tema 24 giugno 2021
Studi - Giustizia Protezione dei dati personali

La normativa vigente più rilevante in materia di protezione dei dati personali è il c.d. Codice della privacy (d.lgs. n. 196 del 2003), che è stato, nella legislatura in corso, profondamente modificato ed integrato dal decreto legislativo n. 101 del 2018, che detta disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati  (c.d. GDPR).

Il decreto legislativo n. 101 del 2018 va ad aggiungersi al decreto legislativo n. 51 del 2018, con il quale l'ordinamento italiano ha attuato la direttiva 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, completando il recepimento del c.d. pacchetto protezione dati dell'Unione europea.

Numerosi sono gli interventi normativi volti a fronteggiare l'emergenza epidemiologica che incidono sulle tematiche afferenti la protezione dei dati personali.

apri tutti i paragrafi

 Il cd. pacchetto protezione dati identifica i recenti (2016) atti normativi di matrice europea relativi al trattamento, la protezione e la libera circolazione dei dati personali, e volti a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell'Unione europea. L'attuale contesto economico-sociale esige  una maggiore attenzione alla tutela della sicurezza dei cittadini e della circolazione (anche transfrontaliera) dei loro dati personali, in un'ottica di bilanciamento con il principio comunitario di libera circolazione all'interno dell'UE. Il nuovo apparato normativo, dunque, mira proprio ad intensificare e innalzare il livello di sicurezza di ciascun cittadino europeo in materia di trattamento dati personali.

Il "pacchetto protezione dati" è composto da distinti atti normativi: 

• il Regolamento 2016/679 UE, concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46. Il Regolamento UE, entrato in vigore il 25 maggio 2016,  reca una disciplina direttamente esecutiva nell'ordinamento degli Stati membri a partire dal 25 maggio 2018.

• la Direttiva 2016/680/UE relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.

Inoltre, nel gennaio del 2017 la Commissione europea ha avviato la revisione della disciplina in materia di tutela della riservatezza delle comunicazioni elettroniche, sia per allinearla agli standard di protezione stabiliti nel pacchetto protezione dati, sia per aggiornarla e renderla tecnologicamente neutra rispetto alla continua evoluzione delle tecnologie in materia di comunicazione e informazione. In particolare, la Commissione europea ha presentato una proposta di regolamento COM(2017)10 con l'obiettivo di sostituire la direttiva 2002/58/CE (cosiddetta e-privacy)  con una normativa direttamente applicabile che garantisca i medesimi livelli di protezione per tutti i cittadini UE utenti delle comunicazioni elettroniche e di certezza giuridica per le imprese fornitrici di servizi in tale settore.

Con riguardo alle principali novità introdotte dal Regolamento 2016/679 UE volte a dare vita ad un quadro più solido e coerente in materia di privacy si segnalano:

  • l'ambito di applicazione territoriale: le norme regolamentari si applicano anche al trattamento di dati personali di soggetti stabiliti nell'Unione Europea da parte di un soggetto stabilito al di fuori della stessa;
  • la liceità del trattamento è ancorata a due requisiti alternativi: la necessità del trattamento, o il consenso dell'interessato. Il consenso dei minori, in relazione ai servizi della società dell'informazione, può essere validamente espresso a partire dai 16 anni (gli Stati possono abbassare tale limite fino a 13 anni); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci;
  • il trattamento di "particolari categorie di dati", corrispondenti sostanzialmente a quelli che nel nostro ordinamento sono definiti come "sensibili e giudiziari". Con particolare riferimento al trattamento di dati genetici, biometrici e relativi alla salute, è consentito agli Stati membri di introdurre disposizioni più stringenti;
  • l'espressa previsione sia del diritto all'oblio (ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), che del diritto alla portabilità dei dati da un titolare del trattamento ad un altro, su richiesta degli interessati;
  • la disciplina relativa al titolare del trattamento e al responsabile del trattamento basata sulla "responsabilizzazione" (accountability) dei suddetti soggetti – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento; viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali;
  • l'introduzione del concetto di protezione dei dati personali "by design" e "by default", ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso;
  • la previsione, in capo al titolare, un obbligo di notifica all'autorità di controllo e di comunicazione all'interessato in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati (c.d. data breach);
  • la necessità di  un'analisi e una preventiva valutazione del rischio inerente al trattamento all'esito della quale il titolare potrà decidere, in autonomia, se iniziare il trattamento ovvero consultare l'autorità di controllo competente che non avrà il compito di autorizzare il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare;
  • l'introduzione della figura del Data protection officer con riguardo agli enti pubblici e agli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui;
  • il nuovo sistema sanzionatorio che si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie per molte violazioni, espressamente indicate dal Regolamento UE; si tratta di sanzioni particolarmente elevate (fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo) ma definite solo nella misura massima, che dunque lasciano ampi spazi di discrezionalità alle autorità di controllo.

Per quanto concerne la Direttiva (UE) 2016/680, essa ha natura di lex specialis rispetto al regolamento generale sulla protezione dei dati, di cui declina princìpi e obblighi con riguardo allo specifico contesto di attività e ai poteri delle autorità di polizia e giudiziarie.

ultimo aggiornamento: 8 giugno 2018

Al fine di provvedere all'adeguamento del quadro normativo interno al Regolamento 2016/679 UE,  legge n. 163 del 2017  (art. 13), ha delegato il Governo ad adottare uno o più decreti legislativi volti ad abrogare espressamente le disposizioni del Codice della privacy incompatibili con quelle del regolamento (UE); a modificare il Codice limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento; a coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni adottate in sede europea; ad adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

In attuazione della predetta delega il Governo ha trasmesso alle Camere, il 10 maggio 2018, lo schema di decreto legislativo AG 22,  assegnato alle Commissioni speciali per l'esame di atti del Governo del Senato e della Camera. Dopo un ampio ciclo di audizioni informali, la Commissione della Camera ha espresso, il 20 giugno 2018, un articolato parere favorevole, con numerose condizioni e osservazioni.

Il Governo ha dunque emanato il decreto legislativo n. 101 del 2018.

La nuova normativa sulla protezione dei dati personali risulterà quindi dalle norme del Regolamento UE, direttamente applicabili, nonché dalle residue disposizioni del Codice della privacy così come riformato dal d.lgs. n. 101/2018.

Il decreto legislativo contiene un corpus di norme complesso e interviene con abrogazioni e modificazioni sulla quasi totalità dei 186 articoli del codice della privacy vigente.

In particolare, articoli 1 e 2 del provvedimento modificano la Parte I del Codice della privacy dedicata alle disposizioni generali. Gli attuali 46 articoli che compongono la Parte I sono infatti abrogati dalla riforma e ridotti a 16: le disposizioni generali sul trattamento dei dati personali sono infatti ora prevalentemente contenute nel Regolamento.

Sono introdotte nella I parte del Codice 14 nuove disposizioni (articoli da 2-bis a 2-quinquiesdecies) che integrano quanto disposto dal Regolamento in materia di fondamento giuridico del trattamento, limitazioni ai diritti degli interessati, titolare e responsabile del trattamento, regole deontologiche e categorie particolari di dati.

Tra le novità più significative:

  • con riguardo ai trattamenti per motivi di interesse pubblico si conferma la necessità di un fondamento legislativo; è peraltro consentita, anche a prescindere da tale fondamento, ma previa necessaria notifica al Garante, la comunicazione dei dati tra soggetti che li trattano per finalità pubbliche. Tale possibilità è offerta, non solo ai soggetti pubblici, come attualmente, ma anche ai privati purché gli stessi trattino i dati per finalità di interesse pubblico (nuovo articolo 2-ter del Codice).
  • la previsione della promozione da parte del Garante dell'adozione di regole deontologiche sulla base della possibilità offerta dal legislatore europeo agli Stati di dettare disposizioni più stringenti per la disciplina del trattamento dati in determinati settori. Il rispetto di tali regole, che dovranno essere emanate previa sottoposizione a consultazione pubblica, costituisce requisito di liceità del trattamento (nuovo articolo 2-quater del Codice). Conseguentemente, è prevista (articolo 20) una disciplina transitoria specifica per i codici di deontologia e di buona condotta vigenti.
  • per i trattamenti dei dati nell'ambito dei servizi della società dell'informazione che richiedono il consenso dell'interessato, tale consenso può essere espresso direttamente dai minori che hanno compiuto 16 anni. Per tutti gli altri minori il consenso deve essere espresso da coloro che esercitano la responsabilità genitoriale (nuovo articolo 2-quinquies del Codice).
  • la ridefinizione della disciplina dei c.d. "dati sensibili": con l'entrata in vigore del Regolamento UE, tale categoria di dati sensibili, è assorbita nella definizione di «categorie particolari di dati personali». In generale, il trattamento di questi dati  - che sostanzialmente sono gli stessi già definiti "sensibili" con l'aggiunta dei dati genetici e biometrici e relativi all'orientamento sessuale - è vietato, a meno che non trovi fondamento nel consenso esplicito dell'interessato ovvero nella necessità del trattamento stesso per una serie di motivi tassativamente elencati. Per dare attuazione a questa disposizione il nuovo articolo 2-sexies del Codice, disciplina il trattamento delle categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante, consentendolo solo in presenza di un fondamento legislativo o regolamentare che specifichi i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante. Tra i dati particolari si colloca anche la categoria dei dati genetici, biometrici e relativi alla salute, per il cui trattamento il regolamento UE consente agli Stati membri di introdurre garanzie supplementari, e dunque di mantenere o introdurre ulteriori condizioni, comprese limitazioni. A tal fine, il nuovo articolo 2-septies prevede che il trattamento di questi dati sia subordinato all'osservanza di misure di garanzia, stabilite dal Garante con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica. Inoltre, l'articolo 2-septies, in relazione esclusiva ai dati genetici ed a quelli relativi ad ambito sanitario, diagnostico e alle prescrizioni di medicinali, prevede che nell'ambito delle misure di garanzia sia possibile anche, in caso di particolare ed elevato livello di rischio, introdurre il consenso come ulteriore misura di protezione dei diritti dell'interessato.
  • con riguardo alla categoria dei dati giudiziari, essa è sostituita dai dati relativi a condanne penali e reati, il cui trattamento può essere svolto in base alle specifiche norme del Regolamento e al nuovo articolo 2-octies del Codice. In particolare, la riforma ribadisce, anche per questi dati, la necessità che il trattamento abbia un fondamento normativo che lo autorizzi e che preveda garanzie appropriate per i diritti degli interessati. In mancanza di esso dovrà intervenire, entro 18 mesi, un decreto del Ministro della giustizia, che dovrà anche, per le disposizioni già in vigore, verificare che le stesse contengano garanzie, provvedendo alla loro eventuale integrazione.
  • la disciplina dei diritti dell'interessato dal trattamento dei dati, è ora integralmente contenuta nel Regolamento, che consente agli Stati membri di limitare, in presenza di specifiche circostanze, l'esercizio dei diritti stessi. A tal fine provvedono i nuovi articoli 2-decies e 2-undecies del Codice che limitano l'esercizio dei diritti dell'interessato quando dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto ad alcuni specifici interessi (art. 2-decies) o alla salvaguardia e l'indipendenza della magistratura (art. 2-undecies). La riforma differenzia il perimetro delle possibili limitazioni, che a salvaguardia dell'indipendenza della magistratura possono essere più estese comprendendo anche il diritto all'informativa e alla comunicazione in caso di data breach.
  • definizioni, compiti e obblighi dei titolari e dei responsabili dei trattamenti sono contenuti nelle disposizioni del Regolamento, direttamente applicabili. Per questo, nonostante lo schema di decreto legislativo inserisca nel Codice della privacy un nuovo Titolo I-quater dedicato al titolare del trattamento e al responsabile del trattamento, in realtà le relative disposizioni vanno cercate nella disciplina europea. Lo schema si limita: a disciplinare la facoltà del titolare e del responsabile di delegare compiti e funzioni a persone fisiche che operano sotto la sua autorità che, a tal fine, dovranno essere espressamente designate (all'articolo 2-terdecies); a prevedere che il Garante possa emanare d'ufficio provvedimenti di carattere generale per prescrivere misure e accorgimenti da applicare a garanzia dell'interessato nei trattamenti svolti per l'esecuzione di un compito di pubblico interesse che presentano un rischio particolarmente elevato all'articolo 2-quaterdecies; a designare l'organismo nazionale competente per l'accreditamento degli organismi di certificazione della protezione dei dati all'articolo 2-quinquiesdecies,.

 

Oggetto di modifica è anche la Parte II del Codice della privacy, dedicata al trattamento dei dati personali negli specifici settori, in esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articoli da 3 a 12) In tali settori il Regolamento consente agli Stati di prevedere una disciplina del trattamento dati che, nel bilanciare i diritti dell'interessato con un interesse pubblico al trattamento, individui misure più specifiche e stringenti. A tal fine, gli articoli da 4 a 12 intervengono sui vari titoli del Codice, adeguando la relativa disciplina alle disposizioni del Regolamento e alle modifiche apportate dallo schema alla prima parte del Codice. Si tratta in particolare dei trattamenti: per fini di sicurezza nazionale o difesa (articolo 4 dello schema);  in ambito pubblico (articolo 5 dello schema); in ambito sanitario (articolo 6 dello schema); per finalità di istruzione (articolo 7); a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (articolo 8) nell'ambito del rapporto di lavoro (articolo 9) relativi alla banca dati dei sinistri (articolo 10); relativi alle comunicazioni elettroniche (articolo 11); nell'ambito dell'attività giornalistica e della manifestazione del pensiero (articolo 12).

Significative modifiche intervengono sulla Parte III del Codice della privacy, relativa alla tutela (amministrativa e giurisdizionale) dell'interessato, quella relativa al Garante nonché la disciplina sanzionatoria per le violazioni della normativa in materia di dati personali (articoli da 13 a 16).

In particolare:

  • con riguardo alla tutela dei diritti, l'interessato può proporre reclamo al Garante oppure ricorrere al giudice (articolo 13)
  • si interviene inoltre sulla disciplina dell'autorità Garante, con riferimento tanto ai suoi compiti e poteri – in gran parte direttamente determinati dal Regolamento - quanto all'Ufficio del Garante, ovvero il supporto amministrativo che coadiuva l'autorità di controllo nell'esercizio delle sue funzioni e al trattamento economico del personale che viene equiparato a quello del personale dell'Autorità per le garanzie nelle comunicazioni – AGCOM (articolo 14):
  • il nuovo quadro sanzionatorio amministrativo è previsto dal Regolamento UE, le cui disposizioni sono direttamente applicabili. Peraltro, lo stesso Regolamento impone agli Stati membri di stabilire le norme relative alle altre sanzioni in caso di violazione di disposizioni diverse da quelle già sanzionate dal Regolamento garantendo, anche in questo caso, che le sanzioni siano effettive, proporzionate e dissuasive. A tal fine provvede l'articolo 15 dello schema che, ferme le sanzioni del Regolamento, prevede all'art. 166 del Codice l'applicazione delle suddette sanzioni anche a una serie di violazioni delle disposizioni del Codice stesso. L'entità delle sanzioni amministrative, fissate solo nel limite massimo, appare particolarmente elevata (nei casi meno gravi è individuato in 10 milioni di euro e nei più gravi in 20 milioni di euro. Per le imprese il regolamento prevede sanzioni fino al 2% - 4% nei casi più gravi – del fatturato). Si tratta, dunque, di un quadro sanzionatorio potenzialmente molto più severo rispetto all'attuale; tali sanzioni, peraltro, non sono modificabili dal provvedimento in esame
  • per quanto riguarda gli illeciti penali, il regolamento non interviene ma consente agli Stati di introdurre "altre sanzioni". Questo giustifica l'intervento dell'articolo 15 della riforma sul quadro sanzionatorio penale, attraverso la modifica di alcuni illeciti vigenti e l'introduzione di nuovi: oltre all'integrazione della fattispecie di trattamento illecito di dati (art. 167), vengono introdotti i reati di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone (art. 167-bis) e di acquisizione fraudolenta di dati personali (art. 167-ter).  La condotta penalmente rilevante potrebbe integrare anche gli estremi di un illecito amministrativo; a tal fine la riforma  prevede che se per uno stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria, la pena – all'esito della condanna penale – sia diminuita (art. 167, comma 6). Peraltro, essendo l'impianto sanzionatorio del Regolamento improntato esclusivamente su sanzioni amministrative, ne deriva che per le condotte qualificate dal regolamento come illeciti amministrativi, l'ordinamento nazionale non può prevedere sanzioni penali. Ciò comporta la necessaria depenalizzazione (attraverso l'abrogazione) degli articoli 169 e 170 del Codice relativi, rispettivamente, alla violazione delle misure minime di sicurezza e all'inosservanza dei provvedimenti del Garante.

Ulteriori disposizioni  (articoli da 17 a 27 dello schema) non novellano il Codice della privacy ma:

  • modificano alcuni profili del rito civile applicabile alle controversie in materia di protezione dei dati;
  • dettano disposizioni transitorie in relazione, in particolare, ai procedimenti sanzionatori amministrativi in corso alla data di entrata in vigore della riforma, alla definizione dei reclami, delle segnalazioni e dei ricorsi già pendenti davanti al Garante, ai vigenti codici di deontologia e di buona condotta, all'efficacia delle attuali autorizzazioni generali del Garante;
  • dettano disposizioni di coordinamento della legislazione vigente  e di quella in corso di emanazione.
  • dettano la disciplina transitoria relativa alla depenalizzazione delle violazioni del Codice che, attualmente sanzionate a titolo di illecito penale, sono con la riforma ricondotte alle sanzioni amministrative previste dal Regolamento;
  • recano la copertura finanziaria della riforma;
  • abrogano le disposizioni del Codice della privacy incompatibili con il regolamento e la riforma.
ultimo aggiornamento: 1 novembre 2018

Nel contesto dell'emergenza epidemiologica  diversi sono gli interventi normativi con dirette implicazioni sulla protezione dei dati personali.

Si segnalano in particolare:

  • il decreto-legge 17 marzo 2020, n. 18 (cd. Cura Italia), convertito con la legge 24 aprile 2020, n. 27, il cui art. 17-bis, reca disposizioni sul trattamento dei dati personali nel contesto emergenziale. La norma è volta a garantire l'efficacia delle misure di protezione dall'emergenza sanitaria nonché ad assicurare la diagnosi e l'assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio santario nazionale. La disposizione consente a tutti i soggetti incaricati nella gestione dell'emergenza, per motivi di sanità pubblica, di effettuare i trattamenti di dati personali anche sensibili o giudiziari (di cui agli artt. 9 e 10 del RGPD), se del caso mediante reciproco scambio di informazioni che risultino necessarie per l'espletamento delle relative funzioni. Ci si riferisce, in particolare: ai soggetti operanti nel Servizio di protezione civile e ai soggetti attuatori di cui all'art. 1 dell'ordinanza del Capo del Dipartimento della protezione civile del 3 febbraio 2020, n. 630; agli uffici del Ministero della salute e dell'Istituto superiore di sanità e alle strutture pubbliche e private che operano nell'ambito del Ssn). In considerazione del contesto emergenziale, allo scopo di assicurare la più efficace gestione dei flussi e dell'interscambio di dati personali, è altresì consentita la comunicazione dei dati personali a soggetti pubblici e privati diversi da quelli citati nonché la diffusione dei dati personali diversi da quelli di cui agli articoli 9 e 10 del RGPD nei casi in cui ciò risulti indispensabile ai fini dello svolgimento delle attività connesse alla gestione dell'emergenza sanitaria in atto. Tale disposizione dovrebbe quindi consentire la comunicazione dei dati personali comuni ai dirigenti degli uffici pubblici, compresi quelli giudiziari, nonché ai dirigenti scolastici e ai dirigenti delle aziende private e, in generale, a tutti coloro i quali, ricoprendo il ruolo di datori di lavoro, hanno il dovere di adottare ogni misura di sorveglianza o precauzionale all'interno delle strutture o degli uffici di cui sono responsabili. I trattamenti di dati personali in questione devono essere effettuati nel rispetto dei principi di cui all'art. 5 del RGPD, adottando misure appropriate a tutela dei diritti e delle libertà degli interessati. Inoltre, nel bilanciamento tra l'interesse della salute pubblica e di gestione dell'emergenza sanitaria, da un lato, e l'esigenza di salvaguardare la riservatezza degli interessati, dall'altro, i soggetti coinvolti possono conferire le autorizzazioni al trattamento dei dati al proprio personale (ai sensi dell'art. 2-quaterdecies del Codice) con modalità semplificate, anche oralmente, e possono omettere l'informativa di cui all'art. 13 del RGPD o fornire un'informativa semplificata, previa comunicazione orale agli interessati della limitazione effettuata. Infine, la norma precisa che, al termine dello stato di emergenza, i medesimi soggetti adotteranno misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell'emergenza nell'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali. Il descritto regime normativo troverà applicazione fino alla data di cessazione dello stato di emergenza.

 

  • Il decreto-legge 30 aprile 2020, n. 28, recante misure urgenti in materia di intercettazioni di conversazioni e comunicazioni, di ordinamento penitenziario e di giustizia civile, amministrativa e contabile, nonché per l'introduzione del sistema di allerta Covid-19, convertito dalla legge 25 giugno 2020, n. 70. In particolare, l'art. 6 è volto a disciplinare il trattamento di dati personali nel contesto dell'emergenza sanitaria determinata dalla diffusione del Covid-19 per finalità di allertamento delle persone che possono avere avuto contatti ravvicinati con altri soggetti positivi al virus. Il trattamento dei dati riguarda il tracciamento effettuato tramite l'utilizzo di un'applicazione (c.d. Immuni), installata su base volontaria e destinata alla registrazione dei soli contatti tra soggetti che la abbiano "scaricata", al fine di adottare le adeguate misure di informazione e prevenzione sanitaria nel caso di soggetti entrati in contatto con utenti che risultino, all'esito di test o diagnosi medica, contagiati. Si prevede che il Ministero della salute (titolare del trattamento) si coordini con i soggetti operanti nel Servizio nazionale della protezione civile e i soggetti cd. attuatori di cui all'art.1 dell'ordinanza del Capo del Dipartimento della protezione civile del 3 febbraio 2020, n. 630, nonché con l'Istituto superiore di sanità e con le strutture pubblichee private accreditate che operano nell'ambito del Ssn, nel rispetto delle relative competenze istituzionali. Si chiarisce, al riguardo, che la modalità di tracciamento dei contatti tramite la piattaforma informatica è complementare alle ordinarie modalità di tracciamento in uso nell'ambito del Ssn.  Il Ministero della salute, all'esito di una valutazione di impatto (da adottarsi sentito il Garante), dovrà porre in essere misure tecniche e organizzative volte ad assicurare un elevato livello di garanzie e di sicurezza, prevedendo, in particolare, la raccolta, per impostazione predefinita, dei soli dati necessari ad avvisare gli utenti di rientrare fra i contatti stretti e che il trattamento abbia ad oggetto dati di prossimità dei dispositivi resi anonimi o, se ciò non sia possibile, pseudonimizzati Di interesse risultano anche il comma 3 della disposizione − che codifica in concreto il principio di finalità, limitando il trattamento dei dati agli scopi descritti, salvo l'utilizzo degli stessi in forma aggregata o comunque anonima ai soli fini di sanità pubblica, profilassi, statistici o di ricerca scientifica − e il comma 6, in base al quale ogni trattamento di dati personali dovrà cessare al termine del periodo di emergenza secondo a tempistica espressamente indicata, con conseguente cancellazione dei dati.

La norma è stata sottoposta al vaglio formale del Garante, ed è stata modificata dall'art. 2, d.l. 7 ottobre 2020, n. 125 per consentire l'utilizzo del sistema di allerta anche oltre frontiera e, quindi, come parte di una strategia europea di controllo del contagio e, per altro verso, di tutela della popolazione rispetto al diffondersi del virus su scala transnazionale. In quest'ottica, viene consentita l'interoperabilità con le piattaforme che operano, con le medesime finalità, nel territorio dell'Unione europea

Riguardo agli orientamenti ed iniziative assunti in sede europea sui sistemi di tracciabilità, si ricorda, in primo luogo, che la Commissione europea ha adottato la Raccomandazione (UE) 2020/518, dell'8 aprile 2020, "relativa a un pacchetto di strumenti comuni dell'Unione per l'uso della tecnologia e dei dati al fine di contrastare la crisi Covid-19 e uscirne, in particolare per quanto riguarda le applicazioni mobili e l'uso di dati anonimizzati sulla mobilità". La Commissione, in tale atto, ha indicato l'obiettivo di sviluppare un approccio europeo comune per lo sviluppo degli strumenti in oggetto ed ha enunciato alcuni principi generali a cui essi dovrebbero essere improntati.
Successivamente, il 16 aprile 2020, la Commissione ha emesso una comunicazione recante " Orientamenti sulle app a sostegno della lotta alla pandemia di covid-19 relativamente alla protezione dei dati" ( C(2020)124). In base a tali orientamenti:
-          l'installazione dei sistemi in esame dovrebbe avvenire su base volontaria - senza conseguenze negative per le persone che non vi aderiscano - e dar luogo alla generazione di identificativi tramite pseudonimi;
-          i titolari del trattamento dovrebbero essere le autorità sanitarie nazionali (o i soggetti che svolgono un compito nel pubblico interesse nel campo della salute);
-          si raccomanda il ricorso a sistemi che traccino solo i dati di prossimità tra persone e non anche i dati di geolocalizzazione delle medesime;
-          si formula il principio di cancellazione o trasformazione in forma anonima definitiva dei dati.
Il Comitato europeo per la protezione dei dati (EDPB) ha adottato il 21 aprile 2020 le Linee guida sull'uso dei dati di localizzazione e degli strumenti per il tracciamento dei contatti nel contesto dell'emergenza legata al COVID-19. Il documento afferma, tra l'altro, che: la disciplina europea sulla protezione dei dati reca "norme specifiche che consentono l'uso di dati anonimi o personali per sostenere le autorità pubbliche e altri soggetti, a livello nazionale e dell'UE, nel monitoraggio e nel contenimento della diffusione del virus SAR-CoV-22"; il ricorso agli strumenti in esame per il tracciamento dei contatti "dovrebbe essere volontario e non dovrebbe basarsi sulla tracciabilità dei movimenti individuali, bensì sulle informazioni di prossimità relative agli utenti".
Il 13 maggio 2020 gli Stati membri dell'Unione europea, con il sostegno della Commissione europea, hanno concordato gli orientamenti per l'interoperabilità transfrontaliera delle applicazioni di tracciamento nell'UE. Gli orientamenti sono stati adottati dagli Stati membri nella sede dell' eHealth Network, una rete che collega le autorità nazionali responsabili dell'assistenza sanitaria online designate dagli Stati membri, istituita sulla base dell'articolo 14 della direttiva 2011/24/UE del Parlamento europeo e del Consiglio, del 9 marzo 2011 (direttiva concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera).
Tali orientamenti fanno seguito al "pacchetto di strumenti ( toolbox) per l'uso di applicazioni mobili di tracciamento dei contatti e allerta in risposta alla pandemia di Covid-19", definito il 15 aprile 2020 nella medesima sede dell' eHealth Network; quest'ultimo documento ha indicato i seguenti requisiti essenziali per le applicazioni mobili di tracciamento dei contatti e allerta: volontarietà, trasparenza, carattere temporaneo, cyber security, uso di dati anonimizzati e della tecnologia Bluetooth, interoperabilità transfrontaliera e fra sistemi operativi. In base ai suddetti orientamenti concordati il 13 maggio - che intendono guidare nella progettazione e implementazione delle app e delle soluzioni di back end -, l'interoperabilità si riferisce ad app che siano in grado di scambiare le informazioni minime necessarie in modo che gli utenti, ovunque si trovino nell'UE, siano avvisati se siano stati in prossimità di un altro utente risultato positivo al virus Covid-19. La notifica e il follow-up dovrebbero essere conformi alle procedure definite dalle autorità sanitarie pubbliche, tenuto conto delle implicazioni relative alla privacy ed alla sicurezza dei dati

  • il decreto-legge 10 maggio 2020, n. 30, recante misure urgenti in materia  di studi epidemiologici e statistiche sul Sars-Cov-2, convertito dalla legge 2 luglio 2020, n. 72. Il decreto, composto da un unico articolo, al fine di disporre con urgenza di studi epidemiologici e di statistiche affidabili e complete sullo stato immunitario della popolazione, "autorizza" il trattamento di dati personali, anche genetici e relativi alla salute, per fini statistici e di studi scientifici nel settore della sanità pubblica, nell'ambito di un'indagine di sieroprevalenza condotta congiuntamente dai competenti uffici del Ministero della salute e dall'Istat in qualità di titolari del trattamento. A questo scopo tali enti si avvalgono di un'apposita piattaforma informatica istituita presso il Ministero. La base giuridica del trattamento è individuata negli artt. 9, par. 2, lett. g) e j), e 89 del RGPD, nonché nell'art. 2-sexies, comma 2, lett. cc), del Codice.

 

 

ultimo aggiornamento: 25 giugno 2021

La Direttiva 2016/680, che regola il trattamento dei dati personali per finalità di prevenzione e repressione di reati, esecuzione di sanzioni penali, salvaguardia contro le minacce alla sicurezza pubblica e prevenzione delle stesse, da parte sia dell'autorità giudiziaria, sia delle forze di polizia, è stata recepita nell'ordinamento interno con il decreto legislativo n. 51 del 2018 (attuativo della delega contenuta negli artt. 1 e 11 della legge n. 163 del 2017, legge di delegazione europea 2016-2017).

Il D.lgs. n. 51 del 2018 è un testo unitario, dedicato alla complessiva disciplina del trattamento di dati personali in ambito penale, e contiene principi generali di regolamentazione della materia e disposizioni di dettaglio nei vari settori in cui si può articolare il trattamento dei dati personali. La nuova normativa supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia.

In particolare, il testo prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o anonimizzati una volta decorso tale termine e introduce una nuova disciplina riguardo alla differenziazione tra categorie di dati e di interessati, in ragione della loro specifica posizione processuale.

Inoltre, riguardo ai diritti dell'interessato (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento), il testo prevede che rispetto ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, l'esercizio di tali diritti è regolato dalle disposizioni normative che disciplinano tali atti e procedimenti. In ambito giudiziario, la tutela degli interessati è quindi assicurata, per le parti, dalle garanzie che riconoscono i diritti di difesa all'interno del procedimento penale, anche con riguardo ai dati personali necessariamente oggetto di trattamento, assicurando quindi la possibilità di limitare l'esercizio dei diritti dell'interessato, conformemente alle esigenze di prevenzione, di indagine e processuali. Per garantire i diritti in ambito giudiziario anche con riferimento ai terzi, si è previsto uno speciale procedimento attraverso il quale qualsiasi interessato, durante il procedimento penale o dopo la sua definizione, può chiedere la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano.

In materia di sicurezza del trattamento, si prevede come obbligatoria anche per l'autorità giudiziaria la nomina del responsabile della protezione dati, in ragione dell'ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale. Per quanto riguarda i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, si stabilisce che esso sia consentito solo nei confronti delle autorità competenti e per le finalità di pubblica sicurezza oggetto della direttiva e in presenza di specifiche condizioni, tra cui l'adozione, da parte della Commissione dell'Unione europea, di una decisione di adeguatezza o, in mancanza, vi siano garanzie adeguate.

Il decreto individua nel Garante nazionale l'autorità deputata a vigilare sul rispetto delle norme, in funzione della tutela dei diritti e delle libertà fondamentali delle persone fisiche, coinvolte dalle attività di trattamento di dati personali, escludendo il potere di controllo del Garante in ordine al trattamento svolto dall'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, comprese quelle del pubblico ministero. Infine, per quanto riguarda la violazione delle nuove norme, il testo prevede sanzioni amministrative (che nei casi più gravi possono estendersi da 50.000 a 150.000 euro) per le violazioni inerenti alle modalità del trattamento e introduce sanzioni penali per il trattamento operato con finalità illegittime. Con riguardo a queste ultime è punito, salvo che il fatto non costituisca più grave reato, il  trattamento illecito di dati finalizzato al profitto o al danno a terzi con la reclusione da 6 a 18 mesi o - in caso di diffusione dei dati - da 6 a 24 mesi. Inoltre, sempre che il fatto non costituisca più gravo reato, è punito con la reclusione da uno a tre anni chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della specifica normativa su particolari categorie di dati (i c.d. dati sensibili) o in violazione del divieto di profilazione finalizzata alla discriminazione di persone fisiche sulla base delle suddette categorie particolari di dati personali, se dal fatto deriva nocumento. Inoltre si punisce la falsità nelle dichiarazioni e notificazioni al Garante, riproducendo anche nelle sanzioni (reclusione da 6 mesi a 3 anni) Anche in questo caso si tratta di un reato comune potendo essere commesso da chiunque ma non è richiesto alcun dolo specifico essendo sufficiente la coscienza e la volontà di dichiarare o attestare falsamente notizie o circostanze o produrre atti o documenti falsi. Il novero delle condotte per cui è configurabile questo reato, pertanto, è assai ampio includendovi tutte quelle condotte che possono influire l'attività del Garante attraverso la comunicazione di notizie o circostanze non vere. Infine è sanzionata l'inosservanza del blocco o del divieto del trattamento disposto dal Garante (reclusione da 3 mesi a 2 anni). 

ultimo aggiornamento: 13 giugno 2018

L'articolo 9 del decreto-legge n. 139 del 2021, significativamente modificato nel corso dell'esame in Senato, reca disposizioni in materia di protezione dei dati personali.

In particolare, il comma 1 novella il c.d. Codice della privacy (d.lgs. n. 196 del 2003):

  • prevedendo che il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico possa trovare fondamento e base giuridica, oltre che nella legge e - nei casi previsti dalla legge - nel regolamento, anche in un atto amministrativo generale (modifica dell'art. 2-ter del Codice) e che tale ampliamento della base giuridica valga anche per il trattamento dei dati particolari (sanità pubblica, medicina del lavoro, archiviazione nel pubblico interesse o per ricerca scientifica o storica o a fini statistici) disciplinato dall'art. 2-sexies del Codice e per il trattamento dei dati personali per fini di sicurezza nazionale o difesa, disciplinato dall'art. 58 del Codice;
  • consente il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblici poteri, da parte di una serie di soggetti pubblici, anche per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri attribuiti ai suddetti soggetti pubblici (nuovo comma 1-bis dell'art. 2-ter del Codice);
  • introducendo una disciplina specifica per il trattamento di dati personali relativi alla salute quando gli stessi siano "privi di elementi identificativi diretti" (art. 2-sexies, comma 1-bis, del Codice);
  • abrogando l'articolo 2-quinquesdecies del Codice della privacy che, nel caso di trattamenti di dati personali svolti per l'esecuzione di un compito di interesse pubblico, tali da poter presentare un rischio elevato per i diritti e le libertà delle persone fisiche, consentiva al Garante di adottare d'ufficio provvedimenti di carattere generale, prescriventi misure e accorgimenti a garanzia dell'interessato;
  • prevedendo che il trattamento dei dati relativi al traffico telefonico e telematico che devono essere conservati dal fornitore per finalità di accertamento e repressione di reati, sia effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti dal Garante con provvedimento "di carattere generale" (modifica dell'art. 132, comma 5, del Codice);
  • potenziando la competenza del Garante al fine di prevenire la diffusione di materiali, foto o video, sessualmente espliciti (nuovo art. 144-bis del Codice, rubricato Revenge porn). In particolare, la disposizione prevede che chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini, audio, video o altri documenti informatici a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali, senza il suo consenso, può rivolgersi, mediante segnalazione, al Garante, il quale, entro 48 ore può rivolgere avvertimenti, ammonimenti, imporre una limitazione provvisoria o definitiva al trattamento, ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento e infliggere una sanzione amministrativa pecuniaria. In base al comma 6 dell'art. 9, i fornitori di servizi di condivisione di contenuti, ovunque stabiliti, devono entro 6 mesi dalla legge di conversione pubblicare il proprio recapito, ai fini dell'adozione dei provvedimenti da parte del Garante;

  • incrementando l'indennità dei componenti del Collegio del Garante per la protezione dei dati personali (modifica dell'art. 153 del Codice);
  • intervenendo sul parere che il Garante deve rendere al legislatore in vista dell'adozione di una disciplina relativa al trattamento dei dati, per circoscriverne i presupposti (modifica dell'art. 154 del Codice). Inoltre, quando il Presidente del Consiglio dei ministri dichiari che ragioni di urgenza non consentono la consultazione preventiva, e comunque nei casi di adozione di decreti-legge, si prevede che il Garante esprima il parere in una fase successiva, vale a dire in sede di esame parlamentare dei disegni di legge o delle leggi di conversione dei decreti-legge o in sede di vaglio definitivo degli schemi di decreto legislativo sottoposti al parere delle Commissioni parlamentari;
  • determinando in 200 unità (in luogo delle precedenti 162) il ruolo organico e personale del Garante (modifica dell'art. 156 del Codice) ed equiparando il trattamento economico del personale del Garante a quello del personale dell'Autorità per le garanzie nelle comunicazioni;
  • consentendo l'omissione della previa notifica della violazione contestata nei confronti dei soggetti pubblici che trattano i dati quando il loro trattamento abbia già arrecato pregiudizio agli interessati (modifica dell'art. 166 del Codice);
  • introducendo la possibilità di applicare, a titolo di sanzione accessoria rispetto alle sanzioni amministrative pecuniarie comminate dal Garante, l'ingiunzione a realizzare campagne di comunicazione istituzionale di sensibilizzazione sulla protezione dei dati personali (modifica dell'art. 166 del Codice);
  • subordina l'applicazione della fattispecie penale di inosservanza di provvedimenti del Garante (punita con la reclusione da tre mesi a due anni) al "concreto nocumento" dei soggetti interessati e alla querela della persona offesa (modifica all'art. 170 del Codice).

Il comma 2 si pone come disposizione di coordinamento, conseguente all'abrogazione dell'articolo 2-quinquiesdecies del Codice della privacy.

Il comma 3 modifica il d. lgs. n. 51 del 2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, per:

  • confermare l'estensione agli atti amministrativi generali della base giuridica del trattamento;
  • sostituire, nella determinazione dei termini, delle modalità di conservazione, dei soggetti legittimati ad accedere ai dati nonché delle modalità e delle condizioni per l'esercizio dei diritti dell'interessato, l'attuale riferimento a un regolamento governativo con quello a un decreto ministeriale;
  • per circoscrivere, anche in questo caso, l'applicabilità del reato di inosservanza dei provvedimenti del Garante, alle ipotesi di concreto nocumento arrecato ad uno o più interessati e alla presentazione di querela della persona offesa.

Il comma 4 interviene sull'art. 7 del decreto-legge n. 34 del 2020 per modificare ed integrare la disciplina concernente il trattamento di dati personali da parte del Ministero della salute. Tale disciplina, nella versione vigente, concerne i dati personali - anche relativi alla salute degli assistiti - raccolti nei sistemi informativi del Servizio sanitario nazionale ed autorizza il suddetto Ministero al relativo trattamento, al fine di sviluppare metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione, demandando ad un decreto di natura regolamentare del Ministro della salute - adottato previo parere del Garante per la protezione dei dati personali - la definizione delle norme attuative. Le novelle in esame prevedono che il decreto sia invece di natura non regolamentare - fermo restando il parere del suddetto Garante -, estendono, con riferimento a dati personali non sanitari, l'ambito delle norme di rango legislativo in esame e del relativo decreto attuativo e pongono una norma transitoria, valida nelle more dell'emanazione del medesimo decreto.

Il comma 5 introduce disposizioni di coordinamento relative alla previsione che ha esteso agli atti amministrativi generali la base giuridica del trattamento dati (v. sopra).

Il comma 7 riduce a 30 giorni il termine per i pareri che il Garante renda su atti riconducibili al Piano nazionale di ripresa e resilienza (PNRR), al Piano nazionale per gli investimenti complementari ed al Piano nazionale integrato per l'energia e il clima 2030 e prevede che quel termine sia improrogabile (ed una volta decorso, si può comunque procedere, pur in assenza di parere).

Il comma 8 interviene sugli articoli 1 e 2 della legge n. 5 del 2018, al fine di prevedere che i diritti dell'utente iscritto al registro pubblico delle opposizioni, nonché gli obblighi in capo agli operatori di call center operino indipendentemente dalle modalità in cui il trattamento delle numerazioni è stato effettuato, ovvero con o senza operatore con l'impiego del telefono, ma anche in via più generale mediante sistemi automatizzati di chiamata senza l'intervento di un operatore.

I commi da 9 a 12 prevedono una sospensione (eccezion fatta per la prevenzione e la repressione dei reati) della installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l'uso dei dati biometrici in luoghi pubblici o aperti al pubblico, da parte di autorità pubbliche o soggetti privati. Tale moratoria è prevista "fino all'entrata in vigore di una disciplina legislativa della materia", e comunque non oltre il 31 dicembre 2023. La violazione della moratoria comporta l'applicazione di sanzioni amministrative pecuniarie.

Il comma 13 reca la copertura finanziaria delle modifiche relative al trattamento di dati personali e il comma 14 demanda a un d.P.C.m. - da adottarsi entro 180 giorni dalla data di entrata in vigore della legge di conversione del presente decreto-legge - la definizione dei meccanismi regolatori di armonizzazione della disciplina del trattamento economico entro le Autorità amministrative indipendenti.

Infine, l'articolo 9-bis reca la clausola di salvaguardia e l'articolo 10 dispone circa l'entrata in vigore del decreto-legge.

ultimo aggiornamento: 22 novembre 2021
 
dossier
 
temi di Giustizia
 
-