Codice in materia di protezione dei dati personali

Codice in materia di protezione dei dati personali
Titolo esteso	Codice in materia di protezione dei dati personali
Tipo legge	Testo Unico
Promulgazione	1º gennaio 2004
Testo
	Normattiva

Il codice in materia di protezione dei dati personali (informalmente noto anche come codice della privacy), di cui al Decreto legislativo 30 giugno 2003, n. 196, in vigore dal 1º gennaio 2004, contiene le norme nazionali relative alla tutela dei dati personali.

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta ufficiale dell'Unione europea il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679), che è in vigore a partire dal 25 maggio 2016 e si applica dal 25 maggio 2018^[1]^[2]^[3]. Il 19 settembre 2018 è entrato in vigore il Decreto legislativo 10 agosto 2018, n. 101, che reca le disposizioni per l'adeguamento dell'ordinamento nazionale al nuovo regolamento^[4].

StoriaModifica

Prima di una specifica normativa, l'unica tutela era fornita dalla giurisprudenza della Suprema Corte di Cassazione; per rispettare gli Accordi di Schengen e per dare attuazione alla direttiva dell'Unione Europea 95/46/CE del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali venne emanata la legge 31 dicembre 1996 n. 675, che entrò in vigore nel maggio 1997.

Col passare del tempo, a tale norma si erano affiancate ulteriori leggi, riguardanti singoli e specifici aspetti del trattamento dei dati. La sopravvenuta complessità normativa creatasi in seguito all'approvazione di diverse disposizioni portò all'emanazione del d.lgs 30 giugno 2003, n. 196 che ha riordinato interamente la materia. Nel 2011 e 2012 altre disposizioni hanno emendato il codice del 2003, in particolare abolendo alcuni passaggi burocratici (tipo il DPS) oppure le regole per le informazioni sensibili fornite spontaneamente mediante il proprio CV.

In data 25 gennaio 2012 la Commissione Europea ha approvato la proposta di un regolamento sulla protezione dei dati personali,^[5] in sostituzione della direttiva 95/46/CE. Il 4 maggio 2016 è stato poi emanato il regolamento dell'Unione Europea n. 2016/679 (direttamente applicabile senza necessità di una legge di trasposizione), la cui entrata in vigore definitiva è avvenuta il 25 maggio 2018.

GeneralitàModifica

In tale corpo normativo, i diritti tutelati vengono bilanciati con altri diritti di pari rango, contemplati in Costituzione, quali il diritto a un'equa retribuzione (art. 36^[6]), e il diritto di difesa (art. 24^[7]). L'effettività di questi diritti richiede la possibilità di accesso e di consultazione dei documenti aziendali, per produrre le prove necessarie ad esempio a dimostrare la qualità e quantità del lavoro svolto, ovvero la propria estraneità ai fatti imputati.

In questo senso, il principio del pari rango regolamenta la stessa problematica di accesso e consultazione, nel settore pubblico. Essendo il datore di lavoro l'unico soggetto avente titolo, in quanto proprietario e gestore dei sistemi informatici e di archiviazione, esiste l'eventualità concreta di creazione, eliminazione o modifica senza traccia di informazioni e azioni dell'utente sul sistema prima della loro acquisizione in sede processuale, e la difficoltà di una loro ricostruzione ex-post.

StrutturaModifica

Il Testo unico sulla privacy si compone di tre parti e tre allegati, secondo il seguente schema:

disposizioni generali (art. 1-45) relativi alle regole "sostanziali" della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche per i trattamenti effettuati da soggetti pubblici o privati (art. 6);
disposizioni particolari per specifici trattamenti (art. 46-140) ad integrazione o eccezione alle disposizioni generali della parte I;
le disposizioni relative alle azioni di tutela dell'interessato e al sistema sanzionatorio (artt. 141-186).

Al testo seguono tre allegati:

allegato A, relativo ai codici di condotta;
allegato B, concernente il disciplinare tecnico in materia di misure minime di sicurezza;
allegato C, sui trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia.

ContenutoModifica

Il D.Lgs 196/2003 abroga la precedente legge 675/96, che era stata introdotta per rispettare gli Accordi di Schengen ed era entrata in vigore nel maggio 1997. Con il tempo, data la tipica stratificazione normativa che si produce nei sistemi giuridici a tradizione civilista (tra cui quello italiano), a tale norma si erano affiancate numerose altre disposizioni concernenti specifici aspetti del trattamento dei dati, che sono state conglobate nel Testo Unico vigente, entrato in vigore il 1º gennaio 2004.

Sull'applicazione della normativa vigila l'Autorità Garante per la protezione dei dati personali, istituita sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003. Il decreto tutela il diritto del singolo sui propri dati personali e, conseguentemente, disciplina le diverse operazioni di gestione (tecnicamente "trattamento") dei dati, riguardanti la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi.

All'art.l del testo unico viene riconosciuto il diritto assoluto di ciascuno sui propri dati, in cui si afferma testualmente: "Chiunque ha diritto alla protezione dei dati personali che lo riguardano". Tale diritto pertiene i diritti della personalità.

Il diritto alla riservatezza è diverso rispetto al diritto sui propri dati perché non riguarda solamente informazioni circa la propria vita privata, ma più in generale ingloba ogni informazione relativa ad una persona, pure se non coperta da riserbo (sono dati personali ad esempio il nome o l'indirizzo della propria abitazione).

Lo scopo della normativa è quello di evitare che il trattamento dei dati avvenga senza il consenso dell'avente diritto, ovvero in modo da recargli pregiudizio. Nel Testo Unico, Titolo II articoli da 8 a 10, sono a tal scopo definiti i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

La disciplina complessiva della protezione dei dati personali non viene mutata dal nuovo codice, in quanto la finalità di questo nuovo testo di legge consistono nella razionalizzazione di tutto quel complesso di norme esistenti attraverso lo strumento del testo unico (da sempre utilizzato a tale scopo).

Nozioni e deficienzeModifica

Il Testo unico fa chiarezza fornendo precise definizioni all'art. 4^[8]:

1. Ai fini del presente codice (D.Lgs 196/2003) si intende per:

"trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
"dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
"dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;
"dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
"dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3^[9], comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
"titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
"responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
"incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
"Interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
"comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;
"diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
"dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
"blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
"banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unita' dislocate in uno o più siti;
"garante", l'autorità di cui all'articolo 153, istituita dalla legge del 31 dicembre 1996, n. 675.

2. Ai fini del presente codice si intende, inoltre, per:

"comunicazione elettronica", ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile;
"chiamata", la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale;
"reti di comunicazione elettronica", i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
"rete pubblica di comunicazioni", una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico;
"servizio di comunicazione elettronica", i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002;
"abbonato", qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;
"utente", qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
"dati relativi al traffico", qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
"dati relativi all'ubicazione", ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
"servizio a valore aggiunto", il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione;
"posta elettronica", messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.

3. Ai fini del presente codice si intende, altresi', per:

"misure minime", il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
"strumenti elettronici", gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
"autenticazione informatica", l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identita';
"credenziali di autenticazione", i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
"parola chiave", componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
"profilo di autorizzazione", l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa puo' accedere, nonché i trattamenti ad essa consentiti;
"sistema di autorizzazione", l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalita' di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.

4. Ai fini del presente codice si intende per:

"scopi storici", le finalita' di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato;
"scopi statistici", le finalita' di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici;
"scopi scientifici", le finalita' di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.^[8]

Liceità del trattamentoModifica

Ai fini del D.Lgs 196/2003 all'art. 6, il trattamento risulta lecito solo se ricorre almeno una delle seguenti condizioni:^[10]

l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;
il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;
il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;
il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore (non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti).

I diritti riconosciutiModifica

L'interessato (ossia il soggetto cui si riferiscono i dati) vede garantito il proprio diritto di accesso a tutte le informazioni pertinenti la sua persona detenute e trattate da terzi. Tutto ciò è garantito dall'art. 7 del d. lgs. 196/03 il quale ricomprende la possibilità di sapere: l'autore del trattamento, come e con quali fini avviene il trattamento, i soggetti a cui detti dati possono essere ceduti (previo consenso preventivo, altrimenti si avrebbe un esempio di trattamento scorretto).

L'interessato ha facoltà di verificare che i propri dati detenuti da terzi corrispondano al vero in virtù del diritto d'accesso, art. 7 del d. lgs. 196/03, e verificare gli usi che si intendono fare dei dati stessi. Inoltre l'interessato ha anche il diritto di modificare, ovvero ha diritto ad aggiornare, rettificare e modificare i termini d'uso dei propri dati personali, il diritto di interruzione, può cancellare i propri dati personali per interrompere il servizio e il diritto di opposizione, potendo quindi opporsi per motivi legittimi al trattamento di dati personali per interrompere il servizio.

Inoltre il titolare del trattamento deve comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell'articolo 16, dell'articolo 17, paragrafo 1, e dell'articolo 18, salvo che ciò si riveli impossibile. Il titolare del trattamento comunica all'interessato tali destinatari qualora l'interessato lo richieda.

All'art. 20 viene stabilito che l'interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento.

Infine l'art. 22 stabilisce che l'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Le persone giuridicheModifica

Il codice sino al 2011 riguardava sia persone fisiche che persone giuridiche. Infatti, la definizione recitava "qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale". Questo ha comportato che anche per imprese e assimilabili si siano applicati i relativi adempimenti (classicamente per i dati di anagrafica aziendale, contatti, ecc.). Invece, il D.L. 201/2011, convertito nella L. 214/2011 (c.d. decreto “Salva Italia”), in ottica di sburocratizzazione, ha, tra le altre cose, limitata l'applicazione alle sole persone fisiche (ivi compreso l'ambito professionale o assimilabile), eliminando l'obbligo di implementazione per i dati personali di imprese, enti e associazioni (soggetti con personalità giuridica)^[11]. Invece, nulla è cambiato per le informazioni relative a ditte individuali in quanto l'identità personale coincide con quella professionale.

Per dato personale di una persona giuridica (esempio Alfa S.p.A.) s'intendono i dati personali propri dell'entità Alfa S.p.A., e non i dati personali delle persone fisiche trattati, posseduti da Alfa S.p.A. Chiaramente, buona parte dei dati personali di un'impresa sono pubblici (uno dei motivi per cui si è eliminato dal codice nel 2011 la copertura per i dati delle persone giuridiche).

La tutelaModifica

In caso di lesione nei diritti sui propri dati a mente del d. lgs. 196/03 (ad esempio: raccolta dei dati senza il consenso, acquisito senza fornire la preventiva informativa di legge, trattamento dei dati oltre i limiti del consenso dato, negazione o limitazione al diritto di accesso) si può ricorrere al Garante per la protezione dei dati personali (con una procedura piuttosto rapida e costi contenuti) o al giudice civile (con costi e tempi maggiori). Se invece si è addirittura subito un danno per trattamento dei dati non conforme alla legge (non necessariamente economico) il risarcimento può essere concesso in via esclusiva solo dal giudice civile.

Le sanzioniModifica

Possono essere:

Civili (ai sensi dell'Art 15): Chiunque fa danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. Vale anche per i danni non patrimoniali
Penali: che si differenziano in Misure minime (Art.169) e Trattamento Illecito (Art. 167) . Nel primo caso chi omette di adottare le misure minime previsto dall'Art. 33 è punito con l'arresto fino a 2 anni mentre nel secondo caso chi, avendo il fine di trarre per sé profitto, procede al trattamento di dati personali in violazione di alcuni articoli è punito con la reclusione da 6 a 18 mesi oppure, se il fatto è avvenuto nell'ambito della comunicazione o diffusione, con la reclusione da 6 a 24 mesi.
Amministrative (Art.161): il trattamento dei dati personali senza aver dato informativa costituisce illecito amministrativo da 6000 a 36000 euro

AnalisiModifica

Il testo normativo introdotto è sicuramente un'innovazione giuridica a livello europeo. Con il nuovo testo il legislatore si è orientato verso un'ottica di circolazione dei dati e si prefigge l'obbiettivo di raggiungere il generale bilanciamento di interessi tra titolare, ovvero colui che ha un interesse a ricevere e a trattare i dati, e l'interessato, ovvero colui che mette a disposizione del titolare i propri dati. Con questo semplice ma determinante principio il diritto alla privacy transita da una precedente visione di diritto ad essere lasciati soli ad una visione totalmente innovativa. Il Codice ha ricevuto una semplificazione e un'armonizzazione per non aggravare le aziende e le persone fisiche di vincoli burocratici molto forti. I primi tre articoli sono altamente innovativi da questo punto di vista. Il terzo principio in particolare, risulta rivoluzionario.

«I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente dati anonimi od opportune modalità che permettono di identificare l'interessato solo in caso di necessità.»

(Codice privacy, d.lgs 196., Articolo 3)

La caratteristica principale dell'intero dettato normativo è quello descritta all'Articolo 11

«I dati personali oggetto di trattamento sono: Trattati in modo lecito e corretto.»

(Codice privacy, d.lgs 196., Articolo 11)

L'apparente ambivalenza lessicale dei termini liceità e correttezza è invece manifestazione di una chiara differenza. Per liceità si intende una verifica a priori ovvero un controllo dell'adeguamento del Trattamento ai canoni fissati dalla normativa stessa; con il termine correttezza invece si è introdotta una verifica a posteriori: in questa seconda fase del giudizio, infatti, il caso in esame viene adattato alla fattispecie concreta verificando che il generale bilanciamento di interessi tra Titolare del trattamento e interessato sia stato raggiunto.

Il Codice prevede, per chi intende trattare dati, una serie di obblighi e di diritti. Infatti chiunque voglia utilizzare i dati personali di un soggetto deve informarlo, preventivamente, indicando con chiarezza le finalità per cui prevede di utilizzare tali dati e le relative modalità di utilizzo. Inoltre deve avere il consenso da parte del soggetto interessato; solo in alcuni casi, come cita l'art. 24, questo non è necessario. Una disciplina particolare riguarda i dati sensibili, quelli più delicati, e che quindi richiedono una maggiore attenzione da parte del legislatore.

I cinque soggetti che guardano da vicino il trattamento dei dati personali sono: Titolare, Responsabile, Incaricati, Interessato, Garante. Il Titolare è il soggetto che tratta i dati e cui competono, in prima istanza, gli obblighi di legge: è quindi lui che dovrà operare e fare operare in modo che la legge sia applicata. Il Responsabile e poi gli Incaricati sono le figure che operano per conto del Titolare, e seguono le sue istruzioni. Queste tre figure costituiscono un tutt'uno, una organizzazione. Il Soggetto interessato, invece è colui a cui si riferiscono i dati. Rilevante importanza ricopre il Garante, un'autorità pubblica autonoma ed indipendente, istituita nel 1996, che ha il compito di verificare e controllare il trattamento dei dati da parte del Responsabile o Titolare, disponendo sanzioni amministrative, ove necessario. Inoltre come specificato nell'art. 143, prescrive al Titolare le misure opportune per rendere il trattamento conforme alle disposizioni vigenti.

Il dibattitoModifica

La giurisprudenzaModifica

In Italia a partire dal 1997 (con l'emanazione delle norme che facevano riferimento alla protezione dei dati personali) si è sviluppata l'errata consuetudine di etichettare la normativa con la dicitura "legge sulla privacy". Nel rispetto del principio "Vox populi, vox Dei" tale prassi è stata tollerata se non incoraggiata implicitamente dall'allora Presidente dell'autorità Garante Stefano Rodotà. Tale definizione, spesso oggetto di critiche, non dà conto delle finalità reali ed ermeneutiche della normativa che sono quelle ristrette a garantire che il trattamento dei dati personali avvenga secondo certi limiti e non quelle di difendere la sfera complessiva del diritto alla riservatezza del cittadino.^{[senza fonte]}

La succitata dicitura "legge sulla privacy" risulta quantomeno impropria, come osservò il Tribunale di Milano - Sez. I civile con il Decreto 27 settembre 1999 decidendo sul caso Olcese vs Corriere della Sera scrisse: "... omissis ... 2. In proposito, occorre innanzitutto affermare, in dissenso con quanto da taluno pure sostenuto in sede di primo commento, che la l. 675/96 - ancorché conclami in preambolo la “finalità” di garantire il “rispetto dei diritti, delle libertà fondamentali nonché della dignità” della persona, “con particolare riguardo alla riservatezza ed all'identità personale” (cfr. il titolo dell'art. 1 ed il contenuto del relativo 1º comma) - non può essere né riguardata alla stregua di un vero e proprio “statuto generale della persona” né ritenuta più accentuatamente rivolta alla tutela della persona che alla disciplina sul trattamento dei dati. Simili impostazioni appaiono, infatti, inficiate da un vizio di prospettiva, giacché confondono aspetti diversi e concettualmente infungibili, quali la ratio della normativa (ruolo, nella specie, testualmente assegnato alla protezione dei fondamentali diritti della persona: cfr. la rubrica ed il 1º comma dell'art. 1) e la sua sfera di operatività (nella specie, univocamente identificabile, alla luce del titolo e della complessiva disciplina della legge, nel fenomeno del “trattamento dei dati personali”); aspetti diversi, che solo complementarmente integrandosi concorrono a definire compiutamente il bene giuridico oggetto della tutela accordata: i diritti fondamentali della persona con specifico, ed esclusivo, riferimento alle implicazioni inerenti all'attività di “trattamento di dati personali”^[12]

Il rischio del trattamentoModifica

Il trattamento di dati personali può costituire un rischio, anche elevato, nei confronti dei diritti e delle libertà degli interessati.

Per questa ragione il regolamento GDPR pone particolare attenzione al tema della sicurezza del trattamento dei dati personali, inserendo fin dall'inizio la garanzia di una adeguata sicurezza tra i principi generali applicabili al trattamento dei dati, ed individua con precisione i principi della necessità di assicurare la protezione dei dati fin dalla progettazione (prevedendosi al riguardo che il titolare del trattamento debba mettere in atto, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso, misure tecniche e organizzative adeguate al fine di attuare in modo efficace i principi di protezione dei dati) e per impostazione predefinita (il titolare del trattamento è tenuto ad attuare misure tecniche e organizzative adeguate per garantire che siano trattati solo i dati personali necessari per ogni specifica finalità del trattamento, in relazione alla quantità dei dati personali raccolti, alla portata del trattamento, al periodo di conservazione, garantendo in particolare che i dati personali trattati non siano resi accessibili a un numero indefinito di persone fisiche senza l'intervento della persona fisica).

Il regolamento impone al titolare del trattamento l'effettuazione di una valutazione preventiva (prima, cioè, di poter legittimamente avviare il trattamento) dell'impatto del trattamento previsto sulla protezione dei dati personali in tutti quei casi in cui il trattamento che si intende svolgere preveda, in particolare, l'uso di nuove tecnologie e possa costituire un rischio elevato per i diritti e le libertà delle persone fisiche in considerazione della natura, dell'oggetto, del contesto e delle finalità del trattamento. La valutazione può essere condotta anche in relazione ad un insieme di trattamenti simili che presentino rischi elevati analoghi.

Allo stesso modo, il regolamento europeo stabilisce che il titolare ed il responsabile del trattamento debbano adottare idonee ed opportune misure tecniche e organizzative al fine di garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.

L'articolo 82 del regolamento GDPR, infine, disciplina il diritto al risarcimento di chiunque abbia subito un danno materiale o immateriale a causa di una violazione del regolamento unionale, ponendo corrispettivamente in capo al titolare del trattamento la responsabilità per il danno cagionato da un trattamento svolto in violazione delle prescrizioni del GDPR.

Anche il responsabile del trattamento può essere responsabile del danno cagionato, ove non abbia adempiuto agli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.

Sia il titolare che il responsabile del trattamento sono esonerati dalla responsabilità del danno se dimostrano che l'evento dannoso non è in alcun modo imputabile ad essi.

Normativa abrogataModifica

Legge n. 675 del 1996 (Questa legge è stata abrogata e sostituita dal Dlgs n. 196/2003)

La 675/1996 venne accompagnata da numerose altre leggi, decreti legislativi, decreti del presidente della repubblica e regolamenti:

Legge 676/1996, 31 dicembre 1996: Legge delega;
D.L. n.135, 11 maggio 1999: Disposizioni integrative sul trattamento di dati sensibili da parte dei soggetti pubblici;
D.L. n.281, 30 luglio 1999: Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica;
D.L. n.282, 30 luglio 1999: Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario;
D.P.R. n.318, 28 luglio 1999: Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali;
Provvedimento del Garante per la protezione dei dati personali, n.1/P/2000: Individuazione dei dati sensibili da parte dei soggetti pubblici.

Evoluzione normativaModifica

Il 15 dicembre 2015, la Commissione Europea ha trovato l'accordo col Parlamento e col Consiglio UE per un testo unico sulla privacy che armonizza le normative degli Stati membri. L'accordo è composto da:

una Direttiva sulla Protezione dei Dati (Data Protection Directive) per le forze di polizia e la magistratura;
un Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation, GDPR), immediatamente esecutivo in tutta l'Unione Europea. È istituita un'unica autorità di vigilanza europea, si applica anche alle imprese con sede estera e operanti nell'Unione Europea, è previsto un tempo di adeguamento di due anni, e per le imprese non conformi sanzioni dal 2 al 4% del fatturato annuo.

Il Regolamento introduce il diritto all'oblio, il diritto alla portabilità dei dati fra diversi Service Provider, il diritto alla notifica dell'accesso abusivo di terzi a dati personali e sensibili particolarmente importanti.

Le piccole e medie imprese (SME) non hanno più l'obbligo del responsabile della protezione dei dati (data protection officer), né l'obbligo di effettuare la valutazione dell'impatto (Privacy Impact Assessment), a meno che non esista un rischio operativo non trascurabile.

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679), che è applicato definitivamente a decorrere dal 25 maggio 2018.

Revisione del codiceModifica

Il D.Lgs. 101/2018 (cosiddetto "decreto privacy") che recepisce formalmente il GDPR nella normativa italiana, in vigore dal 19 settembre 2018, da alcuni definito nuova privacy, ha novellato profondamente il codice 196 che, comunque, è in corso di validità per gli specifici articoli non esplicitamente abrogati dal detto decreto^[13]. Infatti, il comma 6 dell'art. 22 recita:

"Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili."

Nel dettaglio il decreto ha abrogato i titoli, capi, sezioni, articoli e allegati del codice in materia di protezione dei dati personali, di seguito elencati:

a) alla parte I:
    1) gli articoli 3, 4, 5 e 6;
    2) il titolo II, il titolo III, il titolo IV, il titolo V, il titolo VI e il titolo VII;
  b) alla parte II:
    1) il capo I del titolo I;
    2) i capi III, IV e V del titolo IV;
    3) gli articoli 76, 81, 83 e 84;
    4) il capo III del titolo V;
    5) gli articoli 87, 88 e 89;
    6) il capo V del titolo V;
    7) gli articoli 91, 94, 95, 98, 112, 117, 118 e 119;
    8) i capi II e III del titolo X, il titolo XI e il titolo XIII;
  c) alla parte III:
    1) la sezione III del capo I del titolo I;
    2)  gli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis,165 e 169;
    3) gli articoli 173, 174, 175, commi 1 e 2, 176, 177, 178 e 179;
    4) il capo II del titolo IV;
    5) gli articoli 184 e 185;
  d) gli allegati B e C.

Pertanto, seppur radicalmente emendato dagli articoli del GDPR, il codice 196/2003 rimane in vigore nella legislazione italiana, grazie al decreto 101/2018^[14].

Da settembre 2018 la citazione del codice 196/2003 nelle informative privacy è formalmente non corretta dato che gli articoli applicabili (in particolare l'art. 13) sono stati aboliti.

NoteModifica

^ https://www.agendadigitale.eu/sicurezza/il-gdpr-e-in-vigore-senza-il-decreto-italiano-che-succede-ora/
^ https://www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-che-ce-da-sapere-per-essere-preparati/
^ http://www.doctor33.it/politica-e-sanita/privacy-cosa-cambia-col-nuovo-disegno-di-decreto-maggiore-flessibilita-nel-trattamento-dei-dati-particolari/
^ Decreto Legislativo 10 agosto 2018, n. 101 - Gazzetta Ufficiale, su gazzettaufficiale.it. URL consultato il 1º luglio 2019.
^ News Garante per la protezione dei dati personali del 7 febbraio 2012
^ InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente, su interlex.it. URL consultato il 3 luglio 2019.
^ InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente, su interlex.it. URL consultato il 3 luglio 2019.
^ ^a ^b 4, Codice in materia di protezione dei dati personali, su camera.it. URL consultato il 3 luglio 2019.
^ D.P.R. 313/02, su camera.it. URL consultato il 3 luglio 2019.
^ Nicholas Vollmer, Indice EU regolamento generale sulla protezione dei dati (EU-RGPD), su www.privacy-regulation.eu, 2 luglio 2021. URL consultato il 30 giugno 2022.
^ https://www.euroconsumatori.eu/articolo/493
^ Tribunale di Milano - Decreto 27 settembre 1999
^ https://www.leggioggi.it/2018/09/19/nuova-privacy-e-legge-ecco-il-decreto/amp/
^ Testo codice 196/2003 rev. settembre 2018

Voci correlateModifica

Collegamenti esterniModifica

Sito dell'autorità garante, su garanteprivacy.it.
Decreto legislativo 30 giugno 2003, n. 196, in materia di "Codice in materia di protezione dei dati personali"
Decreto legislativo 30 giugno 2003, n. 196 aggiornato al D.lgs 101/2018, su cyberlaws.it
General Data Protection Regulation (EU) 2016/679, pubblicato in Gazzetta Ufficiale in data 4 Maggio 2016
EU regolamento generale sulla protezione dei dati (EU-RGPD), su PrivazyPlan

Portale Diritto

Portale Italia

Portale Sicurezza informatica

[1] ttps://www.agendadigitale.eu/sicurezza/il-gdpr-e-in-vigore-senza-il-decreto-italiano-che-succede-ora/

[2] ttps://www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-che-ce-da-sapere-per-essere-preparati/

[3] ttp://www.doctor33.it/politica-e-sanita/privacy-cosa-cambia-col-nuovo-disegno-di-decreto-maggiore-flessibilita-nel-trattamento-dei-dati-particolari/

[4] Decreto Legislativo 10 agosto 2018, n. 101 - Gazzetta Ufficiale, su gazzettaufficiale.it. URL consultato il 1º luglio 2019.

[5] News Garante per la protezione dei dati personali del 7 febbraio 2012

[6] InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente, su interlex.it. URL consultato il 3 luglio 2019.

[7] InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente, su interlex.it. URL consultato il 3 luglio 2019.

[:0-8] 4, Codice in materia di protezione dei dati personali, su camera.it. URL consultato il 3 luglio 2019.

[9] D.P.R. 313/02, su camera.it. URL consultato il 3 luglio 2019.

[10] Nicholas Vollmer, Indice EU regolamento generale sulla protezione dei dati (EU-RGPD), su www.privacy-regulation.eu, 2 luglio 2021. URL consultato il 30 giugno 2022.

[11] ttps://www.euroconsumatori.eu/articolo/493

[12] Tribunale di Milano - Decreto 27 settembre 1999

[13] ttps://www.leggioggi.it/2018/09/19/nuova-privacy-e-legge-ecco-il-decreto/amp/

[14] Testo codice 196/2003 rev. settembre 2018

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]