dovrà operare sui dati stessi considerandoli
informazioni personali e/o sensibili (come individuate dalla Legge
675/96 e successive modifiche ed integrazioni), a seconda del tipo
di informazioni personali che possono esservi contenute,
adempiendo agli obblighi da essa previsti.

Comma 3. Il gestore di raccolte dati automatizzate che intenda o
debba procedere ad elaborazioni o memorizzazioni che eccedano
quelle previste dalla presente legge, è tenuto a darne
comunicazione all'Autorità Garante della Privacy, ed a rendere
nota la raccolta, le sue modalità, i fini, e la relativa
cancellazione o duplicazione dei dati sia all'Autorità Garante
della Privacy che a tutti i soggetti i cui dati possano
potenzialmente essere raccolti.
Le modalità di comunicazione ed i metodi per la determinazione dei
relativi soggetti saranno indicate nel regolamento di attuazione,
che conterrà anche una serie di tipologie di elaborazione che
escludono dall'obbligo di comunicazione al Garante.

Comma 4, Ove non diversamente previsto per obblighi di legge, il
periodo massimo di conservazione di dati ricavati tramite raccolta
automatizzata di dati personali o derivati da essi è stabilito in
mesi sei.

Comma 5. Nel caso che il gestore di raccolte dati automatizzate
non provveda alla cancellazione dei dati nei tempi stabiliti,  od
elabori, conservi e trasmetta a terzi, sarà soggetto alle stesse
sanzioni previste dalla legge Legge 675/96 e successive modifiche
ed integrazioni.



CAPO III COMUNICAZIONE DI DATI PERSONALI RICAVATI DA RACCOLTA
AUTOMATICA DI DATI PERSONALI
(accesso a raccolte automatizzata di dati personali da parte della
magistratura e delle autorità di pubblica sicurezza)

Art. 3

Comma 1. A richiesta del Giudice competente e/o dell'Autorità di
Pubblica Sicurezza dallo stesso delegata, nell'ambito di indagine
correlate a procedimenti penali pendenti od in fase di istruzione,
il gestore di raccolte dati automatizzate è tenuto a fornire i
dati provenienti da raccolte automatizzate di dati personali per i
soli scopi previsti dalla richiesta.

Comma 2. Nel regolamento attuativo della legge, verranno
individuate particolari raccolte automatizzate di dati personali
di cui sarà richiesta la conservazione per periodi di tempo
determinati e non superiori a quanto disposto nell'articolo 2 comma
6.
Procedure di conservazione e di cancellazione dei dati e di
richiesta di essi da parte delle autorità saranno elencate nello
stesso regolamento attuativo.

Comma 3. È fatto esplicito divieto di richiedere consegne
generalizzate di dati che possano portare alla creazioni di banche
dati riguardanti interi gruppi di cittadini od individui.
Le richieste dovranno essere strettamente limitate ai soli dati
richiesti dai procedimenti o dalle indagini che le hanno motivate.

Comma 4. I dati trasmessi al Giudice competente e/o all'Autorità
di Pubblica Sicurezza devono essere utilizzati per i soli scopi
per i quali sono stati richiesti e non potranno essere utilizzati
per scopi diversi senza una nuova autorizzazione.
Al temine dell'impiego, tutte le copie dei dati dovranno essere
cancellate, fatto salvo quelle eventualmente necessarie per atti
obbligatori per legge.
In quest'ultimo caso i dati dovranno essere trattati ed
eventualmente resi pubblici con le stesse modalità degli atti. che
li hanno richiesti.



CAPO IV ­ DISPOSIZIONI FINALI
(regolamenti attuativi)


Art. 4

Comma 1. Entro 180 giorni dall'entrata in vigore della presente
legge, il Governo emana i regolamenti attuativi necessari alla sua
piena applicazione.



+     il  Progetto Freenet - segui il coniglio bianco        +
*     the Freenet  Project - follow the  white rabbit        *
*   Marco A. Calamari    marcoc@dada.it     www.marcoc.it *
*     PGP RSA: ED84 3839 6C4D 3FFE 389F 209E 3128 5698      *
+ DSS/DH:  8F3E 5BAE 906F B416 9242 1C10 8661 24A9 BFCE 822B +