Il decreto legislativo 28 dicembre 2001 n. 467 ha apportato alcune integrazioni e correzioni alle norme in materia di trattamento di dati personali e dati sensibili; viene così completato il recepimento della Direttiva comunitaria 95/46, iniziato nel 1996 con l’emanazione delle leggi n. 675 e n. 676 con le quali è stata introdotta nel nostro Paese una normativa a garanzia della privacy.

Rammentiamo che la Direttiva 95/46 definisce:

• dati personali, "qualsiasi informazione concernente una persona fisica, identificata o identificabile attraverso un numero di identificazione o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale". La legge italiana 675/96, considerata la "madre" della normativa sulla privacy, ha ampliato la definizione comunitaria di dati personali estendendola a "qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione";
• dati sensibili, quelli idonei a rivelare l’origine razziale o etnica, le convinzioni religiose, le opinioni politiche, l’ade-sione a partiti politici, organizzazioni sindacali o di categoria e altre associazioni nonché quelli riguardanti le condizioni di salute e la vita privata di una persona.
  

In breve, un numero di telefono o un indirizzo postale sono esempi di dati personali; le informazioni contenute in una cartella clinica o in un certificato medico sono esempi di dati sensibili.
Tra le novità apportate dal decreto legislativo n. 467/2001 si segnala, in primo luogo, la riduzione dei casi di obbligo della notificazione al Garante della privacy, che è richiesta solo se il trattamento dei dati (personali o sensibili) è suscettibile di arrecare pregiudizio ai diritti e alle libertà dell’interessato; in particolare, dal 1° febbraio 2002, con riferimento all’utilizzo di dati personali che servono per adempiere a obblighi contrattuali e precontrattuali, le banche e le imprese di assicurazione non devono più chiedere il preventivo consenso dell’interessato. Il consenso dell’interessato non è, inoltre, necessario se il trattamento dei dati è effettuato allo scopo di perseguire un interesse legittimo del titolare o di un terzo destinatario dei dati.

Per il trattamento dei dati sensibili effettuato da associazioni, enti o organismi senza scopo di lucro (anche non riconosciuti), partiti, movimenti politici, confessioni e comunità religiose, viene stabilito che non è più necessario il benestare dell’interessato, ma una preventiva autorizzazione da parte del Garante della privacy. Inoltre, il consenso non occorre quando il trattamento dei dati sensibili è indispensabile per la salvaguardia della vita dell’interessato oppure quando i dati stessi sono utilizzati per investigazioni.

Alle categorie di dati finora prese in considerazione dal legislatore italiano — dati personali e dati sensibili — se ne aggiunge un’ulteriore formata dai dati quasi-sensibili, ossia da dati che presentano caratteristiche intermedie tra quelli delle due preesistenti categorie; si tratta di informazioni più "delicate" rispetto ai dati personali ma, al tempo stesso, meno "riservate" dei dati sensibili.

Infine, viene stabilito che, entro il mese di giugno 2002, il Garante della privacy dovrà emanare codici di deontologia per regolamentare il trattamento dei dati personali in determinati settori e ambiti di attività, quali operazioni via Internet, rapporti di lavoro e previdenziali, direct marketing, banche dati pubbliche, centrale rischi.