Le normative in materia - Il diritto alla riservatezza

3 Il diritto alla riservatezza

3.2 Le normative in materia

La riservatezza e la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale322_{tutelato in ambito nazionale, europeo}

e internazionale.

Nella normativa italiana il Codice per la protezione dei dati personali riunisce la normativa vigente in materia prevedendo tre parti: nella prima i principi generali applicabili a ogni trattamento dei dati personali, nella seconda le disposizioni relative a specifici settori dell’amministrazione pubblica e privata e nella terza nonché ultima le forme di tutela amministrativa e giurisdizionale degli interessati, le sanzioni e gli illeciti323_.

Fuori dal contesto italiano, la Carta dei diritti fondamentali dell’Unione europea definisce come ogni individuo abbia diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni324_{e alla protezione e al trattamento}

secondo il principio di lealtà dei dati personali che lo riguardano325_{. Il tema della privacy}

viene menzionato inoltre nel Trattato sul funzionamento dell’Unione europea (TFUE)326_,

nella Dichiarazione universale dei diritti umani (UDHR) delle Nazioni Unite (ONU)327_e

nella Convenzione Europea dei Diritti dell’Uomo328_.

Di recente promulgazione si colloca il già menzionato Regolamento generale sulla protezione dei dati personali (General Data Protection Regulation, noto con la sigla GDPR). Il testo europeo, entrato in vigore nel maggio 2016, è stato reso applicabile in tutti gli Stati membri dell’Unione europea dal 25 maggio 2018, costituendo di fatto la nuova normativa in materia di trattamento dei dati personali e di libera circolazione di tali dati329_.

Nella normativa italiana il GDPR è stato recepito con il Decreto Legislativo 10 agosto 2018, n. 101330_{. Abrogando e modificando diversi articoli, esso ha adeguato il}

322 _{GUUE [2016a], primo considerando.}

323 _{Cfr. GU [2003b]. Da ora in poi abbreviato come Codice della privacy.} 324 _{GUUE [2016b], art. 7.}

325 _{GUUE [2016b], art. 8.} 326 _{GUUE [2012], art. 16.} 327 _{ONU [1948], art. 12.} 328 _{CEDU [1950], art. 8.} 329 _{GUUE [2016a], art. 1, c. 1.} 330 _{GU [2018].}

Codice della privacy alle disposizioni europee, che rimane comunque valido per gli specifici articoli non esplicitamente abrogati dal detto decreto331_.

3.2.1 Ambito di applicazione

Il GDPR disciplina il trattamento di dati personali conservati in un archivio332_di

interessati che si trovano nell’Unione Europea effettuato da un titolare o un responsabile che può o meno risiedere nell’Unione Europea333_{. Con il termine “trattamento” si intendono}

tutte quelle operazioni, automatizzate e non, di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto, interconnessione, limitazione e cancellazione334_.

Il Regolamento esclude la gestione di dati personali per attività di sicurezza nazionale o di ordine pubblico, ossia effettuati dalle autorità competenti per gli scopi di prevenzione, indagine, individuazione e persecuzione di reati penali o esecuzione di provvedimenti penali335_.

Il campo di applicazione riguarda i dati personali di persone fisiche, e non di soggetti aventi personalità giuridica336_{, trattati in qualsiasi attività (professionale,}

economica, di interesse pubblico, associativa, eccetera) a esclusione delle attività della vita personale o domestica (ad accezione della pubblicazione on line di dati personali di persone fisiche, anche se nell’ambito personale o domestico, in quanto si tratta di divulgazione indistinta)337_.

331 _{A mero scopo informativo il Garante per la protezione dei dati personali rende disponibile sul proprio}

sito web istituzionale il Codice della privacy integrato con le modifiche introdotte dal D. Lgs. n. 101 del 10/08/2018: <www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+ dei+dati+personali+%28Testo+coordinato%29.pdf/b1787d6b-6bce-07da-a38f-3742e3888c1d? version=1.7>.

332 _{Reg. UE 679/2016, art. 2, c. 1. L’art. 4. definisce l’archivio come “qualsiasi insieme strutturato di dati}

personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”. In modo simile viene definito nel Codice della privacy come “banca dati” nella normativa italiana.

333 _{GUUE [2016a], art. 3.} 334 _{GUUE [2016a], art. 3.} 335 _{GUUE [2016a], art. 2}

336 _{GUUE [2016a], quattordicesimo considerando.} 337 _{GUUE [2016a], diciottesimo considerando.}

3.2.2 Dati personali

I dati personali riguardano qualsiasi informazione inerente a una persona fisica individuata, direttamente o indirettamente, tramite un identificativo (nome, numero di identificazione, dati relativi all’ubicazione, identificativo online o altri elementi caratteristici della propria identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale)338_.

Il testo europeo individua particolari categorie di dati che richiedono specifiche attenzioni e che presentano rischi specifici per i diritti e le libertà fondamentali o per la dignità dell’interessato. È vietato in particolare trattare i dati sensibili relativi all’origine razziale o etnica, alle opinioni politiche, religiose e filosofiche, all’adesione a partiti, sindacati e associazioni, i dati genetici e biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona339_{e i dati relativi alle condanne penali e ai reati}340_.

3.2.3 Principi

Il trattamento dei dati personali deve avvenire nel rispetto dei principi generali individuati nel GDPR. I dati devono essere trattati in modo lecito, corretto e trasparenza (principio di liceità e correttezza) e raccolti per scopi legittimi, determinati ed espliciti in altre operazioni del trattamento in termini compatibili con tali scopi (principio di limitazione della finalità). I dati devono essere adeguati, pertinenti e limitati rispetto agli obiettivi per i quali sono raccolti e trattati (principio di minimizzazione dei dati), esatti, completi e aggiornati (principio di esattezza) e conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore al conseguimento delle finalità per le quali sono trattati (principio di limitazione della conservazione), trattati in modo da garantire una sicurezza appropriata dei dati personali da trattamenti non autorizzati o illeciti o da danni accidentali (principio di integrità e riservatezza). Infine, il

338 _{GUUE [2016a], art. 4.} 339 _{GUUE [2016a], art. 9, par. 1.} 340 _{GUUE [2016a], art. 10.}

titolare del trattamento è competente per il rispetto dei suddetti principi (principio di responsabilizzazione)341_.

Nel documento Diritto d’autore, di distribuzione e di riservatezza nella gestione delle fotografie digitali nelle biblioteche e negli archivi. La situazione in Italia e Austria (pagine 65-69)