Qual è la legge che tutela la privacy?
Bisogna fare riferimento al Regolamento europeo in materia di trattamento dei dati. Su questa base, l’Italia ha fatto le proprie norme. Ecco quali.
La protezione dei dati personali fa capo ad un Regolamento europeo approvato dal Parlamento di Strasburgo e dal Consiglio Ue nel 2016. Rispondere alla domanda «Qual è la legge che tutela la privacy?», vuol dire, quindi, citare quel Regolamento, il numero 679/2016 del 27 aprile. Ma anche le successive modifiche che, prendendo spunto dalla normativa europea, hanno dato vita ad esempio al Codice della privacy così come riformato dal decreto legislativo n. 101/2018.
Il Codice si aggiunge ad un altro provvedimento, il decreto legislativo n. 51/2018, con cui l’ordinamento italiano ha attuato la direttiva europea 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati.
Lo sviluppo dell’intelligenza artificiale e dei big data ha inoltre stimolato ulteriori interventi normativi a livello sovranazionale, al fine di assicurare il diritto alla protezione dei dati personali.
Tutela della privacy: il pacchetto Ue protezione dati
Il cosiddetto «pacchetto protezione dati» identifica gli atti normativi di matrice europea relativi al trattamento, la protezione e la libera circolazione dei dati personali, per rispondere alle sfide nate dagli sviluppi tecnologici e dai nuovi modelli di crescita economica.
Il pacchetto è composto:
- dal Regolamento 2016/679 UE, noto come Gdpr, che riguarda «la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati», destinato a sostituire la Direttiva 95/46. Il Regolamento UE, entrato in vigore il 25 maggio 2016, reca una disciplina direttamente esecutiva nell’ordinamento degli Stati membri a partire dal 25 maggio 2018;
- dalla Direttiva 2016/680/UE relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
Inoltre, nel gennaio del 2017 la Commissione europea ha avviato la revisione della disciplina in materia di tutela della riservatezza delle comunicazioni elettroniche, sia per allinearla agli standard di protezione stabiliti nel pacchetto protezione dati, sia per aggiornarla e renderla tecnologicamente neutra rispetto alla continua evoluzione in materia di comunicazione e informazione.
Le principali novità introdotte dal Regolamento 2016/679 UE sono:
- l’ambito di applicazione territoriale: le norme si applicano anche al trattamento di dati personali di soggetti stabiliti nell’Unione europea da parte di un soggetto stabilito al di fuori della stessa;
- la liceità del trattamento è ancorata a due requisiti alternativi: la necessità del trattamento o il consenso dell’interessato. Il consenso dei minori, in relazione ai servizi della società dell’informazione, può essere validamente espresso a partire dai 16 anni (gli Stati possono abbassare tale limite fino a 13 anni); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci;
- il trattamento di particolari categorie di dati, corrispondenti sostanzialmente a quelli che nel nostro ordinamento sono definiti come sensibili e giudiziari. Con particolare riferimento al trattamento di dati genetici, biometrici e relativi alla salute, è consentito agli Stati membri di introdurre disposizioni più stringenti;
- l’espressa previsione sia del diritto all’oblio (ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), sia del diritto alla portabilità dei dati da un titolare del trattamento ad un altro, su richiesta degli interessati;
- la disciplina relativa al titolare del trattamento e al responsabile del trattamento basata sulla sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento; viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali;
- l’introduzione del concetto di protezione dei dati personali «by design» e «by default», ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso;
- la previsione, in capo al titolare, di un obbligo di notifica all’autorità di controllo e di comunicazione all’interessato in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati;
- la necessità di un’analisi e una preventiva valutazione del rischio inerente al trattamento all’esito della quale il titolare potrà decidere, in autonomia, se iniziare il trattamento ovvero consultare l’autorità di controllo competente che non avrà il compito di autorizzare il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare;
- l’introduzione della figura del Data protection officer con riguardo agli enti pubblici e agli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui;
- il nuovo sistema sanzionatorio che si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie per molte violazioni, espressamente indicate dal Regolamento UE; si tratta di sanzioni particolarmente elevate (fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo) ma definite solo nella misura massima, che dunque lasciano ampi spazi di discrezionalità alle autorità di controllo.
Tutela della privacy: la normativa italiana
Per adeguare il quadro normativo interno al Regolamento 2016/679 UE, il Governo ha emanato il decreto legislativo n. 101/2018 sulla protezione dei dati personali.
Tra le novità più significative in materia di tutela della privacy si segnalano:
- con riguardo ai trattamenti per motivi di interesse pubblico si è confermata la necessità di un fondamento legislativo; è peraltro consentita, previa necessaria notifica al Garante, la comunicazione dei dati tra soggetti che li trattano per finalità pubbliche. Tale possibilità è offerta, non solo ai soggetti pubblici, come attualmente, ma anche ai privati purché gli stessi trattino i dati per finalità di interesse pubblico;
- la previsione della promozione da parte del Garante dell’adozione di regole deontologiche sulla base della possibilità offerta dal legislatore europeo di dettare disposizioni più stringenti per la disciplina del trattamento dati in determinati settori;
- per i trattamenti dei dati nell’ambito dei servizi della società dell’informazione che richiedono il consenso dell’interessato, tale consenso può essere espresso direttamente dai minori che hanno compiuto 16 anni. Per tutti gli altri minori il consenso deve essere espresso da coloro che esercitano la responsabilità genitoriale;
- la ridefinizione della disciplina dei dati sensibili: con l’entrata in vigore del Regolamento Ue, tale categoria di dati sensibili, è stata assorbita nella definizione di «categorie particolari di dati personali». In generale, il trattamento di questi dati – che sostanzialmente sono gli stessi già definiti «sensibili» con l’aggiunta dei dati genetici e biometrici e relativi all’orientamento sessuale – è vietato, a meno che non trovi fondamento nel consenso esplicito dell’interessato o nella necessità del trattamento stesso per una serie di motivi tassativamente elencati. Tra i dati particolari si colloca anche la categoria dei dati genetici, biometrici e relativi alla salute, per il cui trattamento il regolamento Ue consente agli Stati membri di introdurre garanzie supplementari, e dunque di mantenere o introdurre ulteriori condizioni, comprese limitazioni;
- con riguardo alla categoria dei dati giudiziari, essa è sostituita dai dati relativi a condanne penali e reati, il cui trattamento può essere svolto in base alle specifiche norme del Regolamento e al nuovo articolo 2-octies del Codice. In particolare, la riforma ribadisce, anche per questi dati, la necessità che il trattamento abbia un fondamento normativo che lo autorizzi e che preveda garanzie appropriate per i diritti degli interessati. In mancanza di esso dovrà intervenire, entro 18 mesi, un decreto del ministro della Giustizia, che dovrà anche, per le disposizioni già in vigore, verificare che le stesse contengano garanzie, provvedendo alla loro eventuale integrazione;
- la disciplina dei diritti dell’interessato dal trattamento dei dati è ora integralmente contenuta nel Regolamento, che consente agli Stati membri di limitare, in presenza di specifiche circostanze, l’esercizio dei diritti stessi;
- con riguardo alla tutela dei diritti, l’interessato può proporre reclamo al Garante oppure ricorrere al giudice.
-
Vaccino non obbligatorio senza consenso informato: c’è risarcimento?
2 giorni fa
-
Come fa il datore di lavoro a sapere il motivo della malattia?
4 giorni fa
-
Residenza persone fisiche: nuove regole
4 giorni fa
-
Quando è illegittimo il contratto a termine?
5 giorni fa
-
Proposta di acquisto casa legata alla concessione del mutuo
6 giorni fa