In Italia il primo atto normativo con cui si è tentato di fare ordine nella materia nella protezione dei dati personali e di seguire le indicazioni della direttiva è stata la legge 31 dicembre 1996 n.675 sostituita successivamente dal cosiddetto “Codice privacy” adottato con decreto legislativo 196/2003.

La legge 675/1996 ha istituito l’autorità garante che svolge tuttora un ruolo fondamentale nell’assicurare una tutela effettiva della data privacy.

Il codice privacy detta, all’articolo 4, una vera e propria grammatica essenziale della privacy, definendo soggetti e oggetti della disciplina. La definizione di “dato personale” corrisponde in buona misura a quella della convenzione 108, in quanto informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

  1. I “dati speciali” della convenzione divengono qui invece “dati sensibili” e comprendono i dati idonei a rivelare l’origine razziale ed etnica, le condizioni religiosa, le opinioni politiche, l’adesione a partiti, sindacati, associazioni, nonché i dati personali idonei a rivelare lo stato di salute e la vita
  2. Distinti sono i “dati giudiziari”, vale a dire i dati personali idonei a rivelare i provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità dell’imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale.

I dati personali possono essere oggetto di “trattamento”: con questura espressione si intende qualunque operazione concernente “la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la diffusione di dati, anche se non registrati in una banca dati”. I protagonisti del trattamento sono quattro:

  1. Da una parte si trova l’interessato e cioè la persona fisica cui si riferiscono i dati personali.
  2. Dall’altra si trovano i tre soggetti attivi del trattamento: il primo è il “titolare” inteso come la persona fisica o giuridica cui spettano le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti. Il titolare prepone al trattamento un “responsabile”. Infine si trovano gli “incaricati”: le persone autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.

Nel titolo II del codice sono stabiliti i diritti dell’interessato: ad egli viene riconosciuto il diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, nonché il diritto di ottenere l’indicazione dell’origine di tali dati, delle finalità e delle modalità del trattamento, degli estremi identificativi del titolare e degli altri soggetti coinvolti e così via.

Inoltre, l’interessato ha diritto di ottenere sempre l’aggiornamento, la rettifica e l’integrazione dei dati: se i dati sono stati trattati in violazione di legge, egli ha anche il diritto di ottenerne la cancellazione o la trasformazione in forma anonima. Il codice prevede inoltre i casi in cui l’interessato ha il diritto di opporsi al trattamento.

Il Codice, al fine di rendere esercitabili i diritti previsti dalla direttiva, ha previsto una serie di strumenti, i più rilevanti dei quali possono essere considerati l’informativa e il consenso al trattamento: per quanto riguarda l’effettività della tutela, sono risultate fondamentali le previsioni del codice che hanno posto precisi obbligo a carico dei soggetti del trattamento, nel cui sistema la parte principale è giocata dal garante per la protezione dei dati personali.