La nuova normativa sulla protezione dei dati personali risulta dalle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (c.d. GDPR), nonché dalle disposizioni del Codice della privacy così come riformato, nella XVIII legislatura, dal d.lgs. n. 101/2018, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del GDPR. Ulteriori modifiche al Codice sono state successivamente apportate attraverso il decreto-legge n. 139 del 2021 convertito, con modificazioni, dalla legge n. 205 del 2021.
Il decreto legislativo n. 101 del 2018 è andato ad aggiungersi al decreto legislativo n. 51 del 2018, con il quale l'ordinamento italiano ha attuato la direttiva 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, completando il recepimento del c.d. pacchetto protezione dati dell'Unione europea.
Lo sviluppo dell'intelligenza artificiale e dei big data ha inoltre stimolato ulteriori interventi normativi a livello sovranazionale, al fine di assicurare il diritto alla protezione dei dati personali (e non).
Infine, numerosi sono stati gli interventi normativi volti a fronteggiare l'emergenza epidemiologica da Covid-19 che incidono sulle tematiche inerenti alla protezione dei dati personali, alcuni dei quali sono rimasti in vigore anche dopo la cessazione dello stato di emergenza.
Il cd. pacchetto protezione dati identifica gli atti normativi di matrice europea relativi al trattamento, la protezione e la libera circolazione dei dati personali, e volti a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell'Unione europea. L'attuale contesto economico-sociale richiede una maggiore attenzione alla tutela della sicurezza dei cittadini e della circolazione (anche transfrontaliera) dei loro dati personali, in un'ottica di bilanciamento con il principio di libera circolazione all'interno dell'UE. Il nuovo apparato normativo, dunque, mira ad intensificare e innalzare il livello di sicurezza di ciascun cittadino europeo in materia di trattamento dati personali.
Il "pacchetto protezione dati" è composto da distinti atti normativi:
• il Regolamento 2016/679 UE, concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46. Il Regolamento UE, entrato in vigore il 25 maggio 2016, reca una disciplina direttamente esecutiva nell'ordinamento degli Stati membri a partire dal 25 maggio 2018.
• la Direttiva 2016/680/UE relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
Inoltre, nel gennaio del 2017 la Commissione europea ha avviato la revisione della disciplina in materia di tutela della riservatezza delle comunicazioni elettroniche, sia per allinearla agli standard di protezione stabiliti nel pacchetto protezione dati, sia per aggiornarla e renderla tecnologicamente neutra rispetto alla continua evoluzione delle tecnologie in materia di comunicazione e informazione. In particolare, la Commissione europea ha presentato una proposta di regolamento COM(2017)10 con l'obiettivo di sostituire la direttiva 2002/58/CE (cosiddetta e-privacy) con una normativa direttamente applicabile che garantisca i medesimi livelli di protezione per tutti i cittadini UE utenti delle comunicazioni elettroniche e di certezza giuridica per le imprese fornitrici di servizi in tale settore.
Con riguardo alle principali novità introdotte dal Regolamento 2016/679 UE volte a dare vita ad un quadro più solido e coerente in materia di privacy si segnalano:
Per quanto concerne la Direttiva (UE) 2016/680, essa ha natura di lex specialis rispetto al regolamento generale sulla protezione dei dati, di cui declina princìpi e obblighi con riguardo allo specifico contesto di attività e ai poteri delle autorità di polizia e giudiziarie.
I dati costituiscono inoltre una risorsa determinante per l'intelligenza artificiale. Da essi dipendono infatti le possibilità di funzionamento del sistema, poiché rappresentano gli input da cui gli algoritmi riescono a trarre risultati. Anche sul piano normativo i due temi sono collegati. L'attenzione sui dati è però molto più risalente nel tempo sia in ambito europeo che in quello nazionale ed è sicuramente cresciuta con lo sviluppo dei computer e di internet.
Questo sviluppo delle nuove tecnologie ha posto l'esigenza di introdurre a livello dell'Unione europea una normativa finalizzata ad assicurare la protezione non soltanto dei dati personali ma anche dei dati non personali.
In questo ambito, per completezza si segnala l'adozione dei seguenti atti dell'Unione europea in materia di dati non personali:
Dopo l'emanazione del Regolamento 2016/679 e del Regolamento 2018/1087, l'Unione europea ha continuato ad emanare atti giuridici relativi alla gestione dei dati. Sono quattro i più rilevanti:
Per ogni ulteriore approfondimento sul tema della protezione dei dati (personali e non) in materia di intelligenza artificiale e big data, si rimanda all'apposito dossier di documentazione "Intelligenza artificiale, dati e big data: profili tecnici e sviluppi normativi" predisposto nella XVIII legislatura.
Al fine di provvedere all'adeguamento del quadro normativo interno al Regolamento 2016/679 UE, la legge n. 163 del 2017 (art. 13), ha delegato il Governo ad adottare uno o più decreti legislativi volti ad abrogare espressamente le disposizioni del Codice della privacy incompatibili con quelle del regolamento (UE); a modificare il Codice limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento; a coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni adottate in sede europea; ad adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
In attuazione della predetta delega il Governo ha emanato il decreto legislativo n. 101 del 2018.
La nuova normativa sulla protezione dei dati personali risulta quindi dalle norme del Regolamento UE, direttamente applicabili, nonché dalle residue disposizioni del Codice della privacy così come riformato dal d.lgs. n. 101/2018.
Il decreto legislativo contiene un corpus di norme complesso che è intervenuto con abrogazioni e modificazioni sulla quasi totalità dei 186 articoli del codice della privacy previgente.
In particolare, gli articoli 1 e 2 del provvedimento hanno modificato la Parte I del Codice della privacy dedicata alle disposizioni generali. I precedenti 46 articoli che componevano la Parte I sono stati ridotti a 16: le disposizioni generali sul trattamento dei dati personali sono infatti ora prevalentemente contenute nel Regolamento.
Sono state introdotte nella I parte del Codice 14 nuove disposizioni (articoli da 2-bis a 2-quinquiesdecies) che integrano quanto disposto dal Regolamento in materia di fondamento giuridico del trattamento, limitazioni ai diritti degli interessati, titolare e responsabile del trattamento, regole deontologiche e categorie particolari di dati.
Tra le novità più significative:
Oggetto di modifica è stata anche la Parte II del Codice della privacy, dedicata al trattamento dei dati personali negli specifici settori, in esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articoli da 3 a 12) In tali settori il Regolamento consente agli Stati di prevedere una disciplina del trattamento dati che, nel bilanciare i diritti dell'interessato con un interesse pubblico al trattamento, individui misure più specifiche e stringenti. A tal fine, gli articoli da 4 a 12 intervengono sui vari titoli del Codice, adeguando la relativa disciplina alle disposizioni del Regolamento e alle modifiche apportate dallo schema alla prima parte del Codice. Si tratta in particolare dei trattamenti: per fini di sicurezza nazionale o difesa (articolo 4 dello schema); in ambito pubblico (articolo 5 dello schema); in ambito sanitario (articolo 6 dello schema); per finalità di istruzione (articolo 7); a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (articolo 8) nell'ambito del rapporto di lavoro (articolo 9) relativi alla banca dati dei sinistri (articolo 10); relativi alle comunicazioni elettroniche (articolo 11); nell'ambito dell'attività giornalistica e della manifestazione del pensiero (articolo 12).
Significative modifiche sono intervenute sulla Parte III del Codice della privacy, relativa alla tutela (amministrativa e giurisdizionale) dell'interessato, quella relativa al Garante nonché la disciplina sanzionatoria per le violazioni della normativa in materia di dati personali (articoli da 13 a 16).
In particolare:
Ulteriori disposizioni (articoli da 17 a 27 dello schema) non novellano il Codice della privacy ma:
Per una disamina della normativa attuativa si rimanda all'apposita sezione del sito del Garante, nonché all'apposita guida relativa all'applicazione del GDPR predisposta dal Garante.
L'articolo 9 del decreto-legge n. 139 del 2021 ha apportato modifiche a diverse disposizioni in materia di protezione dei dati personali.
In particolare, la disposizione ha novellato il c.d. Codice della privacy (d.lgs. n. 196 del 2003):
potenziando la competenza del Garante al fine di prevenire la diffusione di materiali, foto o video, sessualmente espliciti (nuovo art. 144-bis del Codice, rubricato Revenge porn). In particolare, la disposizione prevede che chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini, audio, video o altri documenti informatici a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali, senza il suo consenso, può rivolgersi, mediante segnalazione, al Garante, il quale, entro 48 ore può rivolgere avvertimenti, ammonimenti, imporre una limitazione provvisoria o definitiva al trattamento, ordinare la rettifica, la cancellazione di dati personali o la limitazione del t rattamento e infliggere una sanzione amministrativa pecuniaria. In base al comma 6 dell'art. 9, i fornitori di servizi di condivisione di contenuti, ovunque stabiliti, devono entro 6 mesi dalla legge di conversione pubblicare il proprio recapito, ai fini dell'adozione dei provvedimenti da parte del Garante.
In particolare, in materia di revenge porn, l'articolo 33-bis del Regolamento del Garante n. 1/2019 prevede che le segnalazioni di cui all'art. 144-bis del Codice, corredate delle registrazioni audio, immagini o video o altri documenti informatici a contenuto sessualmente esplicito, a sostegno delle stesse, siano presentate al Garante esclusivamente attraverso il modello, compilabile on-line, pubblicato nell'apposita sezione del sito web istituzionale. Per ogni ulteriore dettaglio in materia di revenge porn e pornografia non consensuale si rimanda alla scheda informativa predisposta dal Garante.
Ulteriori modifiche sono state apportate:
Il comma 3 ha invece modificato il d. lgs. n. 51 del 2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, al fine di:
Il comma 7 ha ridotto a 30 giorni il termine per i pareri che il Garante renda su atti riconducibili al Piano nazionale di ripresa e resilienza (PNRR), al Piano nazionale per gli investimenti complementari ed al Piano nazionale integrato per l'energia e il clima 2030 e prevede che quel termine sia improrogabile (ed una volta decorso, si può comunque procedere, pur in assenza di parere).
Il comma 8 è intervenuto sugli articoli 1 e 2 della legge n. 5 del 2018, al fine di prevedere che i diritti dell'utente iscritto al registro pubblico delle opposizioni, nonché gli obblighi in capo agli operatori di call center operino indipendentemente dalle modalità in cui il trattamento delle numerazioni è stato effettuato, ovvero con o senza operatore con l'impiego del telefono, ma anche in via più generale mediante sistemi automatizzati di chiamata senza l'intervento di un operatore.
I commi da 9 a 12 prevedono una sospensione (eccezion fatta per la prevenzione e la repressione dei reati) della installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l'uso dei dati biometrici in luoghi pubblici o aperti al pubblico, da parte di autorità pubbliche o soggetti privati. Tale moratoria è prevista "fino all'entrata in vigore di una disciplina legislativa della materia", e comunque non oltre il 31 dicembre 2023. La violazione della moratoria comporta l'applicazione di sanzioni amministrative pecuniarie.
La Direttiva 2016/680, che regola il trattamento dei dati personali per finalità di prevenzione e repressione di reati, esecuzione di sanzioni penali, salvaguardia contro le minacce alla sicurezza pubblica e prevenzione delle stesse, da parte sia dell'autorità giudiziaria, sia delle forze di polizia, è stata recepita nell'ordinamento interno con il decreto legislativo n. 51 del 2018 (attuativo della delega contenuta negli artt. 1 e 11 della legge n. 163 del 2017, legge di delegazione europea 2016-2017).
Il D.lgs. n. 51 del 2018 è un testo unitario, dedicato alla complessiva disciplina del trattamento di dati personali in ambito penale, e contiene principi generali di regolamentazione della materia e disposizioni di dettaglio nei vari settori in cui si può articolare il trattamento dei dati personali. La nuova normativa supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia.
In particolare, il testo prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o anonimizzati una volta decorso tale termine e introduce una nuova disciplina riguardo alla differenziazione tra categorie di dati e di interessati, in ragione della loro specifica posizione processuale.
Inoltre, riguardo ai diritti dell'interessato (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento), il testo prevede che rispetto ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, l'esercizio di tali diritti è regolato dalle disposizioni normative che disciplinano tali atti e procedimenti. In ambito giudiziario, la tutela degli interessati è quindi assicurata, per le parti, dalle garanzie che riconoscono i diritti di difesa all'interno del procedimento penale, anche con riguardo ai dati personali necessariamente oggetto di trattamento, assicurando quindi la possibilità di limitare l'esercizio dei diritti dell'interessato, conformemente alle esigenze di prevenzione, di indagine e processuali. Per garantire i diritti in ambito giudiziario anche con riferimento ai terzi, si è previsto uno speciale procedimento attraverso il quale qualsiasi interessato, durante il procedimento penale o dopo la sua definizione, può chiedere la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano.
In materia di sicurezza del trattamento, si prevede come obbligatoria anche per l'autorità giudiziaria la nomina del responsabile della protezione dati, in ragione dell'ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale. Per quanto riguarda i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, si stabilisce che esso sia consentito solo nei confronti delle autorità competenti e per le finalità di pubblica sicurezza oggetto della direttiva e in presenza di specifiche condizioni, tra cui l'adozione, da parte della Commissione dell'Unione europea, di una decisione di adeguatezza o, in mancanza, vi siano garanzie adeguate.
Il decreto individua nel Garante nazionale l'autorità deputata a vigilare sul rispetto delle norme, in funzione della tutela dei diritti e delle libertà fondamentali delle persone fisiche, coinvolte dalle attività di trattamento di dati personali, escludendo il potere di controllo del Garante in ordine al trattamento svolto dall'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, comprese quelle del pubblico ministero. Infine, per quanto riguarda la violazione delle nuove norme, il testo prevede sanzioni amministrative (che nei casi più gravi possono estendersi da 50.000 a 150.000 euro) per le violazioni inerenti alle modalità del trattamento e introduce sanzioni penali per il trattamento operato con finalità illegittime. Con riguardo a queste ultime è punito, salvo che il fatto non costituisca più grave reato, il trattamento illecito di dati finalizzato al profitto o al danno a terzi con la reclusione da 6 a 18 mesi o - in caso di diffusione dei dati - da 6 a 24 mesi. Inoltre, sempre che il fatto non costituisca più gravo reato, è punito con la reclusione da uno a tre anni chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della specifica normativa su particolari categorie di dati (i c.d. dati sensibili) o in violazione del divieto di profilazione finalizzata alla discriminazione di persone fisiche sulla base delle suddette categorie particolari di dati personali, se dal fatto deriva nocumento. Inoltre si punisce la falsità nelle dichiarazioni e notificazioni al Garante, riproducendo anche nelle sanzioni (reclusione da 6 mesi a 3 anni) Anche in questo caso si tratta di un reato comune potendo essere commesso da chiunque ma non è richiesto alcun dolo specifico essendo sufficiente la coscienza e la volontà di dichiarare o attestare falsamente notizie o circostanze o produrre atti o documenti falsi. Il novero delle condotte per cui è configurabile questo reato, pertanto, è assai ampio includendovi tutte quelle condotte che possono influire l'attività del Garante attraverso la comunicazione di notizie o circostanze non vere. Infine è sanzionata l'inosservanza del blocco o del divieto del trattamento disposto dal Garante (reclusione da 3 mesi a 2 anni).
La riforma del processo penale è uno degli obiettivi concordati con l'Unione europea per accedere alle risorse del Piano nazionale di ripresa e resilienza (PNRR). In merito, nella XVIII legislatura il Parlamento ha approvato la legge n. 134 del 2021, che delega il Governo ad operare una significativa riforma del codice di procedura penale con l'obiettivo di accelerare il processo penale anche attraverso una sua deflazione e la sua digitalizzazione. In data 28 settembre 2022, il Governo ha adottato, tra gli altri, lo schema di decreto legislativo di attuazione della citata legge delega (A.G. n. 414), sul quale ha espresso il proprio parere in relazione a "talune disposizioni [che] rivestono particolare interesse in termini di protezione dati, in ragione della proposta digitalizzazione di alcuni adempimenti procedimentali o, comunque, di specifici trattamenti di dati personali correlati alle attività disciplinate dallo schema di decreto".
In particolare, il Garante si è soffermato sulle disposizioni del decreto relative ai seguenti punti, ritenuti particolarmente meritevoli sotto il profilo della protezione dei dati personali:
Con riguardo a quest'ultimo punto, si segnala che l'articolo 64-ter del decreto legislativo introduce una disciplina del diritto all'oblio degli imputati e degli indagati. In particolare, si prevede che l'imputato destinatario di una sentenza di proscioglimento o di non luogo a procedere e la persona sottoposta alle indagini destinataria di un provvedimento di archiviazione possano richiedere che sia preclusa l'indicizzazione o che sia disposta la deindicizzazione, sulla rete internet, dei dati personali riportati nella sentenza o nel provvedimento, ai sensi e nei limiti dell'articolo 17 del GDPR.
Nel caso di richiesta volta a precludere l'indicizzazione, la cancelleria del giudice che ha emesso il provvedimento appone e sottoscrive la seguente annotazione, recante sempre l'indicazione degli estremi del presente articolo: «Ai sensi e nei limiti dell'articolo 17 del Regolamento del Parlamento europeo del 27 aprile 2016, n. 679, è preclusa l'indicizzazione dei dati personali dell'interessato, riportati nel provvedimento».
Nel caso di richiesta volta ad ottenere la deindicizzazione, la cancelleria del giudice che ha emesso il provvedimento appone e sottoscrive la seguente annotazione, recante sempre l'indicazione degli estremi del presente articolo: «Il presente provvedimento costituisce titolo per ottenere, ai sensi e nei limiti dell'articolo 17 del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, un provvedimento di sottrazione dell'indicizzazione, da parte dei motori di ricerca generalisti, di contenuti relativi al procedimento penale, rispetto a ricerche condotte a partire dal nominativo dell'istante».
Inoltre, ai sensi dell'articolo 65, si segnala che i centri per la giustizia riparativa sono titolari del trattamento dei dati personali di cui al GDPR anche di quelli c.d. sensibili di cui agli artt. 9 e 10, che avviene nel rispetto del citato regolamento e del Codice di cui al d.lgs. n. 196 del 2003. L'ambito del trattamento dei suddetti dati è delimitato con regolamento del Ministro della giustizia, sentito il Garante per la protezione dei dati personali.
Tra le principali misure in materia di dati personali in vigore anche dopo la data di cessazione dello stato di emergenza da Covid-19, si segnalano le seguenti:
D.L. n. 18 del 2020 |
17-bis, co. 1 e 6 |
È ampliato il novero di soggetti cui è consentito effettuare trattamenti dei dati personali, inclusa la comunicazione di tali dati tra i medesimi soggetti, che risultino necessari all'espletamento delle funzioni attribuite nell'ambito dell'emergenza epidemiologica. I trattamenti possono riguardare anche le particolari categorie di dati cui appartengono quelli relativi alla salute nonché quelli relativi alle condanne penali e ai reati (artt. 9 e 10 del Regolamento 2016/678 UE). Al termine dello stato di emergenza gli stessi soggetti adotteranno misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell'emergenza, all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali. |
31 dicembre 2022[1] |
D.L. n. 28 del 2020 |
6[2] |
E' istituita presso il Ministero della salute una piattaforma per il tracciamento dei contatti tra le persone che installino, su base volontaria, un'apposita applicazione per dispositivi di telefonia mobile complementare (app Immuni); la piattaforma è intesa a consentire la gestione di un sistema di allerta, in relazione alle persone che siano entrate in contatto stretto con soggetti risultati positivi al virus SARS-CoV-2, nonché l'adozione delle misure di sanità pubblica e di cura (inerenti in particolare alle persone interessate dai contatti stretti in esame). Compete allo stesso Ministero della salute, sentito il Garante Privacy, l'adozione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi per i diritti e le libertà degli interessati. La disposizione chiarisce che i dati raccolti non possono essere trattati per finalità diverse da quelle specificate, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica, e il mancato utilizzo dell'applicazione non comporterà alcuna conseguenza in ordine all'esercizio dei diritti fondamentali dei soggetti interessati. Si prevede infine che la piattaforma venga realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla Sogei (società a totale partecipazione pubblica) e tramite programmi informatici di titolarità pubblica. La piattaforma Immuni può scambiare dati con le piattaforme che svolgano le medesime finalità nel territorio dell'Unione europea. L'applicazione dell'interoperabilità al sistema di allerta italiano deve essere preceduta da una valutazione d'impatto relativa alla protezione dei dati personali. Per consentire la fruizione dell'APP, è consentito l'utilizzo dei dispositivi telematici e telefonici anche durante l'orario di lavoro. L'APP potrà essere utilizzata e i relativi dati potranno essere trattati in attesa della cancellazione o della conversione in forma definitivamente anonima, fino alla cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione (anche a carattere transfrontaliero) del virus SARS-CoV-2. Tale momento, originariamente individuato nel 31 dicembre 2020, sarà individuato da un decreto del Presidente del Consiglio dei Ministri, da emanarsi su proposta del Ministro della salute; in ogni caso, il termine non può oltrepassare il 31 dicembre 2022. |
Fino alla cessazione dell'emergenza (e comunque entro il 31 dicembre 2022)[3] |
D.L. n. 34 del 2020 |
13 |
L'ISTAT può effettuare rilevazioni, elaborazioni e analisi statistiche sul sistema economico e produttivo nazionale e sui fenomeni sociali, epidemiologici e ambientali, anche a supporto degli interventi di contrasto all'emergenza sanitaria e di quelli finalizzati alla gestione della fase di ripresa. Nell'ambito delle indagini statistiche, l'ISTAT è autorizzata al trattamento dei dati personali anche inerenti a particolari categorie di dati (tra i quali quelli genetici e relativi alla salute), nonché dei dati relativi a condanne penali o reati, nel rispetto delle disposizioni europee ed interne relative ai presupposti in presenza dei quali tali categorie di dati possono essere legittimamente trattati. L'individuazione dei trattamenti è demandata a una o più specifiche direttive del presidente dell'ISTAT, adottate previo parere del Garante per la protezione dei dati personali. |
Fino a 12 mesi dopo la cessazione dello stato di emergenza |
Per la disamina dei provvedimenti adottati adottati dal Garante nazionale, dal Comitato europeo per la protezione dei dati - EDPB e da altre istituzioni europee in materia di Covid-19 e protezione dei dati personali si rimanda all'apposita sezione del sito del Garante Privacy.