Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
GDPR
Dicembre 2020
Privacy e protezione dei dati personali Privacy vs protezione dati personali
Negli anni ‘30, il governo olandese istituì un registro anagrafico in cui venivano riportati i dati identificativi dei cittadini
(nome, indirizzo, identità economica, culturale o sociale, confessioni religiose).
Quando i nazisti invasero i Paesi Bassi utilizzarono il registro per identificare, perseguitare ed assassinare molte
persone a causa delle loro origini etniche, religiose e razziali.
Nel 1943 la resistenza olandese tentò di distruggere il registro civile ad Amsterdam per impedire le persecuzioni
naziste verso gli ebrei (ed altre categorie).
● In questo contesto, nel dopoguerra, è sorta la necessità di proteggere i dati personali (ed i relativi
trattamenti) dall’ingerenza di un’autorità pubblica.
● Tale necessità si è poi concretizzata nell’articolo 8 della Convenzione Europea dei Diritti dell’Uomo
firmata a Roma nel 1950 dai 12 Stati all’epoca membri del Consiglio d’Europa (vedi art. 8)
Privacy americana (1)
● Negli USA esiste una legge federale (Privacy Act 1974), ma tutt’ora, secondo
questo articolo:
○ non sussiste un approccio sovranazionale come in Europa (top-down), quanto piuttosto un
miscuglio di leggi federali e statali, nel quale si segue l’enfatizzazione del diritto di governo dei
singoli Stati (bottom-up);
○ non si esclude l’idea di avere in futuro un’agenzia federale per la tutela della privacy;
○ le esistenti organizzazioni che si occupano di privacy (come Privacy for America) essendo
principalmente delle rappresentanze industriali, fanno in modo di garantire l’approvazione di
leggi che tengano conto dei bisogni dell’industria.
○ Nel novembre 2020 è stato approvato una proposta di modifica al CCPA che porterà a una più
ampia tutela dei diritti della privacy (non solo per i consumatori) California Privacy Rights Act
(CPRA) che entrerà in vigore nel 2023
Privacy in Italia
● La prima elaborazione del diritto alla privacy in Italia si ha nel 1956 con una sentenza della Corte di
Cassazione, a seguito di un ricorso da parte degli eredi del tenore Enrico Caruso nei confronti di una
casa produttrice di un film sulla sua vita (bilanciamento tra riservatezza e diritto di cronaca).
● Nel 1975, si riconobbe il diritto alla privacy in un’altra sentenza della Corte di Cassazione, relativa
ad una delle controversie instaurate dall’ex-imperatrice persiana Soraya Esfandiary contro alcuni
giornali che avevano pubblicato alcune sue fotografie in atteggiamenti intimi con un uomo, nelle
mura della sua abitazione.
● Nel 1996 si ha la prima legge che garantisce il trattamento dei dati personali nel rispetto dei diritti,
delle libertà fondamentali e della dignità delle persone fisiche con particolare riferimento alla
riservatezza ed all’identità personale, nonché l’istituzione di un’Autorità amministrativa indipendente
(il GPDP, vedi più avanti).
● Nel 2003 le norme relative alla privacy e alla protezione del dati confluiscono in un Codice in materia
di protezione dei dati personali
Cronologia della normativa italiana (ed europea)
1985: Accordi di Schengen
Prima di una specifica normativa, l'unica tutela è fornita
1995: direttiva dell’UE 95/46/CE dalla giurisprudenza della Suprema Corte di Cassazione
(relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali)
L. 675/1996 (in vigore dal maggio ’97) Col passare del tempo, alla L.675/1996 si affiancano
D.Lgs 196/2003 (Codice in materia di ulteriori leggi, riguardanti singoli e specifici aspetti del
trattamento dei dati. La sopravvenuta complessità
protezione dei dati personali) normativa creatasi in seguito porta all’emanazione del
gennaio 2012: D.Lgs 196/2003, che ha riordinato interamente la materia.
approvata proposta nuovo regolamento
europeo per protezione dati personali
maggio 2016: Technology is changing faster
6 anni per applicare il
pubblicato sulla gazzetta ufficiale dell’UE il than regulators can keep up -
GDPR: nel frattempo here's how to close the gap |
Regolamento 2016/679 (GDPR)
la tecnologia si è World Economic Forum
maggio 2018: evoluta... (weforum.org)
il Regolamento 2016/679 diventa operativo
agosto 2018:
La Commissione UE ha deciso che fino al 2024 il
integrazione del GDPR nella normativa regolamento non sarà aggiornato, nonostante necessiti
italiana del 2003 (D.Lgs 101/2018) di interventi (vedi questo articolo)
Definizioni (art. 4 D.Lgs 196/2003) - dati
● "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
● "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale;
● "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
● "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da
r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli
articoli 60 e 61 del codice di procedura penale;
Definizioni (art. 4) - persone
● "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
● "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al trattamento di dati personali;
● "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
● "Interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
Definizioni (art. 4) - azioni, banche dati, autorità
● "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal
rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio
dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali
sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a
disposizione, consultazione o mediante interconnessione;
● "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la
loro messa a disposizione o consultazione;
● "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato
identificato o identificabile;
● "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
● "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più
siti;
Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. Se l'interessato presenta la richiesta
mediante mezzi elettronici le informazioni sono fornite in un formato elettronico di uso comune.
Come esercitare il diritto di accesso
● L'interessato può presentare un'istanza al titolare, senza particolari formalità (ad esempio, mediante
lettera raccomandata, telefax, posta elettronica, ecc.) → vedi modulo istanza sul sito del Garante
● Chiunque può rivolgere, ai sensi dell’art. 144 del D.Lgs 196/2003, una segnalazione che il Garante
può valutare anche ai fini dell'emanazione dei provvedimenti di cui all'art. 58 del GDPR → vedi
pagina contatti del Garante
● Il Regolamento europeo non prevede più l'istituto del ricorso per far valere i diritti di accesso ai dati
personali (che pertanto non è più esperibile davanti al Garante a partire dal 25 maggio 2018).
Il Garante (per la Protezione dei Dati Personali)
● Il Garante per la Protezione dei Dati Personali (GPDP, art. 153 D.Lgs 196/2003) è un organo
collegiale indipendente costituito da 4 componenti (2 eletti dalla Camera e 2 dal Senato) scelti tra
persone esperte di diritto e informatica (entrambe le qualificazioni)
● I componenti eleggono nel loro ambito un presidente (il cui voto prevale in caso di parità) e un
vicepresidente (che assume le funzioni del presidente in caso di sua assenza o impedimento)
● Alle dipendenze del Garante è posto l'Ufficio del Garante (art. 156)
Compiti del Garante (art. 154)
● controllare che i trattamenti di dati personali siano conformi al Regolamento nonché a leggi e regolamenti nazionali e
prescrivere, ove necessario, ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere
correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui;
● esaminare reclami;
● (nel caso di trattamenti che violano le disposizioni del Regolamento) rivolgere ammonimenti al titolare del trattamento
o al responsabile del trattamento e ingiungere di conformare i trattamenti alle disposizioni del Regolamento; imporre
una limitazione provvisoria o definitiva del trattamento, incluso il divieto di trattamento; ordinare la rettifica, la
cancellazione di dati personali o la limitazione del trattamento;
● predisporre una relazione annuale sull'attività svolta e sullo stato di attuazione della normativa sulla privacy da
trasmettere al Parlamento e al Governo;
b. cancellati, se:
- i dati non sono più necessari ai fini del perseguimento delle finalità per le quali sono stati raccolti o trattati;
- l'interessato revoca il consenso o si oppone al trattamento; oppure
- i dati sono trattati illecitamente o devono essere cancellati per adempiere a un obbligo legale;
e se non vi sono altri trattamenti per i quali i dati sono considerati necessari (libertà di espressione e informazione,
svolgimento di compiti nel pubblico interesse, trattamenti connessi alla sanità pubblica, ecc.).
d. trasferiti ad un altro titolare (c.d. diritto alla portabilità), se il trattamento si basa sul consenso o su un contratto
stipulato con l’interessato e viene effettuato con mezzi automatizzati.
Diritto di opposizione
E' possibile opporsi al trattamento dei propri dati personali:
a) per motivi connessi alla situazione particolare dell’interessato, da
specificare nella richiesta;
b) (senza necessità di motivare l’opposizione) quando i dati sono trattati per
finalità di marketing diretto.
Sicurezza del trattamento (GDPR art. 32)
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità
del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare
del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso: