Trattamento dei dati personali

Per trattamento dei dati personali secondo la legge italiana, si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicati a dati personali o insiemi di dati personali, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati. Rispetto alla definizione accolta dalla previgente L. 675/96, è stato precisato espressamente che nella nozione di trattamento devono essere fatte rientrare anche le operazioni relative a dati non registrati in una banca dati.

Il GDPR disciplina solo il trattamento dei dati personali che riguardano una persona fisica, con esclusione delle persone giuridiche (tranne poche eccezioni). Quindi solo le persone fisiche possono essere interessati al trattamento, non anche le persone giuridiche. Il GDPR, però, non si applica alle persone decedute, ma qui interviene il Decreto di adeguamento del Codice Privacy che estende le tutele del GDPR al trattamento dei dati dei deceduti (art. 2-terdecies).

Lo stesso argomento in dettaglio: Regolamento generale sulla protezione dei dati.

Modalità del trattamento e requisiti dei dati

[modifica | modifica wikitesto]

Il regolamento generale sulla protezione dei dati è un regolamento dell'Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018

Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'Unione europea) che trattano dati di residenti nell'Unione europea ad osservare e adempiere agli obblighi previsti.

La legge sulla privacy fino al 1996 non si limitava a disciplinare le banche di dati, intese - ai sensi dell'art. 1 comma 2 lett. a – come «qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento», ma regolava anche operazioni singole compiute su dati personali, intesi come «qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale». In base alla normativa di cui agli artt. 20, comma 2, e 21, comma 2, del d.lg. 30 giugno 2003, n. 196[1], i sistemi informativi ed i programmi informatici hanno dovuto essere predisposti in modo da assicurare che i dati sensibili (o personali) siano utilizzati esclusivamente nella misura necessaria per il raggiungimento delle specifiche finalità che il titolare si prefigge (espressamente elencate nel d.lg. n. 196/2003 artt. 59, 60, 62-73, 86, 95, 98 e 112). In caso contrario è stato necessario utilizzare dati in forma anonima o adottare modalità che permettano di identificare l'interessato solo in stretto caso di necessità.

Fino al 25 maggio 2018 il trattamento dei dati personali era regolato dal Codice in materia di protezione dei dati personali nel Titolo III di tale codice, le regole sono state conseguentemente abrogate per la presa in vigore del GDPR.

Con riguardo alle regole valide per tutti i trattamenti contenute nel Regolamento generale sulla protezione dei dati, l'art. 5 paragrafo 1. del citato provvedimento stabilisce innanzitutto che i dati personali oggetto di trattamento sono:

  1. trattati in modo lecito e secondo correttezza (art. 5.1 lett. a);
  2. raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi (art. 5.1 lett. b);
  3. esatti e, se necessario, aggiornati (art. 5.1 lett. c);
  4. pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati (art. 5.1 lett. d);
  5. conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati (art. 5.1 lett. e);
  6. trattati in maniera da garantire l'adeguata sicurezza dei dati personali (art. 5.1 lett. f).

Il Titolare, unitamente al Responsabile dei sistemi informativi, deve quindi preventivamente adottare procedure organizzative, informatiche e materiali che permettano al singolo incaricato l'accesso nel database ai soli dati necessari alle sue specifiche mansioni, in modo tale da fare tutto il necessario per proteggere i dati, a seconda delle circostanze (art. 5.2). Tale accesso è consentito, oltre al titolare ed al responsabile, soltanto ad incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di convalida relativa ad uno specifico trattamento o ad un insieme di trattamenti.

Il Regolamento generale sulla protezione dei dati stabilisce che ogni Titolare debba eseguire vari adempimenti che consentano al Garante e ai terzi di conoscere esattamente se, perché e come una determinata azienda o ente gestisca dati sensibili. Il Garante, per non sovraccaricare di adempimenti i settori nei quali la gestione di dati sensibili è obbligatoria per legge (ad esempio i dati dei lavoratori dipendenti), emana delle Autorizzazioni Generali che ogni anno sono rinnovate. Tali provvedimenti sollevano il titolare del trattamento dall'obbligo di notificazione all'Autorità Garante, ferma restando l'autorizzazione dietro fornitura di una informativa sul trattamento, da parte dell'interessato.

I dati personali così individuati sono trattati previa verifica della loro pertinenza, completezza e indispensabilità rispetto alle finalità perseguite nei singoli casi, specie nel caso in cui la raccolta non avvenga presso l'interessato. Le operazioni di interconnessione, raffronto, comunicazione e diffusione sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalità di interesse pubblico specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati personali, nonché degli altri limiti stabiliti dalla legge e dai regolamenti.

Gli adempimenti principali che consentano al Garante e ai terzi di conoscere esattamente se, perché e come una determinata azienda o ente gestisca dati sensibili sono:

  • la notificazione all'Autorità Garante;
  • l'informativa all'interessato;
  • la raccolta dei consensi;
  • la suddivisione dei compiti con l'attribuzione delle relative responsabilità all'interno dell'organizzazione del Titolare;
  • l'adozione delle misure di sicurezza.

Ambiti di applicazione

[modifica | modifica wikitesto]

Le norme che disciplinano l’applicazione della direttiva sono gli art. 2 e art. 3 del GDPR: il primo stabilisce vincoli di natura materiale, il secondo di stampo territoriale.

Art. 2 - Ambito di applicazione materiale

[modifica | modifica wikitesto]

L’oggetto di disciplina sono dati, almeno in parte, automatizzati; quelli non automatizzati sono considerati dalla direttiva nel caso di archivi.

  1. "Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi."
  2. "Il presente regolamento non si applica ai trattamenti di dati personali:
    • effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
    • effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE;
    • effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
    • effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse."

Art. 3 - Ambito di applicazione territoriale

[modifica | modifica wikitesto]
  1. "Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione."
  2. "Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:
    • l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
    • il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione."
  3. "Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico."

Notificazione all'Autorità Garante

[modifica | modifica wikitesto]

La notificazione (artt. 37-38 Codice) consiste in una comunicazione ufficiale che il Titolare rivolge al Garante per la Protezione dei Dati Personali circa il/i trattamento/i svolto/i con la quale si comunica al Garante l'esistenza di un'attività di raccolta e di utilizzazione di dati personali. Secondo quanto stabilito dalla nuova disciplina, è tenuto alla Notificazione il Titolare che esegue il trattamento di:

  1. dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
  2. dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
  3. dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
  4. dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
  5. dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti. (Art. 37, comma I)

Secondo il Codice è obbligatorio inviare la Notificazione esclusivamente per via telematica, utilizzando l'apposito modello messo a disposizione dal Garante. Il Garante, inoltre, può individuare, con proprio provvedimento, altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell'interessato, in ragione della natura dei dati personali o delle modalità di raccolta e trattamento.

Informativa sul trattamento all'interessato

[modifica | modifica wikitesto]

È la comunicazione con la quale il Titolare (ai sensi dell’art 13 del Codice) informa l'interessato del trattamento svolto e può essere fornita oralmente o per iscritto. Il Titolare pertanto illustra ai soggetti ai quali i dati raccolti si riferiscono (interessati):

  1. le finalità e le modalità del trattamento svolto,
  2. la natura obbligatoria o facoltativa del conferimento dei dati,
  3. le conseguenze dell'eventuale rifiuto del conferimento,
  4. l'ambito di comunicazione e diffusione dei dati,
  5. l'eventuale trasferimento dei dati all'estero,
  6. i diritti dell'interessato,
  7. l'indicazione del Titolare,
  8. l'indicazione del Responsabile individuato o di quello designato per l'esercizio dei diritti dell'interessato,
  9. l'indicazione degli Incaricati che compiono le operazioni di trattamento (ovviamente non è necessario indicare i nomi e i cognomi dei singoli ma sarà sufficiente indicare l'area di appartenenza).

Tutte queste informazioni devono essere contenute nell'informativa che va resa all'interessato al momento della raccolta dei suoi dati e, in caso di raccolta di dati presso terzi, non oltre la registrazione dei dati o la prima comunicazione degli stessi a terzi. Pertanto il Titolare non può utilizzare un unico modello di informativa, ma è tenuto a fornire informative differenziate per le diverse categorie di interessati: un'informativa insufficiente (carente anche di uno solo degli elementi indicati) potrebbe dare luogo all'applicazione di sanzioni. Uno studio condotto da Federprivacy nel 2014 ha dimostrato che il 67% dei siti web italiani omettono di fornire un'informativa idonea in violazione al Codice della Privacy, passibili quindi di sanzioni da 6.000 a 36.000 euro.[2]

Nota bene Alcune informative, specie della Pubblica amministrazione, contengono ancora riferimenti alla vecchia e abolita legge 675/1996 in quanto non sono state aggiornate: queste informative sono formalmente errate e non andrebbero siglate, facendolo notare al responsabile privacy. Con l'adozione del GDPR medesima osservazione si può fare per il riferimento al codice 196/2003.

La raccolta dei consensi

[modifica | modifica wikitesto]

Ai sensi dell’art. 6[3] del GDPR (Regolamento generale sulla protezione dei dati), secondo cui il trattamento dei dati viene considerato lecito se e nella misura in cui ricorre almeno una delle seguenti condizioni:

  • l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
  • il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
  • il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
  • il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
  • il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Trattamento dei dati da parte del datore di lavoro

[modifica | modifica wikitesto]

Il consenso per il trattamento dei dati sensibili dei dipendenti (o parasubordinati o collaboratori in varia forma) nell'ambito del rapporto di lavoro, quando le finalità di questi trattamenti sono la gestione del rapporto e gli altri adempimenti previsti dalla legge, non è necessario limitatamente ai dati riguardanti l'adesione ad associazioni di tipo sindacale; negli altri casi (stato di salute, religione, etc.) il consenso è invece necessario. Gli artt. 20, 22, 26 del Codice introducono una novità fondamentale per il trattamento di questi dati è quella concernente l'esenzione dal consenso per il trattamento dei dati sensibili da parte del datore di lavoro, quando il trattamento è necessario per adempiere a specifici obblighi o compiti previsti da norme di legge per la gestione del rapporto di lavoro (anche in materia di igiene e sicurezza, previdenza ed assistenza, ferme restando le disposizioni del codice di deontologia e di buona condotta che dovrà essere prossimamente emanato in materia). Anche in caso di esenzione del consenso per il trattamento dei dati sensibili, è necessaria la preventiva autorizzazione del Garante.

Trattamento dei dati relativi a studenti

[modifica | modifica wikitesto]

L'art. 96 si dedica alla gestione dei dati relativi agli esiti del percorso scolastico di ciascuno studente, alle inclinazioni personali e culturali di ognuno, finalizzata all'orientamento degli stessi verso il corso di studi successivo per il quale siano maggiormente portati. I dati degli studenti possono essere trasmessi da soggetti pubblici a soggetti privati, secondo le modalità già previste dall'art.27 comma 3, l 675/96, e «decorsi 30 giorni dalla notizia che le scuole e gli istituti scolastici, ovvero il Ministero della pubblica istruzione, rendono nota mediante annunci al pubblico » (d.lgs. 30 luglio 1999, n. 281, art. 17) qualora l'iniziativa sia rivolta a favorire l'aggiornamento e la riqualificazione degli studenti e dei lavoratori.

Trattamento dei dati da parte di soggetti privati

[modifica | modifica wikitesto]

Il Codice della privacy stabilisce che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali senza richiedere il consenso dell'interessato, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.[4]

Trattamento dei dati da parte delle forze di polizia

Il codice privacy prevede delle regole specifiche in tema di trattamento dei dati da parte di forze di polizia. Ad esso è dedicato il titolo II della parte II del codice privacy (artt. 53-57 codice privacy). Le peculiari finalità in vista delle quali il trattamento da parte delle forze di polizia viene effettuato fanno sì che tale trattamento sia sottoposto, per un verso, ai principi generali e, per altro verso, a delle regole derogatorie[5].

La lettera di informativa e consenso

[modifica | modifica wikitesto]

L’art. 7 del GDPR indica le modalità in cui viene fornito il consenso:

  1. "Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali (art. 7.1)."
  2. "Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante (art. 7.2)."
  3. "L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato (art. 7.3)."
  4. "Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto (art. 7.4)."

La legge prevede che l'ottenimento del consenso non sia valido, se non viene preceduto o accompagnato da una corretta informativa. Di conseguenza, per quanto possibile, l'informativa e la richiesta di consenso devono stare insieme, non solo per esigenze di razionalizzazione dei costi, ma anche per evitare ai soggetti interessati confusione sui due diversi adempimenti. Il consenso deve seguire l'informativa e deve essere richiesto esclusivamente quando non ci si trovi nei casi di deroga previsti dalla legge.

Secondo il Codice sulla protezione dei dati personali l'informativa va data all'interessato cui i dati si riferiscono, secondo le modalità di cui all'art. 13 del Codice. Il titolare deve fare in modo che la struttura preveda un modello standard di informativa da aggiungere alla modulistica attraverso cui i dati personali vengono materialmente raccolti.

L'informativa deve essere completa e contenere, sia pure in modo sintetico, tutte le notizie previste dal Codice:

  • le finalità del trattamento;
  • le modalità del trattamento (strumenti elettronici o manuali, modalità di organizzazione o di raffronto ed elaborazione particolari, creazione di profili per età, professione o altro);
  • se il conferimento dei dati richiesti è obbligatorio o facoltativo relativamente agli scopi dichiarati;
  • le conseguenze di un eventuale rifiuto a fornire i dati;
  • se i dati possono essere ceduti a terzi, in tal caso identificandoli o quanto meno individuando le categorie dei soggetti destinatari;
  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;
  • i diritti di cui all'articolo 7 del Codice;
  • i dati identificativi del titolare del trattamento;
  • i dati identificativi del responsabile del trattamento.

Nel caso di trattamento di dati sensibili, l'informativa deve inoltre fare espresso riferimento alla normativa che prevede gli obblighi o i compiti in base ai quali è effettuato il trattamento.

Ai sensi dell'art. 48 del d. P. R. 28 dicembre 2000, n. 445[6] (Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa), è obbligatorio inserire l'informativa nella modulistica per la presentazione delle dichiarazioni sostitutive di certificazione e di atto notorio.

A volte[7], nell'informativa e soprattutto nella richiesta di consenso, compare ancora il riferimento dell'abrogata legge 675/96 o degli articoli superati della legge 196/03: chiaramente si tratta di un grave errore documentale, ma, praticamente, il consenso risulta valido dato che varrebbe il principio della prevalenza sostanziale su quella formale. Ad ogni modo è legittimo richiedere la modifica e aggiornamento del riferimento legislativo corrente (GDPR).

Registri delle attività di trattamento

[modifica | modifica wikitesto]

In base all'art 30, del regolamento GDPR:

1. Ogni titolare del trattamento e, ove applicabile, il suo rappresentante tengono un registro delle attività di trattamento svolte sotto la propria responsabilità. Tale registro contiene tutte le seguenti informazioni:

a) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;

b) le finalità del trattamento;

c) una descrizione delle categorie di interessati e delle categorie di dati personali;

d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;

e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;

g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.


2. Ogni responsabile del trattamento e, ove applicabile, il suo rappresentante tengono un registro di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:

a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;

b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;

c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate;

d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1.


3. I registri di cui ai paragrafi 1 e 2 sono tenuti in forma scritta, anche in formato elettronico.


4. Su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell'autorità di controllo.

5. Gli obblighi di cui ai paragrafi 1 e 2 non si applicano alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all'articolo 9, paragrafo 1, o i dati personali relativi a condanne penali e a reati di cui all'articolo 10.

Misure di sicurezza

[modifica | modifica wikitesto]

In base all'Art. 32 i dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

Misure minime

[modifica | modifica wikitesto]

L'art. 33 introduce le misure minime di sicurezza obbligatorie: «nel quadro dei più generali obblighi di sicurezza di cui all'articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali».

Unico soggetto responsabile è il titolare del trattamento, si applica inoltre una netta distinzione tra trattamenti effettuati con strumenti elettronici e strumenti cartacei ai fini delle misure minime necessarie.

Art. 34 - Trattamenti con strumenti elettronici

[modifica | modifica wikitesto]

Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

  1. autenticazione informatica;
  2. adozione di procedure di gestione delle credenziali di autenticazione;
  3. utilizzazione di un sistema di autorizzazione;
  4. aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
  5. protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
  6. adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
  7. adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.

Inizialmente vigeva anche l'obbligo di tenuta di un aggiornato documento programmatico sulla sicurezza ma è stato abrogato con la conversione in legge del D.L. 9-2-2012 n. 5[8] “Disposizioni urgenti in materia di semplificazione e di sviluppo”, pubblicato nella G.U. del 9 febbraio 2012, n. 331.

Il titolare è pertanto obbligato ad adottare particolari misure che riguardano prevalentemente le modalità di accesso, in modo da poter verificare, in caso di illeciti connessi all'utilizzo dello strumento informatico, l'identità dell'autore dell'illecito o il responsabile dell'accesso abusivo dall'esterno: le credenziali di autenticazione (login) consistono in un codice per l'identificazione dell'incaricato (user-id) associato a una parola riservata (password) conosciuta esclusivamente dal possessore, oppure in un dispositivo di autenticazione ad uso esclusivo dell'incaricato (dispositivo di firma elettronica), ad un codice identificativo o in una caratteristica biometrica.

In caso di trattamento di dati sensibili o giudiziari la password è modificata almeno ogni tre mesi.

Agli incaricati devono essere fornite dal titolare anche le prescrizioni in merito all'adozione delle necessarie cautele per assicurare la segretezza della password e la diligente custodia dei dispositivi di smart-card, che dovranno essere uniche e non cedute ad altri incaricati e aggiornate almeno ogni sei mesi.

Il legislatore prevede l'effettuazione di copie di back-up degli archivi con frequenza settimanale.

Art. 35 - Trattamenti senza l'ausilio di strumenti elettronici

[modifica | modifica wikitesto]

Il trattamento di dati personali effettuato senza l'ausilio di strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:

  1. aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
  2. previsione di procedure per un'idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
  3. previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all'identificazione degli incaricati.

Chi si serve di strumenti non automatizzati per la raccolta e la gestione di dati personali deve individuare gli incaricati del trattamento, con documento di scadenza annuale, ed impartire istruzioni scritte relative alla gestione dei dati e alla loro custodia.

Quando i documenti contenenti dati sensibili sono affidati agli incaricati della gestione per lo svolgimento dei relativi compiti, gli stessi documenti sono controllati e custoditi dagli incaricati fino alla restituzione, in modo da impedirne l'accesso a persone prive di autorizzazione, e sono restituiti al termine delle operazioni affidate.

L'accesso agli archivi contenenti dati sensibili deve essere controllato e le persone ammesse, a qualunque titolo, devono essere identificate e registrate, sia controllandone l'identità che il tempo di permanenza all'interno del locale.

Quando gli archivi non sono dotati di strumenti elettronici che gestiscono il controllo degli accessi o di addetti alla vigilanza, coloro che vi accedono sono preventivamente autorizzati.

Esistono tre tipi di sanzioni riguardo al trattamento dei dati personali previste dal Decreto Legislativo n. 196 del 2003: civili, penali e amministrative.

  • Civili (Art. 15): Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile.
  • Penali:

- Misure minime (Art. 169): Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni.

- Trattamento illecito (Art. 167):

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

  • Amministrative (Art.161 - Omessa o inidonea informativa all'interessato): La violazione delle disposizioni di cui all'articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

Le autorizzazioni

[modifica | modifica wikitesto]

Le autorizzazioni del Garante possono essere:

  • Generali (art. 40 Testo Unico): il Garante acconsente ad operazioni di trattamento di dati sensibili a determinate condizioni e per determinati fini; stabilisce prescrizioni uniformi per settori omogenei di attività (rapporto di lavoro, sanità, professionisti, assicurazioni, investigazioni ecc.), snellisce l'attività burocratica gravante sull'ufficio del Garante ed alleggerisce gli adempimenti del titolare individuandone l'ambito e le modalità di trattamento. Pertanto è possibile la gestione dei dati sensibili entro i limiti prescritti senza richiedere specifica ed individuale autorizzazione al Garante.
  • Specifiche o individuali (art. 41 T.U.) nel caso in cui un trattamento non sia previsto e acconsentito nell'ambito delle autorizzazioni generali. Le richieste individuali di autorizzazione devono essere sottoposte dal Titolare al Garante con una specifica richiesta, utilizzando il modello messo a disposizione dal Garante, che deve essere preventiva all'inizio del trattamento che si intende effettuare.

Al Garante sono concessi da 30 a 45 giorni dalla data della richiesta per comunicare la decisione adottata, scaduto tale termine la mancata pronuncia equivale a rigetto (art. 26 comma 2).

Lo stesso argomento in dettaglio: GDPR.

Il 25 maggio del 2016 è entrato in vigore il GDPR (Regolamento (UE) n. 2016/679, effettivamente applicabile a maggio del 2018).

Le principali novità introdotte riguardano l'ambito applicativo, i diritti tutelati, gli incombenti e le sanzioni.

Il regolamento si applica anche a quei soggetti non europei che, tuttavia, offrono servizi a cittadini UE o che in qualche modo li profilano.

Nel caso di trattamento automatizzato, viene rafforzato il diritto dei cittadini, esplicitando il diritto di ottenere l'intervento umano da parte del titolare del trattamento, il diritto di contestazione e la libertà di esprimere la propria opinione.

Vengono introdotti in via definitiva il diritto all'oblio (art.17[9]) e il diritto alla portabilità dei dati (art.20[10]).

Chi tratta i dati deve, inoltre, fare in modo che il sistema abbia come prima opzione la privacy dell'utente e che il design del sistema stesso la tuteli (art. 25[11]).

Con il regolamento saltano l'obbligo di notifica e comunicazione, ma si introducono nuovi incombenti burocratici.

Le aziende con più di 250 dipendenti e quelle che, trattando i dati, potrebbero mettere a rischio i diritti e le libertà dell'interessato, sono infatti obbligate a tenere un registro dell'attività di trattamento.

È necessaria una valutazione di impatto nei casi ad alto rischio, in caso di profilazione e di trattamento su larga scala.

Un elenco di situazioni ad alto rischio è rilasciato dal Garante per la protezione dei dati personali entro il 2018.

La pubblica amministrazione, chi fa attività di profilazione o chi tratta dati su larga scala sono obbligati a designare un responsabile della protezione dei dati (art.37[12]), che ha il potere di sporgere denuncia presso il garante.

È, inoltre, obbligatorio comunicare la violazione dei dati personali direttamente all'interessato (art.34[13]).

L'articolo 40[14] prevede ancora la stesura di codici di condotta, mentre gli articoli 42[15] e 43[16] istituiscono degli organismi di certificazione.

Tutto ciò è particolarmente degno di nota in quanto il regolamento introduce sanzioni enormi (fino al 4% del fatturato globale).

  1. ^ Decreto legislativo 196 del 30 giugno 2003, su normattiva.it.
  2. ^ Italia Oggi, 23 settembre 2014 "Internet e privacy, sono fuorilegge due siti su tre"
  3. ^ Art. 6 del GDPR: "Liceità del trattamento", su altalex.com.
  4. ^ Cfr. art. 167 comma 1 D.Lgs. n. 196/2003, “Codice della privacy”.
  5. ^ Sul trattamento dei dati da parte delle forze di polizia, cfr. S. Signorato, Il trattamento dei dati personali per finalità di polizia: la nuova disciplina prevista dall'art. 53 Codice privacy e gli scenari europei, in R.E.Kostoris-F.Viganò (a cura di), Il nuovo "pacchetto" antiterrorismo, Giappichelli, 2015, pp. 91-104, nonché S.Signorato, Il trattamento dei dati personali per fini di prevenzione e repressione penale, in Riv. dir. proc., fasc. 6, 2015, pp. 1484-1494
  6. ^ Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, su normattiva.it.
  7. ^ Tipicamente nella modulistica emessa da enti della PA.
  8. ^ Decreto-Legge del 9 febbraio 2012, n. 5, su normattiva.it.
  9. ^ Articolo 17 GDPR: "Diritto alla cancellazione («diritto all'oblio»)", su privacy-regulation.eu.
  10. ^ Articolo 20 GDPR: "Diritto alla portabilità dei dati", su privacy-regulation.eu.
  11. ^ Articolo 25 GDPR: "Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita", su privacy-regulation.eu.
  12. ^ Articolo 37 GDPR: "Designazione del responsabile della protezione dei dati", su privacy-regulation.eu.
  13. ^ Articolo 34 GDPR: "Comunicazione di una violazione dei dati personali all'interessato", su privacy-regulation.eu.
  14. ^ Articolo 40 GDPR: "Codici di condotta", su privacy-regulation.eu.
  15. ^ Articolo 42 GDPR: "Certificazione", su privacy-regulation.eu.
  16. ^ Articolo 43 GDPR: "Organismi di certificazione", su privacy-regulation.eu.
  • M. Gambini, Principio di responsabilità e tutela aquiliana dei dati personali, Napoli, 2018.

Voci correlate

[modifica | modifica wikitesto]

Altri progetti

[modifica | modifica wikitesto]
Controllo di autoritàLCCN (ENsh2021005721 · GND (DE4011134-9 · J9U (ENHE987012402013305171