Diritto e Fisco | Articoli

Privacy: cosa sapere

10 settembre 2018 | Autore:


> Diritto e Fisco Pubblicato il 10 settembre 2018



Trattamento dati personali, informativa e consenso, Gdpr, adempimenti: le novità sul diritto alla riservatezza.

È stato recentemente pubblicato in Gazzetta ufficiale il nuovo regolamento generale sulla protezione dei dati, il decreto sulla privacy [1], che allinea la normativa del nostro Paese al regolamento europeo sulla privacy Gdpr (general data protection regulation). La nuova norma prevede un periodo transitorio, durante il quale continueranno ad essere efficaci le precedenti disposizioni del Garante della privacy e i codici deontologici vigenti. Il provvedimento entra in vigore il 19 settembre del 2018, e non abroga ma integra il precedente Codice della privacy [2] con le nuove disposizioni. È previsto un periodo di otto mesi in cui il Garante, nello stabilire eventuali sanzioni per chi non si conforma alle nuove regole, terrà conto del periodo transitorio necessario all’adeguamento. Il Garante, inoltre, promuoverà modalità semplificate di adempimento degli obblighi per i titolari del trattamento dati. Ma che cos’è la privacy? A quali adempimenti sono tenuti professionisti e imprese? Che cosa deve sapere il cittadino riguardo al trattamento dei dati personali? Quali rischi si corrono nel conferire l’autorizzazione al trattamento dei dati? Facciamo il punto della situazione sulla privacy: cosa sapere, chi può effettuare il trattamento dei dati personali, quali sono le regole generali e specifiche per i dati sensibili, quali i diritti del cittadino.

Che cos’è il diritto alla privacy?

Il diritto alla privacy è il diritto soggettivo di costruire liberamente e difendere la propria sfera privata, controllando l’uso che gli altri fanno delle informazioni che riguardano il singolo individuo: è un diritto fondamentale garantito dalla Costituzione. La Costituzione non contiene una disciplina specifica del diritto alla privacy, ma il suo fondamento costituzionale si rinviene nel riconoscimento dei diritti inviolabili dell’uomo, per il legame che si instaura tra persona e formazioni sociali, e per la previsione di doveri inderogabili di solidarietà economica, politica e sociale.

Che cos’è il codice privacy?

Nel 2003, la disciplina sulla privacy è stata riunita in un codice, il Codice di protezione dei dati personali, o Codice della privacy [2]. In particolare, il Codice contiene tutta la normativa in materia, ma solo nei suoi aspetti fondamentali, in quanto l’abbondante produzione di codici deontologici da un lato, e le numerose pronunce del Garante e della giurisprudenza dall’altro, determinano la costante evoluzione della disciplina.

Che cos’è il Gdpr?

Non bisogna dimenticare, poi, il nuovo Regolamento europeo in materia di protezione dei dati personali, il Gdpr (general data protection regulation): questo regolamento, entrato in vigore il 25 maggio 2018 e recepito dal nuovo decreto sulla privacy [1], ha la finalità di armonizzare le regole privacy dei vari Stati e di sviluppare il mercato unico digitale, attraverso la creazione e la promozione di nuovi servizi, applicazioni, piattaforme e software.

Il Gdpr costituisce, con la direttiva europea del 2016 [3] (relativa alla protezione delle persone riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali), il cosiddetto pacchetto protezione dati personali.

La privacy contrasta con la trasparenza amministrativa?

Il diritto dell’individuo alla riservatezza è un diritto fondamentale, che deve essere, però, bilanciato con il perseguimento di un’altra finalità: quella della trasparenza amministrativa e della lotta alla corruzione, attraverso la diffusione dei documenti in possesso della Pubblica Amministrazione.

Per equilibrare il diritto cittadino alla conoscenza dell’attività pubblica col diritto alla riservatezza delle persone, è divenuta regola generale la valutazione dei rischi relativi al trattamento dei dati: in pratica, devono essere valutati i rischi per la vita privata e per la dignità delle persone interessate che possono derivare da obblighi di pubblicazione sul web di dati personali, non sempre indispensabili a fini di trasparenza.

Che cos’è il trattamento dei dati?

Il trattamento dei dati è qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, riguardanti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.

Come può avvenire il trattamento dei dati personali?

Il trattamento dei dati personali può avvenire solo per una specifica finalità, e deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, e della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. In pratica, il trattamento deve avvenire per scopi determinati, espliciti e legittimi.

Il trattamento dei dati deve poi avvenire in osservanza dei seguenti principi:

  • semplificazione di adempimenti e procedure;
  • efficacia;
  • adeguatezza e proporzionalità dei dati rispetto alle finalità: le informazioni raccolte devono essere pertinenti rispetto alle finalità istituzionali del trattamento, non eccedenti e complete;
  • necessità: possono essere raccolti solo i dati necessari per il trattamento che si intende realizzare;
  • indispensabilità: bisogna verificare l’indispensabilità dei dati personali rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa;
  • correttezza: chi tratta i dati personali deve comportarsi garantendo la liceità e la correttezza del trattamento (la raccolta dati deve avvenire in modo legittimo e trasparente, non col ricorso ad artifizi e raggiri);
  • precauzione: nel trattamento dei dati personali occorre prevenire ogni forma di illecito utilizzo, anche per negligenza o imperizia;
  • autodeterminazione informativa: ogni individuo ha diritto di stabilire se ed in che misura le informazioni a lui riferite possono circolare ed essere conosciute dagli altri.

Chi è il titolare del trattamento dati?

Il titolare del trattamento dati è il chi esercita un potere decisionale del tutto autonomo sulle finalità e modalità del trattamento, compreso il profilo della sicurezza; può essere una persona fisica, una persona giuridica o un ente. È il titolare ad avere la responsabilità riguardo alle operazioni di trattamento dei dati.

Chi è il Dpo?

Il Dpo, o responsabile del trattamento è la persona (fisica o giuridica) designata, per iscritto, dal titolare del trattamento, che ha il compito di garantire la tutela della privacy all’interno dell’azienda, o dell’amministrazione, attraverso vari strumenti (verifica della corretta applicazione del Regolamento, formazione del personale…). Deve essere scelto tra persone che per esperienza o capacità forniscano idonea garanzia sul pieno rispetto delle norme in materia di trattamento dei dati, compreso il profilo della sicurezza.

Chi è l’incaricato del trattamento dati?

L’incaricato del trattamento è chiunque compie operazioni di trattamento sotto la diretta autorità del titolare o del Dpo, dietro istruzioni specifiche. L’incaricato deve essere fornito attraverso una lettera di designazione, in cui deve essere individuato e circoscritto l’ambito dei trattamenti consentiti, che varia in relazione alle tipologie dei dati da trattare.

Chi è l’interessato?

L’interessato è la persona cui si riferiscono i dati.

Chi è il Garante privacy?

Il Garante della privacy, o meglio, il Garante per la protezione dei dati personali, ha il compito di vigilare sull’applicazione della legge e svolgere, a tal fine, una serie di funzioni (regolamentari e giurisdizionali) per tutelare coloro che sono stati lesi in un diritto o una libertà riferita al trattamento dei dati personali.

Come devono essere raccolti e trattati i dati?

I dati personali oggetto di trattamento devono essere:

  • trattati in modo lecito e secondo correttezza;
  • raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
  • esatti e, se necessario, aggiornati;
  • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  • conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario alle finalità di raccolta e trattamento;

I dati personali trattati in violazione di queste regole, e della normativa in genere, non possono essere utilizzati.

Quali sono i diritti dell’interessato?

L’interessato dal trattamento dei dati ha il diritto:

  • di opporsi per motivi legittimi al trattamento dei dati personali che lo riguardano;
  • di ottenere:
    • la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intellegibile;
    • l’origine dei dati personali;
    • l’indicazione delle finalità e modalità del trattamento;
    • gli estremi identificativi del titolare, dei responsabili e del rappresentante designato;
    • l’aggiornamento e l’integrazione dei dati;
    • la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge.

Come si richiede l’accesso ai dati personali?

Per richiedere l’accesso ai dati personali, va presentata una domanda al titolare o al responsabile del trattamento; se si chiede solo di conoscere lo stato dei dati, senza alcun intervento su di essi, la domanda può essere fatta anche verbalmente (deve comunque essere annotata dal responsabile o dall’incaricato del trattamento).

Si può richiedere l’accesso ai dati personali tramite un delegato?

Il diritto di accesso ai dati personali può essere esercitato anche per delega o procura, che deve essere scritta dall’interessato e può essere rivolta a persone fisiche, enti, associazioni o organismi.

Che cos’è l’informativa privacy?

L’informativa privacy è una dichiarazione che il titolare o il responsabile rende all’interessato, che indica come saranno trattati i dati e quali sono i diritti dell’interessato che, comunque, in qualsiasi momento può revocare il consenso al trattamento e chiedere la cancellazione delle informazioni che lo riguardano. L’informativa è indispensabile affinché il consenso dell’interessato al trattamento dei dati sia valido.

Nell’informativa vanno indicati:

  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati, o che possono venirne a conoscenza in qualità di responsabili o incaricati;
  • le finalità e le modalità del trattamento dei dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati;
  • il diritto di accesso dell’interessato ed i diritti connessi;
  • le generalità del titolare ed eventualmente del responsabile;
  • la possibilità di revocare il consenso in qualsiasi momento;
  • il tempo entro il quale i dati sensibili sono trattati, scaduto il quale il trattamento diventa illegittimo.

Che cosa significa privacy by default?

Il principio di privacy by default, al quale fa riferimento il Gdpr, comporta l’obbligo di tutelare la privacy dei cittadini di default, cioè come impostazione predefinita di chi tratta i dati, amministrazione, privato o azienda. In altri termini, chi tratta i dati personali deve necessariamente dotarsi di un sistema idoneo a proteggerli adeguatamente e ad evitare il rischio di una loro violazione.

Che cosa significa privacy by design?

Il principio di privacy by design, invece, implica l’obbligo di proteggere i dati sin dalla progettazione del loro processo di gestione. In parole semplici, ogni azienda o amministrazione deve effettuare una valutazione preventiva dei rischi legati alla privacy che la gestione dei dati personali comporta.

Che cos’è il consenso?

Il consenso è l’accordo dell’interessato al trattamento dei dati personali; può riguardare anche una o più parti delle operazioni di trattamento.

Il consenso deve essere:

  • informato: non è considerato valido un consenso non preceduto dall’informativa privacy;
  • esplicito.

In alcuni specifici casi il consenso non è richiesto, ad esempio quando il trattamento è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa europea per la gestione del rapporto di lavoro, o se ha ad oggetto dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.

Quando finisce il trattamento dei dati?

Il trattamento dei dati deve cessare al terminare dello scopo per il quale essi sono raccolti e lavorati. In ogni caso, nell’informativa privacy deve essere indicato il termine di scadenza dei dati, ossia entro il quale cessa il trattamento.

Scaduto il termine, il trattamento dati diviene illegittimo.

note

[1] D.lgs. n.101/2018.

[2] D.lgs. n.196/2003.

[3] Dir. UE 2016/680.

Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

ARTICOLI CORRELATI

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI