PROTEZIONE DEI DATI PERSONALI: TRA VECCHIE E NUOVE DISPOSIZIONI

Elisa Boreatti

TAG:

[column width=”1/1″ last=”true” title=”” title_type=”single” animation=”none” implicit=”true”]

 

Sommario: Premessa; 1) Quadro normativo. 2) Focus sul GDPR. 3) E in Italia?

Premessa

Ogni persona fisica è titolare del diritto alla protezione dei dati personali e che tale diritto è sancito dall’art. 8 del Cedu (ossia dalla Convenzione Europea dei diritti dell’Uomo, art. 8), ossia di un diritto che permette a ciascun individuo di avere un controllo sulla circolazione dei propri dati (siano essi quelli che ci indentificano o ci rendono identificabili, siano essi quelli sensibili o giudiziari).

Il quadro normativo di riferimento è composito.

Abbiamo il Regolamento (UE) 2016/679 (noto anche come GDPR) che dispone in merito al trattamento dei dati personali delle persone fisiche e alla libera circolazione di tali dati e il Codice in materia di protezione dei dati personali (DLGS 196/2003) che oggi, proprio per adeguarlo alle disposizioni del GDPR, è stato modificato dal D.lgvo 101/2018 entrato in vigore lo scorso 19 settembre.

 

1.Quadro normativo

 Cosa è il GDPR?

Il Regolamento 2016/679 (Regolamento generale per la protezione dei dati personali, noto anche come GDPR), entrato in vigore il 25 maggio 2018, è la normativa europea che ha lo scopo di armonizzare la regolamentazione della materia di protezione dei dati personali (inteso come dato delle persone fisiche) in tutti gli stati membri dell’Unione europea.

Protezione dei dati personali che, giova ricordarlo, è un diritto riconosciuto dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea.

Perché il GDPR?

In un’epoca in cui la società è dominata dalla tecnologia il legislatore europeo ha ritenuto necessario dettare disposizioni stringenti per proteggere il dato personale.

E il Codice della protezione dei dati personali è ancora in vigore?

Il Codice di protezione dei dati personali di cui al D.Lgs n. 193 del 2003 rimane ancora in vigore ma viene integrato con le disposizioni del Regolamento 2016/679 (applicabili direttamente in ogni stato membro dell’Unione Europea a far data dal 25 maggio 2018) e dalle disposizioni del D. Lgs n. 101 del 10 agosto 2018 (anche noto come Decreto Privacy) entrato in vigore lo scorso 19 settembre che è volto a regolamentare aspetti che non sono già previsti dallo stesso Regolamento ovvero che questi ha demandato alla libera potestà degli Stati membri.

2) Focus sul GDPR

Quale è l’approccio del GDPR verso il “dato”?

Con il regolamento europeo si passa da una visione in cui il soggetto è proprietario del “dato” (e pertanto non era possibile il suo utilizzo senza il rilascio del preventivo consenso) ad una visione in cui rileva, invece, il controllo del e sul dato stesso.

Quale è il “dato” dell’interessato che rileva ai fini del GDPR?

E’ quello che identifica o rende identificabile l’interessato (ossia la persona fisica a cui i dati si riferiscono) o che può fornire informazioni, per esempio, sulle sue caratteristiche, la sua persona, le sue abitudini e che vengono trattati dal titolare in forza di un vincolo giuridico con l’interessato stesso. Possono quindi essere individuate le seguenti categorie di dati: sensibili, giudiziari e quelli che permettono l’identificazione diretta e indiretta.

Quale è la base giuridica che rende lecito il trattamento del dato?

Il trattamento del dato deve essere lecito, ossia deve avvenire in forza di una base giuridica (ad esempio un contratto o il consenso).

Quali le novità introdotte con il GDPR?

Tra le novità introdotte si segnalano le seguenti:

  • Vengono introdotte nuove figure nella “filiera del trattamento del dato”

-Il titolare del trattamento

E’ la persona fisica, giuridica, l’associazione, l’ente che adotta le decisioni su come devono essere trattati i dati (art. 4 GDPR)

-Il responsabile del trattamento

E’ la persona fisica o giuridica al quale il titolare affida, anche all’esterno, compiti di gestione e controllo per suo conto del trattamento dei dati.

-La figura del DPO

DPO è l’acronimo di Data Protection Officer (DPO) ed indica la persona fisica che assume un ruolo intermedio tra quello di vigilanza dei processi interni alla struttura (del titolare e del responsabile) ed il ruolo di consulenza.

  • Principio della responsabilità

Fa la sua comparsa il concetto di “responsabilità del titolare del trattamento” (cd accountability) ove il titolare ha il dovere di ” rendere conto del proprio operato”. Ma cosa vuol dire “rendere conto del proprio operato?”  Vuol dire che il titolare del trattamento se da una parte deve adottare misure che assicurano l’applicazione del Regolamento dall’altro è lasciato libero nella scelta di quelle che ritiene essere più idonee purchè sia in grado poi di giustificare le sue scelte.

  • Introdotti nuovi diritti

In sintonia con quanto sopra vengono riconosciuti all’interessato (art. 11 e 12 del Regolamento) nuovi diritti ovvero vengono connotati di una veste nuova quelli già esistenti . L’interessato in particolare può esercitare:

  • diritto all’accesso (art. 15)
  • diritto alla cancellazione (anche conosciuto come diritto all’oblio) (art. 17)
  • diritto di limitazione del trattamento (art. 18)
  • diritto alla portabilità (art. 20)

 

3) E in Italia?

Come già sopra anticipato, per armonizzare la normativa italiana (il Codice della protezione dei dati personali) con le nuove disposizioni europee è stato pubblicato il cd Decreto Privacy (D.lvo 101/2018) entrato in vigore dal 19 settembre 2018.

Lo scopo del decreto è quello di adeguare la normativa nazionale al GDPR e per questo motivo alcune disposizioni del Codice in materia di protezione dei dati personali (D.Lgs 193/2003) vengono abrogate e altre vengono modificate.

L’adeguamento riguarda sia la terminologia (ad esempio, il termine “ricorso” viene sostituito dal termine “reclamo“), sia aree specifiche. In particolare tra queste segnaliamo il trattamento dei dati particolari (sensibili, giudiziari, genetici e biometrici), l’introduzione delle sanzioni penali e amministrative volte al corretto adempimento degli obblighi derivanti dalla materia, il trattamento dei dati relativi alle persone decedute che potranno essere “ereditati” da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione. Fermo restando che l’interessato potrà (previamente) espressamente vietare questa possibilità, presentando dichiarazione scritta al titolare del trattamento, senza che ciò possa ovviamente incidere, in caso di decesso, sull’esercizio dei diritti patrimoniali di terzi o di difesa in giudizio dei relativi interessi. Ed ancora, è stato ridotto (da 16) a 14 anni il limite di età entro cui il consenso al trattamento dei dati personali dei minori deve essere esercitato da chi ne abbia la responsabilità genitoriale; non vi è più la necessità di inserire nel CV il consenso al trattamento dei dati in esso contenuti, ma chi lo riceve deve fornire informazioni previste dall’articolo 13 del GDPR (tra cui le finalità del trattamento e i dati del DPO); viene definito in modo chiaro cosa si intende per comunicazione e diffusione dei dati personali; viene introdotta la possibilità (su autorizzazione dell’interessato) di comunicare i dati personali degli studenti universitari, per favorirne l’inserimento nel mondo del lavoro, la formazione e l’orientamento professionale.

 3.1 Focus sul quadro sanzionatorio

Il regolamento e il Decreto Privacy hanno modificato il quadro sanzionatorio delineato dal previgente Codice della Privacy, lasciando inalterate alcune fattispecie incriminatrici ed introducendone di nuove.

Le fattispecie di reato ora sono:

  • art. 167 – trattamento illecito di dati personali – punisce penalmente diverse condotte consistenti nell’arrecare nocumento all’interessato, in violazione di alcune specifiche e limitate disposizioni normative, come ad esempio alcuni dei requisiti sul trattamento dei dati sensibili e sul trasferimento internazionale di dati;
  • art. 167 bis – acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala – punisce la comunicazione e la diffusione di dati personali oggetto di trattamento su larga scala, in violazione di determinati requisiti normativi, quali il consenso dell’interessato (ove richiesto);
  • art. 167 ter – comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala – punisce con la reclusione da uno a quattro anni chiunque, al fine di trarne profitto ovvero di arrecare danno ad altri, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala;
  • art. 168 – falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante – punisce con la reclusione da sei mesi a tre anni, chiunque dichiari o attesti il falso al Garante. Rispetto alla precedente formulazione, viene introdotto il secondo comma che punisce con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti;
  • art. 170 – inosservanza dei provvedimenti del Garante – punisce con la reclusione da tre mesi a due anni, chiunque, essendovi tenuto, non osservi un provvedimento adottato dal Garante;
  • art. 171 – violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (comma 1 dell’art. 4 Stat. Lav).

Tutti gli altri reati previsti dal previgente Codice della Privacy sono stati depenalizzati con l’introduzione di sanzioni amministrative in luogo di quelle penali.

A tal proposito si segnala che l’art. 22 e l’art. 23 del D.lgs. 108/18 prevedono delle disposizioni transitorie e di coordinamento, in particolare che per i primi otto mesi dalla data di entrata in vigore del decreto, il Garante della privacy dovrà tener conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie (ult. co. Art. 22).

L’art. 24 infine prevede l applicabilità delle sanzioni amministrative alle violazioni commesse anteriormente alla data di entrata in vigore del decreto, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.

 

Riproduzione riservata

Avv. Elisa Boreatti                        Dott.ssa Bruna Moretti            Dott.ssa Rosa Colucci

Si segnala che nella sezione normativa è pubblicato il testo del GDPR

[/column]

LinkedIn
Email
Print

LE NOSTRE SEDI

MILANO

Via Montepulciano, 13 – 20124 Milano
Tel: 02 3962 6997 • Fax: 02 3980 0033

VENEZIA

Santo Stino di Livenza, Viale Trieste, 76 – 30029 Venezia
P.IVA IT08921750967
© Boreatti Colangelo Studio Legale Associato

Website Designed by MYPlace Communications