Codice in materia di protezione dei dati personali
Il codice in materia di protezione dei dati personali (informalmente noto anche come codice della privacy) è un testo unico italiano che contiene le norme nazionali relative alla tutela dei dati personali.
Codice in materia di protezione dei dati personali | |
---|---|
Titolo esteso | Codice in materia di protezione dei dati personali |
Tipo legge | Testo Unico |
Promulgazione | 1º gennaio 2004 |
Testo | |
Normattiva |
In vigore dal 2004[1], è stato profondamente modificato nel 2018[2], per adeguare la normativa italiana a quella dell'Unione europea in seguito all'approvazione nel 2016 del Regolamento generale sulla protezione dei dati (GDPR).[3][4][5]
Storia
modificaPrima di una specifica normativa l'unica tutela era fornita dalla giurisprudenza della Suprema Corte di Cassazione; per rispettare gli accordi di Schengen e per dare attuazione alla direttiva dell'Unione Europea 95/46/CE del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali venne emanata la legge 31 dicembre 1996 n. 675, che entrò in vigore nel maggio 1997.
Con il passare del tempo a tale norma si erano affiancate ulteriori leggi, riguardanti singoli e specifici aspetti del trattamento dei dati. La sopravvenuta complessità normativa creatasi in seguito all'approvazione di diverse disposizioni portò all'emanazione del d.lgs 30 giugno 2003, n. 196 che ha riordinato interamente la materia. Nel 2011 e 2012 altre disposizioni hanno emendato il codice del 2003, in particolare abolendo alcuni passaggi burocratici (tipo il DPS) e taluni limiti al trattamento di informazioni sensibili fornite spontaneamente mediante il proprio CV.
In data 25 gennaio 2012 la Commissione Europea ha approvato la proposta di un regolamento sulla protezione dei dati personali,[6] in sostituzione della direttiva 95/46/CE. Il 4 maggio 2016 è stato poi emanato il regolamento dell'Unione Europea n. 2016/679 denominato Regolamento generale sulla protezione dei dati (direttamente applicabile senza necessità di una legge di recepimento nei singoli Stati membri), in vigore dal 24 maggio 2016 e la cui applicazione definitiva è avvenuta il 25 maggio 2018.
Generalità
modificaIn tale corpo normativo i diritti tutelati vengono bilanciati con altri diritti di pari rango, contemplati in Costituzione, quali il diritto a un'equa retribuzione (art. 36[7]), e il diritto di difesa (art. 24[8]). L'effettività di questi diritti richiede la possibilità di accesso e di consultazione dei documenti aziendali, per produrre le prove necessarie ad esempio a dimostrare la qualità e quantità del lavoro svolto, ovvero la propria estraneità ai fatti imputati.
In questo senso, il principio del pari rango regolamenta la stessa problematica di accesso e consultazione, nel settore pubblico. Essendo il datore di lavoro l'unico soggetto avente titolo, in quanto proprietario e gestore dei sistemi informatici e di archiviazione, esiste l'eventualità concreta di creazione, eliminazione o modifica senza traccia di informazioni e azioni dell'utente sul sistema prima della loro acquisizione in sede processuale, e la difficoltà di una loro ricostruzione ex-post.
Struttura
modificaIl Testo unico sulla privacy si componeva di tre parti e tre allegati, secondo il seguente schema:
- disposizioni generali (art. 1-45) relativi alle regole "sostanziali" della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche per i trattamenti effettuati da soggetti pubblici o privati (art. 6);
- disposizioni particolari per specifici trattamenti (art. 46-140) ad integrazione o eccezione alle disposizioni generali della parte I;
- le disposizioni relative alle azioni di tutela dell'interessato e al sistema sanzionatorio (artt. 141-186).
Al testo seguivano tre allegati:
- allegato A, relativo ai codici di condotta;
- allegato B, concernente il disciplinare tecnico in materia di misure minime di sicurezza;
- allegato C, sui trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia.
L'attuale struttura del Codice in materia di protezione dei dati personali, dopo l'intervento di riordino adottato con il D.lgs. n. 101/2018 in seguito alla piena applicazione del Regolamento generale sulla protezione dei dati, è la seguente (i Titoli e i Capi non menzionati sono stati interamente abrogati):
PARTE I DISPOSIZIONI GENERALI
Titolo I - Principi e disposizioni generali Capo I - Oggetto, finalità e Autorità di controllo Capo II – Principi Capo III - Disposizioni in materia di diritti dell'interessato Capo IV - Disposizioni relative al titolare del trattamento e al responsabile del trattamento
PARTE II DISPOSIZIONI SPECIFICHE PER I TRATTAMENTI NECESSARI PER ADEMPIERE AD UN OBBLIGO LEGALE O PER L'ESECUZIONE DI UN COMPITO DI INTERESSE PUBBLICO O CONNESSO ALL'ESERCIZIO DI PUBBLICI POTERI NONCHÈ DISPOSIZIONI PER I TRATTAMENTI DI CUI AL CAPO IX DEL REGOLAMENTO
TITOLO 0.1 - (Disposizioni sulla base giuridica) Capo II - Minori Capo III - Informatica giuridica
Titolo III – Difesa e sicurezza dello Stato
Titolo IV - Trattamenti in ambito pubblico Capo I - Accesso a documenti amministrativi Capo II - Registri pubblici e albi professionali
Titolo V - Trattamento di dati personali in ambito sanitario Capo I – Principi generali Capo II - Modalita' particolari per informare l'interessato e per il trattamento dei dati personali Capo IV - Prescrizioni mediche Capo VI - Disposizioni varie
Titolo VI – Istruzione Capo I - Profili generali
Titolo VII - Trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici Capo I - Profili generali Capo II - Trattamento a fini di archiviazione nel pubblico interesse o di ricerca storica Capo III - Trattamento a fini statistici o di ricerca scientifica
TITOLO VIII - Trattamenti nell’ambito del rapporto di lavoro Capo I - Profili generali Capo II - Trattamento di dati riguardanti i prestatori di lavoro Capo III - Controllo a distanza, lavoro agile e telelavoro Capo IV - Istituti di patronato e di assistenza sociale
Titolo IX - Altri trattamenti in ambito pubblico o di interesse pubblico Capo I – (Assicurazioni)
Titolo X - Comunicazioni elettroniche Capo I - Servizi di comunicazione elettronica
Titolo XII - Giornalismo, libertà di informazione e di espressione Capo I - Profili generali Capo II - Regole deontologiche relative ad attività giornalistiche e ad altre manifestazioni del pensiero
PARTE III TUTELA DELL'INTERESSATO E SANZIONI
Titolo I - Tutela amministrativa e giurisdizionale Capo 0.I Alternatività delle forme di tutela Capo I - Tutela dinanzi al Garante Capo II - Tutela giurisdizionale
Titolo II - Autorità di controllo indipendente Capo I - Il Garante per la protezione dei dati personali Capo II – L’Ufficio del Garante Capo III - Accertamenti e controlli
Titolo III – Sanzioni Capo I – Violazioni amministrative Capo II - Illeciti penali
Titolo IV - Disposizioni modificative, abrogative, transitorie e finali Capo I - Disposizioni di modifica Capo III - Abrogazioni Capo IV - Norme finali
Regole deontologiche - Allegato A
A.1 - “Regole deontologiche relative al trattamento dei dati personali nell'esercizio dell'attività giornalistica” (G.U. del 4 gennaio 2019, n. 3);
A.2 - Regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria (G.U. del 15gennaio 2019, n. 12).
A.3 - Regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica (G.U. del 15gennaio 2019, n. 12);
A.4 - "Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell'ambito del Sistema statistico nazionale" (G.U. del 14 gennaio 2019, n. 11);
A.5 - “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica” (G.U. del 14 gennaio 2019, n. 11).
Dalla data di pubblicazione in Gazzetta ufficiale delle “Regole deontologiche”, hanno cessato di trovare applicazione i corrispondenti codici di deontologia riportati negli allegati A1, A2, A3, A4 e A6 del Codice, ai sensi di quanto disposto dall’art. 20, comma 4, del decreto legislativo 10 agosto 2018, n. 101.
Gli allegati B e C sono stati abrogati dall’art. 27, comma 1, lett. d), del decreto legislativo 10 agosto 2018, n. 101.
Contenuto
modificaIl D.Lgs 196/2003 abrogò la precedente legge 675/96, che era stata introdotta per rispettare gli accordi di Schengen ed era entrata in vigore nel maggio 1997. Con il tempo, data la tipica stratificazione normativa che si produce nei sistemi giuridici a tradizione civilista (tra cui quello italiano), a tale norma si erano affiancate numerose altre disposizioni concernenti specifici aspetti del trattamento dei dati, che sono state conglobate nel Testo Unico vigente, il Codice in materia di protezione dei dati personali appunto, entrato in vigore il 1º gennaio 2004.
Sull'applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, istituita sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003. Il decreto legislativo integra oggi, a livello nazionale, il Regolamento generale sulla protezione dei dati, tutelando il diritto della singola persona fisica sui propri dati personali.
All'art. 1 del Testo Unico si stabilisce che il trattamento dei dati personali debba avvenire secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, Regolamento generale sulla protezione dei dati, e del Codice stesso, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona. Tale diritto pertiene ai diritti della personalità.
Definizioni e rinvio al GDPR
modificaIl Testo unico fece chiarezza fornendo precise definizioni all'art. 4 (oggi abrogate dopo l'intervento del D.lgs. 101/2018). Le definizioni rilevanti, per la disciplina in materia di protezione dei dati personali, sono ormai contenute direttamente nell'art. 4 del Regolamento generale sulla protezione dei dati, noto anche come "GDPR" (acronimo inglese di "General Data Protection Regulation").
Liceità del trattamento
modificaLe basi giuridiche e le condizioni di liceità del trattamento dei dati personali sono oggi fissate negli articoli da 6 a 10 del Regolamento generale sulla protezione dei dati. Talune condizioni di liceità sono ancora previste, in via aggiuntiva, a livello nazionale, per quanto concerne i trattamenti di dati per adempimento di obblighi legali o per lo svolgimento di compiti d'interesse pubblico o l'esercizio di pubblici poteri, nonché negli ambiti della ricerca scientifica o storica, delle attività statistiche, dell'archiviazione nel pubblico interesse, della sanità e dei dati relativi alla salute, genetici o biometrici, dell'accesso ai documenti pubblici, dei rapporti di lavoro (articoli 2-ter, 2-quater, 2-sexies, 110, 110-bis del Codice).
I diritti riconosciuti
modificaI diritti degli interessati (persone fisiche cui si riferiscono i dati) in materia di protezione dei dati personali sono oggi contenuti nel Regolamento generale sulla protezione dei dati, agli articoli da 15 a 22. Da notare che il Codice in materia di protezione dei dati personali estende, a livello nazionale, l'ambito di applicazione dei diritti in caso di persone decedute (altrimenti non ricomprese nel perimetro applicativo del GDPR): si stabilisce, all'art. 2-terdecies, che i diritti di cui agli articoli da 15 a 22 del Regolamento generale sulla protezione dei dati riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.
Le persone giuridiche
modificaIl codice sino al 2011 riguardava sia persone fisiche sia persone giuridiche. Infatti, la definizione recitava "qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale". Questo ha comportato che anche per imprese e assimilabili si siano applicati i relativi adempimenti (classicamente per i dati di anagrafica aziendale, contatti, ecc.). Invece, il D.L. 201/2011, convertito nella L. 214/2011 (c.d. decreto “Salva Italia”), in ottica di sburocratizzazione, ha, tra le altre cose, limitata l'applicazione alle sole persone fisiche (ivi compreso l'ambito professionale o assimilabile), eliminando l'obbligo di implementazione per i dati di imprese, enti e associazioni (soggetti con personalità giuridica diversi dalle persone fisiche)[9]. Invece, nulla è cambiato per le informazioni relative a ditte individuali in quanto l'identità personale coincide con quella professionale.
Per dato di una persona giuridica (esempio Alfa S.p.A.) s'intendono i dati propri dell'entità Alfa S.p.A., e non i dati personali delle persone fisiche trattati, posseduti da Alfa S.p.A. Chiaramente, buona parte dei dati di un'impresa sono pubblici (uno dei motivi per cui si è eliminato dal codice nel 2011 la copertura per i dati delle persone giuridiche).
La tutela
modificaIn caso di lesione nei diritti sui propri dati a mente del Regolamento generale sulla protezione dei dati e del Codice in materia di protezione dei dati personali (ad esempio: raccolta dei dati senza il consenso, acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso ai dati) si può presentare reclamo al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e senza costi) o ricorrere al giudice civile (tribunale ordinario, con costi e tempi maggiori, secondo il rito del lavoro come previsto dall'art. 10 del D.lgs. 150/2011). Se si è subito un danno materiale o immateriale per trattamento dei dati personali non conforme alla legge, il risarcimento può essere concesso in via esclusiva solo dal giudice civile.
Responsabilità e sanzioni
modificaVi possono essere:
- Responsabilità civili (ai sensi dell'art. 82 Regolamento generale sulla protezione dei dati): chiunque subisca un danno materiale o immateriale causato da una violazione della disciplina in materia di protezione dei dati personali ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile. Vale anche per i danni non patrimoniali e morali.
- Sanzioni penali: a norma dell'articolo 167 del Codice in materia di protezione dei dati personali, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 del Codice in materia di protezione dei dati personali arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, tratta dati sensibili o giudiziari illecitamente, arrecando nocumento all'interessato, in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies del Codice o trasferisce dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del GDPR, è punito con la reclusione da uno a tre anni. In caso di comunicazione o diffusione illecita di un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, ricorrendo il dolo specifico della volontà di profitto o di arrecare un danno, la pena è della reclusione da un anno a sei anni, ai sensi dell'articolo 167-bis del Codice. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni, ai sensi dell'articolo 167-ter del Codice in materia di protezione dei dati personali.
- Sanzioni amministrative (art.83 del Regolamento generale sulla protezione dei dati e art. 166 del Codice in materia di protezione dei dati personali): ai sensi dell'art. 83 paragrafo 4 del Regolamento generale sulla protezione dei dati (GDPR) la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43 GDPR; b) gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43 GDPR; c) gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4 GDPR. Ai sensi dell'art. 83 paragrafo 5 del Regolamento generale sulla protezione dei dati (GDPR), la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a) i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9 GDPR; b) i diritti degli interessati a norma degli articoli da 12 a 22 GDPR; c) i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49 GDPR; d) qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX GDPR; e) l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1 GDPR.
Analisi
modificaIl testo normativo introdotto nel 2003 rappresentò sicuramente un'innovazione giuridica, derivante dal recepimento in unico decreto legislativo delle norme contenute nella Direttiva CE 95/46 (la direttiva "madre" della protezione dei dati personali in UE) e nella Direttiva CE 2002/58 in materia di privacy nel settore delle comunicazioni elettroniche. Con il nuovo testo il legislatore si orientò verso un'ottica di circolazione dei dati e si prefisse l'obbiettivo di raggiungere il generale bilanciamento di interessi tra titolare del trattamento, ovvero colui che ha un interesse a ricevere ed elaborare i dati, determinando finalità e modalità del trattamento, e l'interessato, ovvero la persona fisica cui si riferiscono i dati. Con questo semplice ma determinante principio il diritto alla privacy transita da una precedente visione di diritto ad essere lasciati in pace ad una visione totalmente innovativa, di autodeterminazione informativa e di controllo sui propri dati anche quando essi non sono riservati. Buona parte del Codice in materia di protezione dei dati personali è oggi abrogata, dopo l'intervento di adeguamento al Regolamento generale sulla protezione dei dati operato con il D.lgs. 101/2018.
Il diritto alla riservatezza è diverso rispetto al diritto alla protezione dei dati personali, perché quest'ultimo non riguarda solamente informazioni riservate o circa la propria vita privata, ma più in generale ingloba nelle tutele ogni informazione relativa ad una persona fisica, pure se non coperta da riserbo (sono dati personali ad esempio il nome o l'indirizzo della propria abitazione).
Lo scopo della normativa è quello di evitare che il trattamento dei dati avvenga illecitamente, per esempio senza il consenso dell'avente diritto, ovvero in modo da recargli pregiudizio.
La disciplina complessiva della protezione dei dati personali, declinata a livello nazionale dal Codice in materia di protezione dei dati personali, integra quella europea in particolare per quanto attiene alle basi giuridiche del trattamento di dati per adempimento di obblighi legali o per lo svolgimento di compiti d'interesse pubblico o l'esercizio di pubblici poteri. Il Codice prevede, inoltre, norme penali (artt. 167-172), norme in materia di e-privacy (privacy nel settore delle comunicazioni elettroniche, di recepimento della Direttiva CE 2002/58), nonché in materia di protezione dei dati personali negli ambiti della ricerca scientifica o storica, delle attività statistiche, dell'archiviazione nel pubblico interesse, della sanità e dei dati relativi alla salute, genetici o biometrici, dell'accesso ai documenti pubblici, dei rapporti di lavoro.
Il dibattito
modificaLa giurisprudenza
modificaIn Italia a partire dal 1997 (con l'emanazione delle norme che facevano riferimento alla protezione dei dati personali) si è sviluppata l'errata consuetudine di etichettare la normativa con la dicitura "legge sulla privacy". Nel rispetto del principio "Vox populi, vox Dei" tale prassi è stata tollerata se non incoraggiata implicitamente dall'allora Presidente dell'autorità Garante Stefano Rodotà. Tale definizione, spesso oggetto di critiche, non dà conto delle finalità reali ed ermeneutiche della normativa che sono quelle ristrette a garantire che il trattamento dei dati personali avvenga secondo certi limiti e non quelle di difendere la sfera complessiva del diritto alla riservatezza del cittadino.[senza fonte]
La succitata dicitura "legge sulla privacy" risulta quantomeno impropria, come osservò il Tribunale di Milano - Sez. I civile con il Decreto 27 settembre 1999 decidendo sul caso Olcese vs Corriere della Sera scrisse: "... omissis ... 2. In proposito, occorre innanzitutto affermare, in dissenso con quanto da taluno pure sostenuto in sede di primo commento, che la l. 675/96 - ancorché conclami in preambolo la “finalità” di garantire il “rispetto dei diritti, delle libertà fondamentali nonché della dignità” della persona, “con particolare riguardo alla riservatezza ed all'identità personale” (cfr. il titolo dell'art. 1 ed il contenuto del relativo 1º comma) - non può essere né riguardata alla stregua di un vero e proprio “statuto generale della persona” né ritenuta più accentuatamente rivolta alla tutela della persona che alla disciplina sul trattamento dei dati. Simili impostazioni appaiono, infatti, inficiate da un vizio di prospettiva, giacché confondono aspetti diversi e concettualmente infungibili, quali la ratio della normativa (ruolo, nella specie, testualmente assegnato alla protezione dei fondamentali diritti della persona: cfr. la rubrica ed il 1º comma dell'art. 1) e la sua sfera di operatività (nella specie, univocamente identificabile, alla luce del titolo e della complessiva disciplina della legge, nel fenomeno del “trattamento dei dati personali”); aspetti diversi, che solo complementarmente integrandosi concorrono a definire compiutamente il bene giuridico oggetto della tutela accordata: i diritti fondamentali della persona con specifico, ed esclusivo, riferimento alle implicazioni inerenti all'attività di “trattamento di dati personali”[10]
Il rischio del trattamento
modificaIl trattamento di dati personali può costituire un rischio, anche elevato, nei confronti dei diritti e delle libertà degli interessati.
Per questa ragione il Regolamento generale sulla protezione dei dati (GDPR) pone particolare attenzione al tema della sicurezza del trattamento dei dati personali, inserendo fin dall'inizio la garanzia di una adeguata sicurezza tra i principi generali applicabili al trattamento dei dati, ed individua con precisione i principi della necessità di assicurare la protezione dei dati fin dalla progettazione (prevedendosi al riguardo che il titolare del trattamento debba mettere in atto, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, misure tecniche e organizzative adeguate al fine di attuare in modo efficace i principi di protezione dei dati) e per impostazione predefinita (il titolare del trattamento è tenuto ad attuare misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento, in relazione alla quantità dei dati personali raccolti, alla portata del trattamento, al periodo di conservazione, garantendo in particolare che i dati personali trattati non siano resi accessibili a un numero indefinito di persone fisiche senza l'intervento della persona fisica).
Il GDPR impone al titolare del trattamento l'effettuazione di una valutazione preventiva (prima, cioè, di potere legittimamente avviare il trattamento) dell'impatto del trattamento previsto sulla protezione dei dati personali in tutti quei casi in cui il trattamento che si intende svolgere preveda, in particolare, l'uso di nuove tecnologie e possa costituire un rischio elevato per i diritti e le libertà delle persone fisiche in considerazione della natura, dell'oggetto, del contesto e delle finalità del trattamento. La valutazione può essere condotta anche in relazione ad un insieme di trattamenti simili che presentino rischi elevati analoghi.
Allo stesso modo il regolamento europeo stabilisce che il titolare ed il responsabile del trattamento debbano adottare idonee ed opportune misure tecniche e organizzative al fine di garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
L'articolo 82 del GDPR, infine, disciplina il diritto al risarcimento di chiunque abbia subito un danno materiale o immateriale a causa di una violazione del regolamento unionale, ponendo corrispettivamente in capo al titolare del trattamento la responsabilità per il danno cagionato da un trattamento svolto in violazione delle prescrizioni del GDPR.
Anche il responsabile del trattamento può essere responsabile del danno cagionato, ove non abbia adempiuto agli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Sia il titolare che il responsabile del trattamento sono esonerati dalla responsabilità del danno se dimostrano che l'evento dannoso non è in alcun modo imputabile ad essi.
Normativa abrogata
modifica- Legge n. 675 del 1996 (Questa legge è stata abrogata e sostituita dal Dlgs n. 196/2003)
La 675/1996 venne accompagnata da numerose altre leggi, decreti legislativi, decreti del presidente della repubblica e regolamenti:
- Legge 676/1996, 31 dicembre 1996: Legge delega;
- D.L. n.135, 11 maggio 1999: Disposizioni integrative sul trattamento di dati sensibili da parte dei soggetti pubblici;
- D.L. n.281, 30 luglio 1999: Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica;
- D.L. n.282, 30 luglio 1999: Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario;
- D.P.R. n.318, 28 luglio 1999: Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali;
- Provvedimento del Garante per la protezione dei dati personali, n.1/P/2000: Individuazione dei dati sensibili da parte dei soggetti pubblici.
Evoluzione normativa
modificaIl 15 dicembre 2015 la Commissione Europea ha trovato l'accordo con il Parlamento e con il Consiglio UE per un testo unico sulla privacy che armonizza le normative degli Stati membri. L'accordo è composto da:
- una Direttiva sulla Protezione dei Dati (Data Protection Directive) per le forze di polizia e la magistratura;
- un Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR), immediatamente esecutivo in tutta l'Unione Europea. È istituita un'unica autorità di vigilanza europea, si applica anche alle imprese con sede estera e operanti nell'Unione Europea, è previsto un tempo di adeguamento di due anni, e per le imprese non conformi sanzioni dal 2 al 4% del fatturato annuo.
Il Regolamento introduce il diritto all'oblio, il diritto alla portabilità dei dati fra diversi Service Provider, il diritto alla notifica dell'accesso abusivo di terzi a dati personali e sensibili particolarmente importanti.
Le piccole e medie imprese (SME) non hanno più l'obbligo del responsabile della protezione dei dati (data protection officer), né l'obbligo di effettuare la valutazione dell'impatto (Privacy Impact Assessment), a meno che non esista un rischio operativo non trascurabile.
Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679), che è applicato definitivamente a decorrere dal 25 maggio 2018.
Revisione del codice
modificaIl D.Lgs. 101/2018 (cosiddetto "decreto privacy") che recepisce formalmente il GDPR nella normativa italiana, in vigore dal 19 settembre 2018, da alcuni definito nuova privacy, ha novellato profondamente il codice 196 che, comunque, è in corso di validità per gli specifici articoli non esplicitamente abrogati dal detto decreto[11]. Infatti, il comma 6 dell'art. 22 recita:
"Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili."
Nel dettaglio il decreto ha abrogato i titoli, capi, sezioni, articoli e allegati del codice in materia di protezione dei dati personali, di seguito elencati:
a) alla parte I:
1) gli articoli 3, 4, 5 e 6;
2) il titolo II, il titolo III, il titolo IV, il titolo V, il titolo VI e il titolo VII;
b) alla parte II:
1) il capo I del titolo I;
2) i capi III, IV e V del titolo IV;
3) gli articoli 76, 81, 83 e 84;
4) il capo III del titolo V;
5) gli articoli 87, 88 e 89;
6) il capo V del titolo V;
7) gli articoli 91, 94, 95, 98, 112, 117, 118 e 119;
8) i capi II e III del titolo X, il titolo XI e il titolo XIII;
c) alla parte III:
1) la sezione III del capo I del titolo I;
2) gli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis,165 e 169;
3) gli articoli 173, 174, 175, commi 1 e 2, 176, 177, 178 e 179;
4) il capo II del titolo IV;
5) gli articoli 184 e 185;
d) gli allegati B e C.
Pertanto, seppur radicalmente emendato dagli articoli del GDPR, il codice 196/2003 rimane in vigore nella legislazione italiana, grazie al decreto 101/2018[12].
Da settembre 2018 la citazione del codice 196/2003 nelle informative privacy è formalmente non corretta dato che gli articoli applicabili (in particolare l'art. 13) sono stati aboliti.
Note
modifica- ^ Decreto legislativo 30 giugno 2003, n. 196
- ^ Decreto Legislativo 10 agosto 2018, n. 101 - Gazzetta Ufficiale, su gazzettaufficiale.it. URL consultato il 1º luglio 2019.
- ^ Il Gdpr è in vigore, senza il decreto italiano: che succede ora
- ^ GDPR, tutto ciò che c’è da sapere per essere in regola
- ^ Privacy, cosa cambia con il nuovo disegno di decreto. Maggiore flessibilità nel trattamento dei dati particolari
- ^ News Garante per la protezione dei dati personali del 7 febbraio 2012
- ^ InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente, su interlex.it. URL consultato il 3 luglio 2019.
- ^ InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente, su interlex.it. URL consultato il 3 luglio 2019.
- ^ Associazione Consumatori. Assistenza, reclami e soluzioni ai problemi.
- ^ Tribunale di Milano - Decreto 27 settembre 1999
- ^ Nuova Privacy, da oggi in vigore: ecco il Decreto in Gazzetta
- ^ Testo codice 196/2003 rev. settembre 2018
Voci correlate
modifica- Dati personali
- Incaricato del trattamento dei dati
- Misure minime di sicurezza
- Normativa italiana sulla privacy informatica
- Policy sui dati sensibili
- Regolamento generale sulla protezione dei dati
- Registro delle opposizioni
- Responsabile della protezione dei dati
- Responsabile del trattamento dei dati
- Trattamento dei dati personali
Collegamenti esterni
modifica- Sito dell'autorità garante, su garanteprivacy.it.
- Decreto legislativo 30 giugno 2003, n. 196, in materia di "Codice in materia di protezione dei dati personali"
- Decreto legislativo 30 giugno 2003, n. 196 aggiornato al D.lgs 101/2018, su cyberlaws.it
- General Data Protection Regulation (EU) 2016/679, pubblicato in Gazzetta Ufficiale in data 4 Maggio 2016
- EU regolamento generale sulla protezione dei dati (EU-RGPD), su PrivazyPlan