Diritto e Fisco | Articoli

Legge sulla privacy: cosa prevede

5 Marzo 2020
Legge sulla privacy: cosa prevede

In un’economia che si basa sempre di più sul web, la protezione dei dati personali sarà un tema sempre più rilevante nel prossimo futuro.

L’economia digitale, i social network, l’utilizzo della mail, di Google Drive o Dropbox rappresentano, sicuramente, una grande opportunità e aprono a scenari ed a prospettive fino a ieri impensabili per tutti noi. Tuttavia, c’è anche un altro lato della medaglia. Questo tipo di economia, fondata sul web e sulla circolazione di informazioni, espone i dati personali delle persone fisiche a dei rischi nemmeno immaginabili in passato. Per questo, gli ordinamenti giuridici hanno adottato delle disposizioni normative volte a proteggere la riservatezza delle persone o, come si suole dire, la privacy. Se ne parla molto ma, realmente, la Legge sulla privacy: cosa prevede?

Il tema della tutela della riservatezza è stato, di recente, interessato da un profondo intervento di riforma normativa. Infatti, l’Unione Europea ha emanato un regolamento in materia di protezione dei dati personali che ha, di fatto, sostituito le normative di cui si erano dotati i vari paesi membri, Italia compresa.

Che cos’è la privacy?

Le leggi devono rincorrere i fenomeni sociali e cercare di rispondere ad esigenze sempre nuove e sempre diverse.

L’avvento dell’economia digitale e di internet hanno determinato nuove sfide per la legge che, molto spesso, non aveva gli strumenti adeguati per affrontare un mondo del tutto nuovo come questo. Una cosa analoga è avvenuta anche con riferimento al diritto alla riservatezza ed alla protezione dei propri dati personali. Questa esigenza era, in passato, del tutto sconosciuta. Oggi, invece, i dati personali della persona sono un business e ci sono delle aziende che, di fatto, incentrano il proprio business proprio sull’utilizzo dei dati delle persone, sui loro gusti commerciali, le loro preferenze, etc.

Per questo, sono state emanate, sia in Italia che negli altri principali paesi d’Europa e del mondo, delle leggi tese a tutelare il diritto alla riservatezza della persona o, meglio, la privacy. Il dato personale è diventato, dunque, un bene giuridico protetto dalle norme.

Di recente, l’Unione Europea ha approvato il cosiddetto Gdpr [1] ossia, il regolamento europeo in materia di protezione dei dati personali. Trattandosi di un regolamento, le sue norme sono immediatamente efficaci in tutti i paesi membri, senza che ci sia bisogno di una specifica normativa interna di recepimento.

Tuttavia, per dare armonia al quadro regolatorio interno, l’Italia ha approvato un apposito provvedimento normativo [2] per armonizzare le disposizioni del Gdpr con quelle del previgente Codice Privacy [3].

Come emerge dal primo considerando del Gdpr, la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale e la stessa Carta dei diritti fondamentali dell’Unione europea, nonchè il trattato sul funzionamento dell’Unione europea stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

Che cos’è un dato personale?

Prima di capire cosa prevede la legge sulla privacy, occorre comprendere cosa si intende per dato personale. Infatti, l’oggetto della protezione offerta dalla normativa è proprio il dato personale. In base alla definizioni fornite dal Gdpr, il dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile – che viene definita “interessato”.

Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

La definizione di dato personale è molto ampia e vi rientrano, dunque, la gran parte delle informazioni inerenti ad una determinata persona fisica.

Che cos’è il trattamento di dati personali?

Altrettanto ampia è la nozione di trattamento dei dati personali fornita dal Gdpr. Infatti, secondo il regolamento europeo, nella nozione di trattamento dei dati personali rientra qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come:

  • la raccolta;
  • la registrazione;
  • l’organizzazione;
  • la strutturazione;
  • la conservazione;
  • l’adattamento o la modifica;
  • l’estrazione;
  • la consultazione;
  • l’uso;
  • la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione;
  • il raffronto o l’interconnessione;
  • la limitazione;
  • la cancellazione o la distruzione.

Legge sulla privacy: cosa prevede?

Chiarito, preliminarmente, cos’è un dato personale e quando siamo di fronte ad un trattamento di dati personali, vediamo cosa prevede la legge sulla privacy.

La legge sulla privacy fissa, innanzitutto, un principio che deve sempre essere seguito da colui che tratta dati personali altrui (il cosiddetto titolare del trattamento): il principio di accountability o responsabilizzazione.

Secondo questo principio, la legge sulla privacy non fissa al titolare del trattamento una serie di misure da rispettare nella gestione dei dati, ma si limita a fissare i principi guida da seguire nel trattamento dei dati. E’, dunque, rimessa alla responsabilità del singolo titolare del trattamento l’individuazione delle misure più idonee per una effettiva tutela dei dati personali trattati.

In particolare, la legge sulla privacy fissa i principi ispiratori a cui il titolare del trattamento deve attenersi.

Questi principi sono i seguenti:

  1. liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
  2. limitazione della finalità: i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità;
  3. minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
  4. esattezza: i dati personali devono essere esatti e, se necessario, aggiornati. Inoltre, devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
  5. limitazione della conservazione: i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;
  6. integrità e riservatezza: i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.

Il titolare del trattamento, in base al principio di accountability, deve essere in grado di dimostrare, in caso di verifiche ed ispezioni, che ha seguito questi principi nella gestione del dati personali e nell’adozione delle misure di sicurezza più idonee.

Legge sulla privacy: l’informativa privacy

Uno dei principali obblighi gravanti sul titolare del trattamento è la consegna all’interessato dell’informativa privacy. Il Gdpr, infatti, prevede che il “proprietario” del dato debba essere messo a conoscenza del fatto che il suo dato personale è oggetto di trattamento.

La legge [4] prevede che l’informativa privacy debba contenere le seguenti informazioni:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione;
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione.

L’informativa privacy deve essere consegnata a mani oppure messa a disposizione dell’interessato con altre forme alternative.

Gli altri obblighi fondamentali del titolare del trattamento sono:

  1. nominare chiunque tratti i dati personali per conto del titolare come responsabile del trattamento dei dati;
  2. nominare i dipendenti che trattano dati persone autorizzate al trattamento di dati;
  3. eseguire verifica di impatto del trattamento in alcuni casi.

Legge sulla privacy: che succede in caso di violazione?

La violazione delle norme sulla privacy espone il titolare del trattamento a sanzioni molto pesanti.

Basti pensare che, di recente, il Garante per la privacy ha irrogato a Tim una sanzione di 27.802.946 euro per numerosi trattamenti illeciti di dati legati all’attività di marketing. Le violazioni – secondo quanto riportato dal Garante – hanno interessato nel complesso alcuni milioni di persone. Un utente sarebbe stato chiamato a fini promozionali addirittura 155 volte in un mese.


note

[1] Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27.04.2016.

[2] D. Lgs. 101/2018.

[3] D. Lgs 196/2003.

[4] Art. 13, Regolamento (UE) 2016/679.


Lascia un commento

Usa il form per discutere sul tema (max 1000 caratteri). Per richiedere una consulenza vai all’apposito modulo.

 


NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI

CERCA SENTENZA

Canale video Questa è La Legge

Segui il nostro direttore su Youtube