Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

Europa - Diritto comunitario e dei Paesi europei
A cura dello Studio legale Puopolo Sistilli Geffers & Luise

Portogallo: la tutela dei dati è nella Costituzione del '77
di Laura Liguori e Gianfranco Puopolo - 07.12.2000

I. Introduzione

Nel nostro ultimo articolo abbiamo analizzato la normativa spagnola in materia di protezione dei dati personali, sottolineando come, in questo Paese, sia la stessa costituzione a riconoscere la rilevanza del diritto alla riservatezza. Ma anche il vicino Portogallo ha adottato una costituzione (nel 1977) il cui articolo 35 riconosce rilievo costituzionale alla protezione del cittadino dai pericoli dell'informatica: esso riconosce il diritto di essere informati sul contenuto e sugli scopi degli archivi elettronici, cui si accompagna il diritto di rettificare e aggiornare i dati; introduce il divieto di accesso agli archivi di dati personali, di interconnessioni tra i medesimi e di trasmissione dei dati oltre frontiera, salva espressa previsione legislativa; vieta la elaborazione dei dati sensibili, salvo si tratti di dati statistici non individualmente identificabili; proibisce l'accesso a dati personali di terzi, salvi i casi previsti dalla legge; proibisce l'attribuzione di un numero nazionale unico ai cittadini; equipara il livello di protezione dei dati personali contenuti in archivi manuali a quella predisposta dal medesimo articolo 35 per i dati informatici (www.cnpd.pt/Leis/artigo_35.htm).

Tuttavia, va evidenziato come, a differenza della costituzione spagnola, quella portoghese sia più attenta ad introdurre un nuovo concetto di riservatezza, svincolato dai canoni tradizionali, che vogliono la riservatezza collegata all'onore e all'intimità personale e familiare dei cittadini, per legarla invece più direttamente al concetto di protezione di dati personali soggetti a trattamento informatico. Inoltre, è anche il caso di sottolineare che l'articolo 18 della costituzione spagnola ha natura programmatica, in quanto si limita a fornire linee guida per il futuro intervento del legislatore, mentre l'articolo 35 della costituzione portoghese è immediatamente precettivo, in quanto non si rivolge al legislatore ma direttamente ai cittadini.

Con riferimento alla legislazione ordinaria, con la Legge 26 ottobre 1998, n. 67 relativa alla protezione dei dati personali, anche in Portogallo è stata data attuazione alla Direttiva 95/46/CE (la legge è disponibile in lingua inglese all'indirizzo www.cnpd.pt/Leis/lei_6798en.htm).


II. Principi generali

L'oggetto della legge è quello di dare attuazione alla Direttiva 95/46/CE. Il suo ambito di applicazione è piuttosto ampio, in quanto la legge si applica a dati soggetti a trattamenti automatizzati o manuali e a tutti i trattamenti effettuati in territorio portoghese, o fuori dal Portogallo ma in luoghi dove la legge portoghese debba applicarsi in base a norme di diritto internazionale, ovvero effettuati da un titolare che non è stabilito nel territorio europeo ma che utilizza macchinari situati in Portogallo, a meno che non si tratti di macchinari utilizzati solo per il transito di dati personali. La legge non trova applicazione nel caso di trattamenti effettuati dalle persone fisiche per scopi personali o nell'ambito di attività domestiche. Si specifica che la legge è applicabile anche alla cd. "videosorveglianza" e a qualsiasi altra forma di trattamento o diffusione di suoni o immagini in grado di identificare un soggetto, sempre che il titolare si trovi nel territorio portoghese o utilizzi un provider d'accesso a rete informatica o telematica ivi situato.

In base alla legge 67/98, il "responsável" del trattamento è colui (persona fisica o giuridica, privata o pubblica) che decide le modalità e gli scopi del trattamento, e corrisponde pertanto al nostro "titolare" del trattamento, in base alla Legge 675/96. Colui che materialmente effettua il trattamento per conto del titolare - il nostro "responsabile" - è definito "subcontratante" dalla legislazione portoghese. A queste due figure si affianca il "terceiro", corrispondente all'"incaricato" italiano, che invece è colui che ha ricevuto l'autorizzazione a trattare i dati dal titolare o dal responsabile.

Anche in base alla legislazione portoghese i dati devono essere trattati legittimamente e in buona fede, raccolti per scopi specifici e legittimi, e devono essere adeguati e non eccedenti gli scopi per cui sono raccolti o trattati, accurati, mantenuti in modo tale da non consentire l'identificazione dell'interessato per un tempo non necessario rispetto agli scopi per cui sono stati raccolti o trattati.

Conformemente ai principi stabiliti a livello europeo, i dati possono essere trattati con il consenso non equivoco dell'interessato, salve specifiche ipotesi in cui tale consenso non è richiesto, e il trattamento è necessario per l'esecuzione di obblighi contrattuali, l'adempimento di obblighi di legge, per la tutela dell'interessato che sia incapace di dare il proprio consenso, per la tutela di interessi pubblici, per la tutela di interessi legittimi del titolare o di un terzo a cui i dati siano stati resi noti, a meno che non si contrappongano i diritti superiori dell'interessato.

Il trattamento di dati sensibili è proibito, a meno che la legge o la Commissione Nazionale per la Protezione dei Dati (Comissão Nacional de Protecção de Dados - CNPD, www.cnpd.pt) non lo ammetta, in presenza di un interesse pubblico, per permettere al titolare di esercitare un proprio diritto riconosciuto dalla legge ovvero quando l'interessato abbia dato il proprio esplicito consenso al trattamento. I dati sensibili sono, come sempre, quelli che rivelano le preferenze politiche o filosofiche, l'appartenenza a un partito politico o a sindacati, le abitudini religiose e private, le origini razziali o etniche, nonché i dati relativi alla salute e alla vita sessuale, inclusi i dati genetici.

La legge portoghese definisce e disciplina, a differenza della normativa italiana, la "combinazione di dati personali", ovvero quei trattamenti che consistono nella possibilità di correlare dati personali contenuti in un archivio personale con quelli contenuti in un archivio gestito da un titolare diverso o gestito dallo stesso titolare ma per scopi diversi. La combinazione di dati dovrà essere autorizzata dal CNPD, su richiesta del titolare o dei titolari degli archivi coinvolti. Questo trattamento, inoltre, dovrà essere necessario per la tutela di un interesse del titolare, ma non potrà risolversi in un trattamento discriminatorio ovvero in una riduzione dei diritti e delle libertà fondamentali degli interessati, e dovrà altresì svolgersi con l'adozione di misure di sicurezza adeguate.

La legislazione elenca in maniera accurata i diritti dell'interessato, riprendendo quelli indicati dalla Direttiva 95/46/CE e pertanto senza discostarsi molto neppure dalla legislazione italiana.


III. Misure di sicurezza

Quanto alle misure di sicurezza, la Legge 67/98, conformemente alla Direttiva 95/46/CE, prevede l'obbligo per il titolare di adottare le misure idonee ad evitare la distruzione accidentale o illegittima dei dati, nonché la loro perdita, alterazione, o l'accesso non autorizzato da parte di terzi, in particolare quando questi dati siano trasmessi attraverso un network.

Quando il titolare individua un responsabile del trattamento, deve assicurarsi che questo abbia adottato misure di sicurezza adeguate. Inoltre i rapporti tra questi due soggetti dovranno essere regolati da un contratto in base al quale il responsabile si impegna a realizzare le suddette misure di sicurezza e ad agire sempre in conformità alle istruzioni del titolare.

La legge portoghese, inoltre, richiede particolari misure di sicurezza per la protezione dei dati sensibili. Come sappiamo in Italia queste particolari misure non sono individuate dalla legge 675/96, ma da un regolamento che dovrebbe successivamente essere aggiornato con cadenza almeno biennale (il Regolamento 318/99, che impone l'adozione di tali misure entro certi termini - successivamente prorogati - e con modalità specifiche). La legge portoghese non individua le misure in maniera specifica, ma indica i risultati che tali misure devono garantire, con ciò fornendo indicazioni di fondamentale importanza per i titolari e i responsabili: in particolare, le misure devono evitare l'accesso a persone non autorizzate nei luoghi dove i dati vengono trattati, la possibilità per soggetti non autorizzati di copiare, accedere, rimuovere i dati oggetto di trattamento, consentire il controllo dell'input (cioè della possibilità di eliminare, modificare e conoscere i dati trattati), consentire il controllo sull'uso dei dati trattati, sull'accesso ai dati, sulla trasmissione (con riguardo ai soggetti a cui i dati vengono trasmessi), sul trasporto dei dati attraverso i relativi supporti (evitare che possano verificarsi copie, modifiche, cancellazioni non autorizzate). Si stabilisce altresì che, nel caso in cui la circolazione di dati sensibili possa ritenersi pericolosa per i diritti e le libertà fondamentali dell'interessato, il CNPD potrà stabilire che la trasmissione avvenga in forma codificata.

Un'altra disposizione che differenzia la normativa portoghese rispetto a quella italiana è il divieto per gli incaricati dal responsabile o dal titolare di effettuare trattamenti se non da questi specificamente autorizzati e secondo le istruzioni degli stessi, a meno che l'autorizzazione non sia contenuta in una legge. La legge italiana non prevede un obbligo di riservatezza da parte del titolare o di chi sia venuto in altro modo a conoscenza di dati personali in ragione delle proprie funzioni, come avviene invece nelle legislazioni di altri paesi europei come la Spagna o anche il Portogallo. La legge 67/98 introduce il segreto professionale per questi soggetti, così come per i membri del CNPD e per i suoi dipendenti e collaboratori.

IV. Autorità di controllo

L'autorità preposta al controllo relativo all'applicazione della legge è il CNPD, il quale è organo indipendente con poteri investigativi, regolamentari e consultivi in materia di protezione dei dati personali. Questa autorità ha anche il compito di ricevere le notifiche da parte dei titolari dei trattamenti e di autorizzare determinati trattamenti.

Quanto alla notifica, in base alla normativa portoghese, essa è necessaria solo per i trattamenti interamente o parzialmente automatizzati. Solo i trattamenti manuali di dati sensibili effettuati da un titolare situato nel territorio portoghese dovranno esser notificati al CNPD. Anche nell'ordinamento portoghese il CNPD può prevedere esenzioni dall'obbligo di notifica per determinate categorie di dati ovvero autorizzare la notifica in forma semplificata. E' la legge stessa ad esimere dall'obbligo di notifica i trattamenti effettuati al solo scopo di realizzare un registro che in base alla legge è destinato a fornire informazioni al pubblico e che è liberamente accessibile al pubblico o a persone che dimostrino un legittimo interesse.

L'autorizzazione del CNPD è necessaria per i trattamenti di dati sensibili, per i trattamenti relativi alla solvenza e alla situazione finanziaria dell'interessato, per i trattamenti consistenti in combinazione di dati, per l'uso di dati personali per scopi che non ne rendono necessaria la raccolta. Nel caso in cui, nelle ipotesi sopra indicate, sia la legge a prevedere l'autorizzazione al trattamento, non sarà necessaria l'autorizzazione del CNPD.