Codice della Privacy (sintesi)

(1)

D. LGS. 10 AGOST O 2018, N. 101

REG. UE 2016/679 DEL 27 APRILE 2016

Codice della Privacy (sintesi)

#MenteInForma

(2)

Sommario

1) Introduzione



Diritto alla privacy



Evoluzione normativa



Oggetto e finalità

2) Definizioni e principi

3) Trattamento del dato

4) Soggetti interessati

5) Adempimenti

6) Tutela



Autorità di controllo

Codice della Privacy

MenteInForma

2

(3)

Diritto di Riservatezza (privacy)

 Diritto alla Riservatezza: è un diritto soggettivo che assicura a ciascuno la costruzione e la difesa di una «sfera privata» di informazioni che lo

riguardano

 Principio di Trasparenza (D.Lgs. 33/2013):

deve essere opportunamente «bilanciato» con il diritto alla riservatezza dei privati

Codice della Privacy: introduzione

MenteInForma

3

(4)

Evoluzione normativa

 D.Lgs. 30 Giugno 2003, n. 196 – Codice in materia di protezione dei dati personali (cd. Codice della Privacy)

 Regolamento UE 2016/679 del 27 Aprile 2016 – GDPR (General Data Protection Regulation)

 D.Lgs. 10 Agosto 2018, n. 101 – (nuovo) Codice della Privacy: assicurare uno spazio di libertà, sicurezza e

giustizia; nonché rafforzare la protezione dei dati a seguito dell’evoluzione tecnologica



Disposizioni Generali



Disposizioni Specifiche



Tutela dell’interessato e sanzioni

MenteInForma

4

(5)

Oggetto e finalità

 Oggetto: il trattamento dei dati personali avviene secondo il regolamento europeo ed il codice della privacy, nel rispetto di:



Dignità umana



Diritti e libertà fondamentali delle persone

 Finalità: protezione dei diritti e delle libertà

fondamenti delle persone fisiche, a prescindere dalla nazionalità (sono escluse, quindi, le persone

giuridiche)

MenteInForma

5

(6)

Ambito oggettivo e territoriale

 Ambito oggettivo: le disposizioni del codice si

applicano ai trattamenti automatizzati (totalmente o parzialmente) o manuali di dati personali contenuti in archivi o destinati a figurarvi



Archivio: qualsiasi insieme strutturato i dati

personali, accessibili con criteri determinati, sia per insiemi centralizzati che non e comunque ripartiti



Trattamenti esclusi

 Finalità di politiche estera e sicurezza comune

 Attività di prevenzione, indagine, accertamento o perseguimento di reati

 Attività personale o domestica

 Ambito territoriale: tutti i cittadini dell’Unione Europea, anche per ISP (Internet Service Provider) o altri utilizzatori di dati all’estero

MenteInForma

6

(7)

Definizioni



Dati personali: tutte le informazioni riguardanti persone fisiche identificate o identificabili



Trattamento: qualunque operazione sui dati personali come raccolta, registrazione, organizzazione



Profilazione: qualunque trattamento automatizzato di dati personali per valutare determinati aspetti personali come interessi, preferenze, reddito



Pseudominizzazione: trattamento dei dati in modo tale che questi non siano attribuibili a specifici soggetti, senza informazioni aggiuntive

custodite separatamente



Titolare del trattamento: persona fisica o giuridica, anche pubblica, che determina finalità e mezzi del trattamento dei dati personali



Responsabile del trattamento: persona fisica o giuridica, anche

pubblica, che tratta i dati personali per conto del titolare del trattamento



Destinatario: persona fisica o giuridica, anche pubblica, che riceve comunicazioni sui dati personali



Terzo: qualunque soggetto diverso dall’interessato, dal titolare o dal responsabile o dal destinatario

Codice della Privacy: definizioni e principi

MenteInForma

7

(8)

Principi generali



Principio di liceità e correttezza

 L’interessato ha espresso il suo consenso al trattamento

 Il trattamento è necessario per l’esecuzione di un contratto

 Il trattamento è necessario per soddisfare un obbligo legale gravante sul titolare

 Il trattamento è necessario per gli interessi vitali dell’interessato o di altra persona

 Il trattamento è necessario per interesse pubblico o legittimo interesse del titolare



Principio di trasparenza: le modalità con cui sono raccolti i dati devono essere noti e trasparenti



Principio di essenzialità dei dati: la scelta dei dati da trattare deve essere effettuata in base allo scopo del trattamento



Principio di limitazione delle finalità dei dati: i dati devono essere raccolti per delle finalità determinate, esplicite e legittime, un eventuale uso dei dati per finalità diverse è consentito solo se le

nuove finalità sono comunque compatibili con quelle iniziali

MenteInForma

8

(9)

Principi generali



Principio di minimizzazione dell’uso dei dati: i dati devono essere utilizzati in modo adeguato, pertinente e limitato al

perseguimento delle finalità



Principio di esattezza dei dati: i dati raccolti devono essere sempre esatti ed aggiornati, in caso di errori devono essere

rettificati o cancellati



Principio della limitazione della conservazione: i dati

raccolti vanno conservati per il tempo necessario al conseguimento delle finalità



Principio dell’integrità e della riservatezza: devono essere adottate le misure atte a tutelare i dati dalla loro perdita, distruzione o uso illecito



Principio di responsabilizzazione (accountability): il titolare del trattamento deve essere in grado di dimostrare il

rispetto delle prescrizioni del codice della privacy, nell’ambito della sua organizzazione

MenteInForma

9

(10)

Consenso al trattamento



Consenso (art. 4): qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato



Trattamento di dati di minori (meno di 16 anni in Europa, 14 anni in Italia): occorre il consenso dei genitori o di chi ha la responsabilità genitoriale



Caratteristiche del consenso

 Inequivocabile: non deve sussistere alcun dubbio che l’interessato lo abbia espresso, in modo esplicito o implicito (solo esplicito per dati sensibili)

 Libero: l’interessato deve adoperare una scelta effettiva priva di intimidazioni o raggiri

 Specifico: il consenso deve essere appositamente per le finalità da perseguire

 Informato: l’interessato deve conoscere i dati trattati, le modalità e le finalità

 Verificabile: deve esserci una correlazione tra il consenso ed il trattamento

 Revocabile: può avvenire in qualsiasi momento, senza motivazione e con diritto di cancellazione, salvo effetti giuridici

Codice della Privacy: trattamento del dato

MenteInForma

10

(11)

Consenso al trattamento

 Durata della conservazione: il consenso non dura

per sempre, ma l’interessato deve conoscere la sua durata



Scadenza del consenso: il dato deve essere anonimizzato o cancellato

 Condizioni di liceità



Dati personali diversi dai dati particolari (cfr. art. 9):

occorre il consenso



Dati particolari: consenso esplicito, salvo casi aggiuntivi (art. 9 p.

2)



Dati relativi alla salute: non occorre il consenso per esigenze di medicina preventiva, diagnosi, interesse pubblico sanitario

MenteInForma

11

(12)

Tipologie di trattamento dei dati

 Trattamento per compiti di interesse pubblico

 Trattamento di categorie particolari di dati

 Trattamento di dati genetici, biometrici e di salute

 Trattamento di dati su condanne penali e reati

 Trattamento di dati in ambito pubblico

MenteInForma

12

(13)

Trattamento per interesse pubblico

 La disciplina del trattamento del dato non dipende dalla natura pubblica o privata del titolare, ma dalla finalità perseguita

 I dati personali trattati in violazione delle disposizioni del codice sono inutilizzati

 Requisiti di liceità (art. 6)



Necessità del trattamento



Consenso dell’interessato

 Trasmissione del dato tra soggetti con finalità pubblica:



È concessa se necessaria alla finalità di interesse pubblico, previa comunicazione al garante almeno 45 giorni prima



Non è ammesso, a meno che esista una norma di legge specifica, il

trattamento del destinatario della comunicazione per finalità diverse da quelle di interesse pubblico

MenteInForma

13

(14)

Trattamento di categorie particolari

 Categorie particolari di dati personali (dati sensibili, art. 9)



È vietato, salvo eccezioni, trattare dati che riguardano:



Origine razziale o etnica



Convinzioni religiose o filosofiche



Appartenenza sindacale



Dati genetici, biometrici (identificativi)



Dati di salute, vita e orientamento sessuale

MenteInForma

14

(15)

Trattamento di categorie particolari



Categorie particolari di dati personali (dati sensibili, art.

9)

 Eccezioni (trattamento necessario)

 Consenso esplicito dell’interessato per finalità specifiche

 Per obblighi di diritto del lavoro, sicurezza o protezione sociale di interessato o titolare

 Per finalità politiche, filosofiche, religiose, o sindacali, di fondazioni, associazioni o altri organismi senza scopo di lucro, e riguardante i soli membri o ex-membri, con divieto di comunicare i dati all’esterno senza il consenso dell’interessato

 Dati personali resi pubblici dall’interessato

 Per funzioni giurisdizionali (accertare, esercitare o difendere diritti)

 Per motivi di interesse pubblico

 Per medicina preventiva e del lavoro

 Per ricerca scientifica, storica o a fini statistici

 Trattamento necessario per motivi di interesse pubblico rilevante (art. 2-sexies Codice Privacy)

 È concesso qualora sia previsto dal diritto dell’UE o della nazione

MenteInForma

15

(16)

Trattamento dati: genetici, biometrici, salute



Requisiti di liceità del trattamento:

 consenso esplicito

 necessità



Garanzie supplementari: sono concesse dal regolamento, agli stati membri, per mantenere o introdurre ulteriori condizioni



Definizioni

 Dati genetici: dati personali sulle caratteristiche genetiche ereditarie, riguardanti la salute e risultanti da analisi di campioni biologici

 Dati biometrici: dati personali risultanti da analisi tecniche su caratteristiche fisiche, fisiologiche che consentono l’identificazione (es. immagine facciale, dati dattiloscopici)

 Dati relativi alla salute: dati personali sulla salute fisica e mentale, prestazioni di servizi sanitari e che riconducono allo stato di salute



Trattamento: non è assolutamente concessa la diffusione, e l’uso è subordinato a misure di garanzia emesse dal Garante con

provvedimento biennale a consultazione pubblica

MenteInForma

16

(17)

Trattamento dati di condanne penali e reati

 Trattamento: deve avvenire sotto il controllo dell’autorità pubblica, disposizione di legge o regolamento che lo autorizzi



Deve prevedere la tutela dei diritti e delle libertà degli interessati

 Registro delle condanne penali: deve essere tenuto sotto il controllo dell’autorità pubblica

MenteInForma

17

(18)

Trattamento dati in ambito pubblico

 Accesso pubblico: può essere ritenuto di interesse pubblico



Deve riguardare documenti ufficiali



Sono esclusi comunque i dati relativi salute, vita sessuale, orientamento sessuale



Si applica la L. 241/1990 e s.m.i. (D.Lgs. 33/2013)



Finalità: conciliare il diritto di accesso con la tutela della privacy

MenteInForma

18

(19)

Informazioni dell’interessato



Principi di correttezza e trasparenza: l’interessato deve essere informato dell’esistenza del trattamento e delle sue finalità (artt. 13- 14 Regolamento)



Informazioni sul trattamento

 Dati di contatto del titolare, del responsabile del trattamento e del responsabile della protezione dei dati

 Base giuridica e legittimo interesse sul trattamento

 Eventuale trasferimento dei dati in paesi terzi

 Periodo di conservazione

 Processi automatizzati e profilazione



Tempi e modalità: le informazioni sul trattamento devono essere fornite all’interessato prima della raccolta dei dati

 Eventuali modifiche delle finalità devono essere comunicate prima del trattamento



Caratteristiche delle informazioni: devono essere precise, concise, trasparenti, intelligibile, facilmente accessibili

Codice della Privacy: soggetti interessati

MenteInForma

19

(20)

Diritti dell’interessato

 Modalità: l’interessato ha diritto di rivolgersi

direttamente al titolare del trattamento, per ricevere informazioni, comunicazioni, e modalità trasparenti per l’esercizio dei suoi diritti

 Tempi: entro un mese dalla richiesta

dell’interessato, il titolare deve fornire all’interessato le informazioni richieste

 Costi: le informazioni all’interessato devono essere fornite gratuitamente, a meno di contributi spese

«ragionevoli» in caso di richieste infondate o eccessive

MenteInForma

20

(21)

Diritti dell’interessato

 Oggetto (artt. 15-22 Regolamento)

 Diritto di accesso dell’interessato: comprende il diritto di conferma del

trattamento, nonché di accedere alle finalità, ai destinatari, conoscere il periodo ed esercitare diritto di reclamo

 Diritto di rettifica: può essere esercitato per dati inesatti o per integrazioni

 Diritto alla cancellazione o diritto all’oblio: può essere chiesto per termine delle finalità, revoca del consenso, opposizione, illiceità del trattamento

 Eccezione: il diritto all’oblio non può essere chiesto se il trattamento è finalizzato a libertà di espressione o informazione, per obblighi legali, interesse pubblico sanitario, ricerca e statistica, difesa in ambito giudiziario

 Diritto di limitazione del trattamento: può essere chiesto per illiceità del trattamento (al posto della cancellazione), per rettifica dei dati o opposizione al trattamento

 Diritto alla portabilità dei dati: l’interessato ha diritto di ricevere i dati che lo riguardano, in formato leggibile strutturato

 Diritto di opposizione: l’interessato ha diritto di negare l’uso dei suoi dati personali o la profilazione, salvi interessi legittimi

MenteInForma

21

(22)

Diritti dell’interessato

 Limitazioni di obblighi e diritti (art. 23)



Gli stati membri dove ha sede il soggetto titolare del trattamento o responsabile del trattamento, possono limitare obblighi e diritti dell’interessato



D.Lgs. 101/2018: limitazione dei diritti dell’interessato per interessi giuridici particolari quali



Interessi tutelati da norme di riciclaggio e vittime di estorsione



Attività delle Commissioni parlamentari d’inchiesta



Attività di particolari soggetti pubblici in materia di politica

monetaria, valutaria, sistema di pagamenti, mercati e lo stabilità



Attività investigative



Altre limitazioni ai diritti dell’interessato



Ragioni di giustizia, per la salvaguardia dell’indipendenza della magistratura



Persone decedute, i cui diritti possono essere esercitati da chi ha un interesse proprio (es. mandatario)

MenteInForma

22

(23)

Soggetti interessati al trattamento

 Soggetti

 Titolare e contitolare del trattamento

 Responsabile del trattamento

 Responsabile della protezione dei dati personali (DPO o RPD)

 Titolare e contitolare del trattamento

 Persona fisica o giuridica, anche pubblica, che determina anche assieme ad altri finalità e mezzi del trattamento dei dati personali

 Finalità e mezzi per il trattamento possono essere stabiliti dal diritto dell’UE o dai singoli stati

 Obbligo: mettere in atto le misure tecniche ed organizzative per assicurare il rispetto del regolamento

 Dovere di riservatezza e tutela dei dati da perdite, alterazioni, distruzioni

 Il titolare del trattamento è, in genere, diverso da chi gestisce i dati e determina motivo e modalità del trattamento

 Il titolare è responsabile, giuridicamente, del rispetto degli obblighi della normativa

 Contitolari del trattamento: si hanno quando il titolare non è unico, e le rispettive responsabilità devono essere definite da accordo interno (ripartizione degli obblighi e delle responsabilità)

MenteInForma

23

(24)

Soggetti interessati al trattamento

 Responsabile del Trattamento



Persona fisica o giuridica, anche pubblica, che elabora i dati personali per conto del titolare (data processor)



Funzioni



Garanzia del rispetto delle disposizioni sul trattamento dei dati personali



Tutela dei diritti dell’interessato



Rapporto con il titolare: deve essere definito in forma scritta o con atto giuridico a norma dell’UE o degli stati membri

MenteInForma

24

(25)

Soggetti interessati al trattamento

 Responsabile della Protezione dei Dati Personali (DPO o RPD)



È una figura professionale con competenze giuridiche, informatiche e gestionali



Deve essere coinvolto nelle decisioni sui trattamenti, e deve avere libertà di mezzi e giudizio



Può essere un dipendente del titolare o del responsabile del trattamento



Designazione obbligatoria



Trattamenti di organismi pubblici



Trattamenti che necessitano di monitoraggi regolari degli interessati a livello esteso



Trattamento dei dati particolari o su reati penali

MenteInForma

25

(26)

Adempimenti

 Registro delle attività di trattamento



Deve contenere informazioni sui trattamenti, sui dati trattati, individuazione dei trattamenti che possono provocare rischi per diritti e libertà personali, rispetto della normativa vigente



Obbligatorio per organismi con più di 250 dipendenti



Forma scritta o elettronica, da esibire su richiesta al Garante

 Misure di sicurezza



Scopo: evitare la violazione dei dati, garantire un livello di sicurezza adeguato



Requisiti



Assicurare la riservatezza dei dati



Capacità di recupero a seguito di attacchi o guasti



Procedura di test di sicurezza



Assicurare che chi ha accesso ai dati, non li tratti senza autorizzazione del titolare

Codice della Privacy: adempimenti

MenteInForma

26

(27)

Autorità di Controllo



Definizione dei compiti: sorveglianza sull’applicazioni delle disposizioni a tutela della privacy



Poteri: istruttori, correttivi, autorizzativi e consultivi



Comitato europeo per la protezione dei dati: autorità di controllo a livello europeo sulla privacy

 Raccoglie i codici di condotta approvati e li pubblica



Garante per la protezione dei dati personali: autorità di controllo italiana sulla privacy

 Controlla la liceità dei trattamenti

 Gestisce i reclami

 Promuove regole deontologiche e linee guida

 Denuncia d’ufficio dei reati portategli a conoscenza

 Trasmissione della relazione annuale al Parlamento e al Governo, entro il 31 maggio

 Tutela dei diritti e delle libertà degli individui

 Espletamenti dei compiti attribuitegli dall’UE

MenteInForma

27

Codice della Privacy: adempimenti

(28)

Tutela Amministrativa e Giurisdizionale



Strumenti di tutela dell’interessato



Reclamo all’autorità di controllo: sono salvi eventuali ricorsi amministrativi o giurisdizionali

 Contenuto: fatti e circostanze, sottoscrizione dell’interessato, documentazione utile in allegato

 Termini: decisione sul reclamo entro 9 mesi (12 per esigenze istruttorie) dalla presentazione, con informazione sullo stato entro 3 mesi dalla presentazione



Segnalazione all’autorità di controllo: è attivabile da soggetti diversi dall’interessato



Ricorso giurisdizionale effettivo

 nei confronti dell’autorità di controllo: può essere attivato avverso una decisione

giuridicamente rilevante dell’autorità di controllo o nel caso di inerzia (mancato riscontro entro 3 mesi) della stessa

 nei confronti del titolare o del responsabile del trattamento: l’interessato può proporre ricorso giurisdizionale (giudice di tribunale ordinario) o ricorso amministrativo



Motivi ostativi: il reclamo non può essere presentato se vi è già una controversia pendente tra le parti e viceversa

Codice della Privacy: tutela

MenteInForma

28