tema 30 settembre 2022
Studi - Giustizia
Protezione dei dati personali

La nuova normativa sulla protezione dei dati personali risultdalle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati  (c.d. GDPR), nonché dalle disposizioni del Codice della privacy così come riformato, nella XVIII legislatura, dal d.lgs. n. 101/2018, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del GDPR. Ulteriori modifiche al Codice sono state successivamente apportate attraverso il decreto-legge n. 139 del 2021 convertito, con modificazioni, dalla legge n. 205 del 2021.

Il decreto legislativo n. 101 del 2018 è andato ad aggiungersi al decreto legislativo n. 51 del 2018, con il quale l'ordinamento italiano ha attuato la direttiva 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, completando il recepimento del c.d. pacchetto protezione dati dell'Unione europea.

Lo sviluppo dell'intelligenza artificiale e dei big data ha inoltre stimolato ulteriori interventi normativi a livello sovranazionale, al fine di assicurare il diritto alla protezione dei dati personali (e non). 

Infine, numerosi sono stati gli interventi normativi volti a fronteggiare l'emergenza epidemiologica da Covid-19 che incidono sulle tematiche inerenti alla protezione dei dati personali, alcuni dei quali sono rimasti in vigore anche dopo la cessazione dello stato di emergenza. 

apri tutti i paragrafi

 Il cd. pacchetto protezione dati identifica gli atti normativi di matrice europea relativi al trattamento, la protezione e la libera circolazione dei dati personali, e volti a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell'Unione europea. L'attuale contesto economico-sociale richiede una maggiore attenzione alla tutela della sicurezza dei cittadini e della circolazione (anche transfrontaliera) dei loro dati personali, in un'ottica di bilanciamento con il principio di libera circolazione all'interno dell'UE. Il nuovo apparato normativo, dunque, mira ad intensificare e innalzare il livello di sicurezza di ciascun cittadino europeo in materia di trattamento dati personali.

Il "pacchetto protezione dati" è composto da distinti atti normativi: 

• il Regolamento 2016/679 UE, concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46. Il Regolamento UE, entrato in vigore il 25 maggio 2016,  reca una disciplina direttamente esecutiva nell'ordinamento degli Stati membri a partire dal 25 maggio 2018.

• la Direttiva 2016/680/UE relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.

Inoltre, nel gennaio del 2017 la Commissione europea ha avviato la revisione della disciplina in materia di tutela della riservatezza delle comunicazioni elettroniche, sia per allinearla agli standard di protezione stabiliti nel pacchetto protezione dati, sia per aggiornarla e renderla tecnologicamente neutra rispetto alla continua evoluzione delle tecnologie in materia di comunicazione e informazione. In particolare, la Commissione europea ha presentato una proposta di regolamento COM(2017)10 con l'obiettivo di sostituire la direttiva 2002/58/CE (cosiddetta e-privacy)  con una normativa direttamente applicabile che garantisca i medesimi livelli di protezione per tutti i cittadini UE utenti delle comunicazioni elettroniche e di certezza giuridica per le imprese fornitrici di servizi in tale settore.

Con riguardo alle principali novità introdotte dal Regolamento 2016/679 UE volte a dare vita ad un quadro più solido e coerente in materia di privacy si segnalano:

  • l'ambito di applicazione territoriale: le norme regolamentari si applicano anche al trattamento di dati personali di soggetti stabiliti nell'Unione Europea da parte di un soggetto stabilito al di fuori della stessa;
  • la liceità del trattamento è ancorata a due requisiti alternativi: la necessità del trattamento, o il consenso dell'interessato. Il consenso dei minori, in relazione ai servizi della società dell'informazione, può essere validamente espresso a partire dai 16 anni (gli Stati possono abbassare tale limite fino a 13 anni); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci;
  • il trattamento di "particolari categorie di dati", corrispondenti sostanzialmente a quelli che nel nostro ordinamento sono definiti come "sensibili e giudiziari". Con particolare riferimento al trattamento di dati genetici, biometrici e relativi alla salute, è consentito agli Stati membri di introdurre disposizioni più stringenti;
  • l'espressa previsione sia del diritto all'oblio (ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), che del diritto alla portabilità dei dati da un titolare del trattamento ad un altro, su richiesta degli interessati;
  • la disciplina relativa al titolare del trattamento e al responsabile del trattamento basata sulla "responsabilizzazione" (accountability) dei suddetti soggetti – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento; viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali;
  • l'introduzione del concetto di protezione dei dati personali "by design" e "by default", ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso;
  • la previsione, in capo al titolare, un obbligo di notifica all'autorità di controllo e di comunicazione all'interessato in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati (c.d. data breach);
  • la necessità di  un'analisi e una preventiva valutazione del rischio inerente al trattamento all'esito della quale il titolare potrà decidere, in autonomia, se iniziare il trattamento ovvero consultare l'autorità di controllo competente che non avrà il compito di autorizzare il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare;
  • l'introduzione della figura del Data protection officer con riguardo agli enti pubblici e agli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui;
  • il nuovo sistema sanzionatorio che si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie per molte violazioni, espressamente indicate dal Regolamento UE; si tratta di sanzioni particolarmente elevate (fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo) ma definite solo nella misura massima, che dunque lasciano ampi spazi di discrezionalità alle autorità di controllo.

Per quanto concerne la Direttiva (UE) 2016/680, essa ha natura di lex specialis rispetto al regolamento generale sulla protezione dei dati, di cui declina princìpi e obblighi con riguardo allo specifico contesto di attività e ai poteri delle autorità di polizia e giudiziarie.

dati costituiscono inoltre una risorsa determinante per l'intelligenza artificiale. Da essi dipendono infatti le possibilità di funzionamento del sistema, poiché rappresentano gli input da cui gli algoritmi riescono a trarre risultati. Anche sul piano normativo i due temi sono collegati. L'attenzione sui dati è però molto più risalente nel tempo sia in ambito europeo che in quello nazionale ed è sicuramente cresciuta con lo sviluppo dei computer e di internet. 

Questo sviluppo delle nuove tecnologie ha posto l'esigenza di introdurre a livello dell'Unione europea una normativa finalizzata ad assicurare la protezione non soltanto dei dati personali ma anche dei dati non personali.

In questo ambito, per completezza si segnala l'adozione  dei seguenti atti dell'Unione europea in materia di dati non personali:

Dopo l'emanazione del Regolamento 2016/679 e del Regolamento 2018/1087, l'Unione europea ha continuato ad emanare atti giuridici relativi alla gestione dei dati. Sono quattro i più rilevanti:

Per ogni ulteriore approfondimento sul tema della protezione dei dati (personali e non) in materia di intelligenza artificiale e big data, si rimanda all'apposito dossier di documentazione "Intelligenza artificiale, dati e big data: profili tecnici e sviluppi normativi" predisposto nella XVIII legislatura.

ultimo aggiornamento: 29 settembre 2022

Al fine di provvedere all'adeguamento del quadro normativo interno al Regolamento 2016/679 UE, la legge n. 163 del 2017  (art. 13), ha delegato il Governo ad adottare uno o più decreti legislativi volti ad abrogare espressamente le disposizioni del Codice della privacy incompatibili con quelle del regolamento (UE); a modificare il Codice limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento; a coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni adottate in sede europea; ad adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

In attuazione della predetta delega il Governo ha emanato il decreto legislativo n. 101 del 2018.

La nuova normativa sulla protezione dei dati personali risulta quindi dalle norme del Regolamento UE, direttamente applicabili, nonché dalle residue disposizioni del Codice della privacy così come riformato dal d.lgs. n. 101/2018.

Il decreto legislativo contiene un corpus di norme complesso che è intervenuto con abrogazioni e modificazioni sulla quasi totalità dei 186 articoli del codice della privacy previgente.

In particolare, gli articoli 1 e 2 del provvedimento hanno modificato la Parte I del Codice della privacy dedicata alle disposizioni generali. I precedenti 46 articoli che componevano la Parte I sono stati ridotti a 16: le disposizioni generali sul trattamento dei dati personali sono infatti ora prevalentemente contenute nel Regolamento.

Sono state introdotte nella I parte del Codice 14 nuove disposizioni (articoli da 2-bis a 2-quinquiesdecies) che integrano quanto disposto dal Regolamento in materia di fondamento giuridico del trattamento, limitazioni ai diritti degli interessati, titolare e responsabile del trattamento, regole deontologiche e categorie particolari di dati.

Tra le novità più significative:

  • con riguardo ai trattamenti per motivi di interesse pubblico si è confermata la necessità di un fondamento legislativo; è peraltro consentita, anche a prescindere da tale fondamento, ma previa necessaria notifica al Garante, la comunicazione dei dati tra soggetti che li trattano per finalità pubbliche. Tale possibilità è offerta, non solo ai soggetti pubblici, come attualmente, ma anche ai privati purché gli stessi trattino i dati per finalità di interesse pubblico (articolo 2-ter del Codice).
  • la previsione della promozione da parte del Garante dell'adozione di regole deontologiche sulla base della possibilità offerta dal legislatore europeo agli Stati di dettare disposizioni più stringenti per la disciplina del trattamento dati in determinati settori. Il rispetto di tali regole, che dovranno essere emanate previa sottoposizione a consultazione pubblica, costituisce requisito di liceità del trattamento (nuovo articolo 2-quater del Codice).
  • per i trattamenti dei dati nell'ambito dei servizi della società dell'informazione che richiedono il consenso dell'interessato, tale consenso può essere espresso direttamente dai minori che hanno compiuto 16 anni. Per tutti gli altri minori il consenso deve essere espresso da coloro che esercitano la responsabilità genitoriale (nuovo articolo 2-quinquies del Codice).
  • la ridefinizione della disciplina dei c.d. "dati sensibili": con l'entrata in vigore del Regolamento UE, tale categoria di dati sensibili, è stata assorbita nella definizione di «categorie particolari di dati personali». In generale, il trattamento di questi dati  - che sostanzialmente sono gli stessi già definiti "sensibili" con l'aggiunta dei dati genetici e biometrici e relativi all'orientamento sessuale - è vietato, a meno che non trovi fondamento nel consenso esplicito dell'interessato ovvero nella necessità del trattamento stesso per una serie di motivi tassativamente elencati. Per dare attuazione a questa disposizione il nuovo articolo 2-sexies del Codice, disciplina il trattamento delle categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante, consentendolo solo in presenza di un fondamento legislativo o regolamentare che specifichi i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante. Tra i dati particolari si colloca anche la categoria dei dati genetici, biometrici e relativi alla salute, per il cui trattamento il regolamento UE consente agli Stati membri di introdurre garanzie supplementari, e dunque di mantenere o introdurre ulteriori condizioni, comprese limitazioni. A tal fine, il nuovo articolo 2-septies prevede che il trattamento di questi dati sia subordinato all'osservanza di misure di garanzia, stabilite dal Garante con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica. Inoltre, l'articolo 2-septies, in relazione esclusiva ai dati genetici ed a quelli relativi ad ambito sanitario, diagnostico e alle prescrizioni di medicinali, prevede che nell'ambito delle misure di garanzia sia possibile anche, in caso di particolare ed elevato livello di rischio, introdurre il consenso come ulteriore misura di protezione dei diritti dell'interessato.
  • con riguardo alla categoria dei dati giudiziari, essa è sostituita dai dati relativi a condanne penali e reati, il cui trattamento può essere svolto in base alle specifiche norme del Regolamento e al nuovo articolo 2-octies del Codice. In particolare, la riforma ribadisce, anche per questi dati, la necessità che il trattamento abbia un fondamento normativo che lo autorizzi e che preveda garanzie appropriate per i diritti degli interessati. In mancanza di esso dovrà intervenire, entro 18 mesi, un decreto del Ministro della giustizia, che dovrà anche, per le disposizioni già in vigore, verificare che le stesse contengano garanzie, provvedendo alla loro eventuale integrazione.
  • la disciplina dei diritti dell'interessato dal trattamento dei dati, è ora integralmente contenuta nel Regolamento, che consente agli Stati membri di limitare, in presenza di specifiche circostanze, l'esercizio dei diritti stessi. A tal fine provvedono i nuovi articoli 2-decies e 2-undecies del Codice che limitano l'esercizio dei diritti dell'interessato quando dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto ad alcuni specifici interessi (art. 2-decies) o alla salvaguardia e l'indipendenza della magistratura (art. 2-undecies). La riforma differenzia il perimetro delle possibili limitazioni, che a salvaguardia dell'indipendenza della magistratura possono essere più estese comprendendo anche il diritto all'informativa e alla comunicazione in caso di data breach.
  • definizioni, compiti e obblighi dei titolari e dei responsabili dei trattamenti sono contenuti nelle disposizioni del Regolamento, direttamente applicabili. Per questo, nonostante lo schema di decreto legislativo inserisca nel Codice della privacy un nuovo Titolo I-quater dedicato al titolare del trattamento e al responsabile del trattamento, in realtà le relative disposizioni vanno cercate nella disciplina europea. Lo schema si limita: a disciplinare la facoltà del titolare e del responsabile di delegare compiti e funzioni a persone fisiche che operano sotto la sua autorità che, a tal fine, dovranno essere espressamente designate (all'articolo 2-terdecies); a prevedere che il Garante possa emanare d'ufficio provvedimenti di carattere generale per prescrivere misure e accorgimenti da applicare a garanzia dell'interessato nei trattamenti svolti per l'esecuzione di un compito di pubblico interesse che presentano un rischio particolarmente elevato all'articolo 2-quaterdecies; a designare l'organismo nazionale competente per l'accreditamento degli organismi di certificazione della protezione dei dati all'articolo 2-quinquiesdecies,.

 

Oggetto di modifica è stata anche la Parte II del Codice della privacy, dedicata al trattamento dei dati personali negli specifici settori, in esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articoli da 3 a 12) In tali settori il Regolamento consente agli Stati di prevedere una disciplina del trattamento dati che, nel bilanciare i diritti dell'interessato con un interesse pubblico al trattamento, individui misure più specifiche e stringenti. A tal fine, gli articoli da 4 a 12 intervengono sui vari titoli del Codice, adeguando la relativa disciplina alle disposizioni del Regolamento e alle modifiche apportate dallo schema alla prima parte del Codice. Si tratta in particolare dei trattamenti: per fini di sicurezza nazionale o difesa (articolo 4 dello schema);  in ambito pubblico (articolo 5 dello schema); in ambito sanitario (articolo 6 dello schema); per finalità di istruzione (articolo 7); a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (articolo 8) nell'ambito del rapporto di lavoro (articolo 9) relativi alla banca dati dei sinistri (articolo 10); relativi alle comunicazioni elettroniche (articolo 11); nell'ambito dell'attività giornalistica e della manifestazione del pensiero (articolo 12).

Significative modifiche sono intervenute sulla Parte III del Codice della privacy, relativa alla tutela (amministrativa e giurisdizionale) dell'interessato, quella relativa al Garante nonché la disciplina sanzionatoria per le violazioni della normativa in materia di dati personali (articoli da 13 a 16).

In particolare:

  • con riguardo alla tutela dei diritti, l'interessato può proporre reclamo al Garante oppure ricorrere al giudice (articolo 13)
  • si interviene inoltre sulla disciplina dell'autorità Garante, con riferimento tanto ai suoi compiti e poteri – in gran parte direttamente determinati dal Regolamento - quanto all'Ufficio del Garante, ovvero il supporto amministrativo che coadiuva l'autorità di controllo nell'esercizio delle sue funzioni e al trattamento economico del personale che viene equiparato a quello del personale dell'Autorità per le garanzie nelle comunicazioni – AGCOM (articolo 14):
  • il nuovo quadro sanzionatorio amministrativo è previsto dal Regolamento UE, le cui disposizioni sono direttamente applicabili. Peraltro, lo stesso Regolamento impone agli Stati membri di stabilire le norme relative alle altre sanzioni in caso di violazione di disposizioni diverse da quelle già sanzionate dal Regolamento garantendo, anche in questo caso, che le sanzioni siano effettive, proporzionate e dissuasive. A tal fine provvede l'articolo 15 dello schema che, ferme le sanzioni del Regolamento, prevede all'art. 166 del Codice l'applicazione delle suddette sanzioni anche a una serie di violazioni delle disposizioni del Codice stesso. L'entità delle sanzioni amministrative, fissate solo nel limite massimo, appare particolarmente elevata (nei casi meno gravi è individuato in 10 milioni di euro e nei più gravi in 20 milioni di euro. Per le imprese il regolamento prevede sanzioni fino al 2% - 4% nei casi più gravi – del fatturato). Si tratta, dunque, di un quadro sanzionatorio potenzialmente molto più severo rispetto all'attuale; tali sanzioni, peraltro, non sono modificabili dal provvedimento in esame
  • per quanto riguarda gli illeciti penali, il regolamento non interviene ma consente agli Stati di introdurre "altre sanzioni". Questo giustifica l'intervento dell'articolo 15 della riforma sul quadro sanzionatorio penale, attraverso la modifica di alcuni illeciti vigenti e l'introduzione di nuovi: oltre all'integrazione della fattispecie di trattamento illecito di dati (art. 167), vengono introdotti i reati di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone (art. 167-bis) e di acquisizione fraudolenta di dati personali (art. 167-ter).  La condotta penalmente rilevante potrebbe integrare anche gli estremi di un illecito amministrativo; a tal fine la riforma  prevede che se per uno stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria, la pena – all'esito della condanna penale – sia diminuita (art. 167, comma 6). Peraltro, essendo l'impianto sanzionatorio del Regolamento improntato esclusivamente su sanzioni amministrative, ne deriva che per le condotte qualificate dal regolamento come illeciti amministrativi, l'ordinamento nazionale non può prevedere sanzioni penali. Ciò comporta la necessaria depenalizzazione (attraverso l'abrogazione) degli articoli 169 e 170 del Codice relativi, rispettivamente, alla violazione delle misure minime di sicurezza e all'inosservanza dei provvedimenti del Garante.

Ulteriori disposizioni  (articoli da 17 a 27 dello schema) non novellano il Codice della privacy ma:

  • modificano alcuni profili del rito civile applicabile alle controversie in materia di protezione dei dati;
  • dettano disposizioni transitorie in relazione, in particolare, ai procedimenti sanzionatori amministrativi in corso alla data di entrata in vigore della riforma, alla definizione dei reclami, delle segnalazioni e dei ricorsi già pendenti davanti al Garante, ai vigenti codici di deontologia e di buona condotta, all'efficacia delle attuali autorizzazioni generali del Garante;
  • dettano disposizioni di coordinamento della legislazione vigente  e di quella in corso di emanazione.
  • dettano la disciplina transitoria relativa alla depenalizzazione delle violazioni del Codice che, attualmente sanzionate a titolo di illecito penale, sono con la riforma ricondotte alle sanzioni amministrative previste dal Regolamento;
  • recano la copertura finanziaria della riforma;
  • abrogano le disposizioni del Codice della privacy incompatibili con il regolamento e la riforma.

Per una disamina della normativa attuativa si rimanda all'apposita sezione del sito del Garante, nonché all'apposita guida relativa all'applicazione del GDPR predisposta dal Garante. 

ultimo aggiornamento: 29 settembre 2022

L'articolo 9 del decreto-legge n. 139 del 2021 ha apportato modifiche a diverse disposizioni in materia di protezione dei dati personali.

In particolare, la disposizione ha novellato il c.d. Codice della privacy (d.lgs. n. 196 del 2003):

  • prevedendo che il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico possa trovare fondamento e base giuridica, oltre che nella legge e - nei casi previsti dalla legge - nel regolamento, anche in un atto amministrativo generale (modifica dell'art. 2-ter del Codice) e che tale ampliamento della base giuridica valga anche per il trattamento dei dati particolari (sanità pubblica, medicina del lavoro, archiviazione nel pubblico interesse o per ricerca scientifica o storica o a fini statistici) disciplinato dall'art. 2-sexies del Codice e per il trattamento dei dati personali per fini di sicurezza nazionale o difesa, disciplinato dall'art. 58 del Codice;
  • consente il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblici poteri, da parte di una serie di soggetti pubblici, anche per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri attribuiti ai suddetti soggetti pubblici (nuovo comma 1-bis dell'art. 2-ter del Codice);
  • introducendo una disciplina specifica per il trattamento di dati personali relativi alla salute quando gli stessi siano "privi di elementi identificativi diretti" (art. 2-sexies, comma 1-bis, del Codice);
  • abrogando l'articolo 2-quinquesdecies del Codice della privacy che, nel caso di trattamenti di dati personali svolti per l'esecuzione di un compito di interesse pubblico, tali da poter presentare un rischio elevato per i diritti e le libertà delle persone fisiche, consentiva al Garante di adottare d'ufficio provvedimenti di carattere generale, prescriventi misure e accorgimenti a garanzia dell'interessato;
  • prevedendo che il trattamento dei dati relativi al traffico telefonico e telematico che devono essere conservati dal fornitore per finalità di accertamento e repressione di reati, sia effettuato nel rispetto delle misure e degli accorgimenti a garanzia dell'interessato prescritti dal Garante con provvedimento "di carattere generale" (modifica dell'art. 132, comma 5, del Codice);
  • potenziando la competenza del Garante al fine di prevenire la diffusione di materiali, foto o video, sessualmente espliciti (nuovo art. 144-bis del Codice, rubricato Revenge porn). In particolare, la disposizione prevede che chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini, audio, video o altri documenti informatici a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali, senza il suo consenso, può rivolgersi, mediante segnalazione, al Garante, il quale, entro 48 ore può rivolgere avvertimenti, ammonimenti, imporre una limitazione provvisoria o definitiva al trattamento, ordinare la rettifica, la cancellazione di dati personali o la limitazione del t rattamento e infliggere una sanzione amministrativa pecuniaria. In base al comma 6 dell'art. 9, i fornitori di servizi di condivisione di contenuti, ovunque stabiliti, devono entro 6 mesi dalla legge di conversione pubblicare il proprio recapito, ai fini dell'adozione dei provvedimenti da parte del Garante.

In particolare, in materia di revenge porn, l'articolo 33-bis del Regolamento del Garante n. 1/2019 prevede che le segnalazioni di cui all'art. 144-bis del Codice, corredate delle registrazioni audio, immagini o video o altri documenti informatici a contenuto sessualmente esplicito, a sostegno delle stesse, siano presentate al Garante esclusivamente attraverso il modello, compilabile on-line, pubblicato nell'apposita sezione del sito web istituzionale. Per ogni ulteriore dettaglio in materia di revenge porn e pornografia non consensuale si rimanda alla scheda informativa predisposta dal Garante

Ulteriori modifiche sono state apportate:

  • intervenendo sul parere che il Garante deve rendere al legislatore in vista dell'adozione di una disciplina relativa al trattamento dei dati, per circoscriverne i presupposti (modifica dell'art. 154 del Codice). Inoltre, quando il Presidente del Consiglio dei ministri dichiari che ragioni di urgenza non consentono la consultazione preventiva, e comunque nei casi di adozione di decreti-legge, si prevede che il Garante esprima il parere in una fase successiva, vale a dire in sede di esame parlamentare dei disegni di legge o delle leggi di conversione dei decreti-legge o in sede di vaglio definitivo degli schemi di decreto legislativo sottoposti al parere delle Commissioni parlamentari;
  • consentendo l'omissione della previa notifica della violazione contestata nei confronti dei soggetti pubblici che trattano i dati quando il loro trattamento abbia già arrecato pregiudizio agli interessati (modifica dell'art. 166 del Codice);
  • introducendo la possibilità di applicare, a titolo di sanzione accessoria rispetto alle sanzioni amministrative pecuniarie comminate dal Garante, l'ingiunzione a realizzare campagne di comunicazione istituzionale di sensibilizzazione sulla protezione dei dati personali (modifica dell'art. 166 del Codice);
  • subordinando l'applicazione della fattispecie penale di inosservanza di provvedimenti del Garante (punita con la reclusione da tre mesi a due anni) al "concreto nocumento" dei soggetti interessati e alla querela della persona offesa (modifica all'art. 170 del Codice).

Il comma 3 ha invece modificato il d. lgs. n. 51 del 2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, al fine di:

  • confermare l'estensione agli atti amministrativi generali della base giuridica del trattamento;
  • sostituire, nella determinazione dei termini, delle modalità di conservazione, dei soggetti legittimati ad accedere ai dati nonché delle modalità e delle condizioni per l'esercizio dei diritti dell'interessato, l'attuale riferimento a un regolamento governativo con quello a un decreto ministeriale;
  • circoscrivere, anche in questo caso, l'applicabilità del reato di inosservanza dei provvedimenti del Garante, alle ipotesi di concreto nocumento arrecato ad uno o più interessati e alla presentazione di querela della persona offesa.

Il comma 7 ha ridotto a 30 giorni il termine per i pareri che il Garante renda su atti riconducibili al Piano nazionale di ripresa e resilienza (PNRR), al Piano nazionale per gli investimenti complementari ed al Piano nazionale integrato per l'energia e il clima 2030 e prevede che quel termine sia improrogabile (ed una volta decorso, si può comunque procedere, pur in assenza di parere).

Il comma 8 è intervenuto sugli articoli 1 e 2 della legge n. 5 del 2018, al fine di prevedere che i diritti dell'utente iscritto al registro pubblico delle opposizioni, nonché gli obblighi in capo agli operatori di call center operino indipendentemente dalle modalità in cui il trattamento delle numerazioni è stato effettuato, ovvero con o senza operatore con l'impiego del telefono, ma anche in via più generale mediante sistemi automatizzati di chiamata senza l'intervento di un operatore.

commi da 9 a 12 prevedono una sospensione (eccezion fatta per la prevenzione e la repressione dei reati) della installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l'uso dei dati biometrici in luoghi pubblici o aperti al pubblico, da parte di autorità pubbliche o soggetti privati. Tale moratoria è prevista "fino all'entrata in vigore di una disciplina legislativa della materia", e comunque non oltre il 31 dicembre 2023. La violazione della moratoria comporta l'applicazione di sanzioni amministrative pecuniarie.



ultimo aggiornamento: 28 settembre 2022

La Direttiva 2016/680, che regola il trattamento dei dati personali per finalità di prevenzione e repressione di reati, esecuzione di sanzioni penali, salvaguardia contro le minacce alla sicurezza pubblica e prevenzione delle stesse, da parte sia dell'autorità giudiziaria, sia delle forze di polizia, è stata recepita nell'ordinamento interno con il decreto legislativo n. 51 del 2018 (attuativo della delega contenuta negli artt. 1 e 11 della legge n. 163 del 2017, legge di delegazione europea 2016-2017).

Il D.lgs. n. 51 del 2018 è un testo unitario, dedicato alla complessiva disciplina del trattamento di dati personali in ambito penale, e contiene principi generali di regolamentazione della materia e disposizioni di dettaglio nei vari settori in cui si può articolare il trattamento dei dati personali. La nuova normativa supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia.

In particolare, il testo prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o anonimizzati una volta decorso tale termine e introduce una nuova disciplina riguardo alla differenziazione tra categorie di dati e di interessati, in ragione della loro specifica posizione processuale.

Inoltre, riguardo ai diritti dell'interessato (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento), il testo prevede che rispetto ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, l'esercizio di tali diritti è regolato dalle disposizioni normative che disciplinano tali atti e procedimenti. In ambito giudiziario, la tutela degli interessati è quindi assicurata, per le parti, dalle garanzie che riconoscono i diritti di difesa all'interno del procedimento penale, anche con riguardo ai dati personali necessariamente oggetto di trattamento, assicurando quindi la possibilità di limitare l'esercizio dei diritti dell'interessato, conformemente alle esigenze di prevenzione, di indagine e processuali. Per garantire i diritti in ambito giudiziario anche con riferimento ai terzi, si è previsto uno speciale procedimento attraverso il quale qualsiasi interessato, durante il procedimento penale o dopo la sua definizione, può chiedere la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano.

In materia di sicurezza del trattamento, si prevede come obbligatoria anche per l'autorità giudiziaria la nomina del responsabile della protezione dati, in ragione dell'ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale. Per quanto riguarda i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, si stabilisce che esso sia consentito solo nei confronti delle autorità competenti e per le finalità di pubblica sicurezza oggetto della direttiva e in presenza di specifiche condizioni, tra cui l'adozione, da parte della Commissione dell'Unione europea, di una decisione di adeguatezza o, in mancanza, vi siano garanzie adeguate.

Il decreto individua nel Garante nazionale l'autorità deputata a vigilare sul rispetto delle norme, in funzione della tutela dei diritti e delle libertà fondamentali delle persone fisiche, coinvolte dalle attività di trattamento di dati personali, escludendo il potere di controllo del Garante in ordine al trattamento svolto dall'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, comprese quelle del pubblico ministero. Infine, per quanto riguarda la violazione delle nuove norme, il testo prevede sanzioni amministrative (che nei casi più gravi possono estendersi da 50.000 a 150.000 euro) per le violazioni inerenti alle modalità del trattamento e introduce sanzioni penali per il trattamento operato con finalità illegittime. Con riguardo a queste ultime è punito, salvo che il fatto non costituisca più grave reato, il  trattamento illecito di dati finalizzato al profitto o al danno a terzi con la reclusione da 6 a 18 mesi o - in caso di diffusione dei dati - da 6 a 24 mesi. Inoltre, sempre che il fatto non costituisca più gravo reato, è punito con la reclusione da uno a tre anni chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della specifica normativa su particolari categorie di dati (i c.d. dati sensibili) o in violazione del divieto di profilazione finalizzata alla discriminazione di persone fisiche sulla base delle suddette categorie particolari di dati personali, se dal fatto deriva nocumento. Inoltre si punisce la falsità nelle dichiarazioni e notificazioni al Garante, riproducendo anche nelle sanzioni (reclusione da 6 mesi a 3 anni) Anche in questo caso si tratta di un reato comune potendo essere commesso da chiunque ma non è richiesto alcun dolo specifico essendo sufficiente la coscienza e la volontà di dichiarare o attestare falsamente notizie o circostanze o produrre atti o documenti falsi. Il novero delle condotte per cui è configurabile questo reato, pertanto, è assai ampio includendovi tutte quelle condotte che possono influire l'attività del Garante attraverso la comunicazione di notizie o circostanze non vere. Infine è sanzionata l'inosservanza del blocco o del divieto del trattamento disposto dal Garante (reclusione da 3 mesi a 2 anni). 

ultimo aggiornamento: 13 giugno 2018

La riforma del processo penale è uno degli obiettivi concordati con l'Unione europea per accedere alle risorse del Piano nazionale di ripresa e resilienza (PNRR). In merito, nella XVIII legislatura il Parlamento ha approvato la legge n. 134 del 2021, che delega il Governo ad operare una significativa riforma del codice di procedura penale con l'obiettivo di accelerare il processo penale anche attraverso una sua deflazione e la sua digitalizzazione. In data 28 settembre 2022, il Governo ha adottato, tra gli altri, lo schema di decreto legislativo di attuazione della citata legge delega (A.G. n. 414), sul quale ha espresso il proprio parere in relazione a "talune disposizioni [che] rivestono particolare interesse in termini di protezione dati, in ragione della proposta digitalizzazione di alcuni adempimenti procedimentali o, comunque, di specifici trattamenti di dati personali correlati alle attività disciplinate dallo schema di decreto".

In particolare, il Garante si è soffermato sulle disposizioni del decreto relative ai seguenti punti, ritenuti particolarmente meritevoli sotto il profilo della protezione dei dati personali:

  • processo penale telematico;
  • giustizia riparativa;
  • diritto all'oblio (i.e. deindicizzazione preventiva o successiva) per l'imputato e la persona sottoposta alle indagini.

Con riguardo a quest'ultimo punto, si segnala che l'articolo 64-ter del decreto legislativo introduce una disciplina del diritto all'oblio degli imputati e degli indagati. In particolare, si prevede che l'imputato destinatario di una sentenza di proscioglimento o di non luogo a procedere e la persona sottoposta alle indagini destinataria di un provvedimento di archiviazione possano richiedere che sia preclusa l'indicizzazione o che sia disposta la deindicizzazione, sulla rete internet, dei dati personali riportati nella sentenza o nel provvedimento, ai sensi e nei limiti dell'articolo 17 del GDPR.

 Nel caso di richiesta volta a precludere l'indicizzazione, la cancelleria del giudice che ha emesso il provvedimento appone e sottoscrive la seguente annotazione, recante sempre l'indicazione degli estremi del presente articolo: «Ai sensi e nei limiti dell'articolo 17 del Regolamento del Parlamento europeo del 27 aprile 2016, n. 679, è preclusa l'indicizzazione dei dati personali dell'interessato, riportati nel provvedimento».

Nel caso di richiesta volta ad ottenere la deindicizzazione, la cancelleria del giudice che ha emesso il provvedimento appone e sottoscrive la seguente annotazione, recante sempre l'indicazione degli estremi del presente articolo: «Il presente provvedimento costituisce titolo per ottenere, ai sensi e nei limiti dell'articolo 17 del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, un provvedimento di sottrazione dell'indicizzazione, da parte dei motori di ricerca generalisti, di contenuti relativi al procedimento penale, rispetto a ricerche condotte a partire dal nominativo dell'istante».

Inoltre, ai sensi dell'articolo 65, si segnala che i centri per la giustizia riparativa sono titolari del trattamento dei dati personali di cui al GDPR anche di quelli c.d. sensibili di cui agli artt. 9 e 10, che avviene nel rispetto del citato regolamento e del Codice di cui al d.lgs. n. 196 del 2003. L'ambito del trattamento dei suddetti dati è delimitato con regolamento del Ministro della giustizia, sentito il Garante per la protezione dei dati personali.

ultimo aggiornamento: 30 settembre 2022

Tra le principali misure in materia di dati personali in vigore anche dopo la data di cessazione dello stato di emergenza da Covid-19, si segnalano le seguenti:

D.L. n. 18 del 2020

17-bis, co. 1 e 6

È ampliato il novero di soggetti cui è consentito effettuare trattamenti dei dati personali, inclusa la comunicazione di tali dati tra i medesimi soggetti, che risultino necessari all'espletamento delle funzioni attribuite nell'ambito dell'emergenza epidemiologica. I trattamenti possono riguardare anche le particolari categorie di dati cui appartengono quelli relativi alla salute nonché quelli relativi alle condanne penali e ai reati (artt. 9 e 10 del Regolamento 2016/678 UE). Al termine dello stato di emergenza gli stessi soggetti adotteranno misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell'emergenza, all'ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

31 dicembre 2022[1]

D.L. n. 28 del 2020

6[2]

E' istituita presso il Ministero della salute una piattaforma per il tracciamento dei contatti tra le persone che installino, su base volontaria, un'apposita applicazione per dispositivi di telefonia mobile complementare (app Immuni); la piattaforma è intesa a consentire la gestione di un sistema di allerta, in relazione alle persone che siano entrate in contatto stretto con soggetti risultati positivi al virus SARS-CoV-2, nonché l'adozione delle misure di sanità pubblica e di cura (inerenti in particolare alle persone interessate dai contatti stretti in esame). Compete allo stesso Ministero della salute, sentito il Garante Privacy, l'adozione delle misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato ai rischi per i diritti e le libertà degli interessati. La disposizione chiarisce che i dati raccolti non possono essere trattati per finalità diverse da quelle specificate, salva la possibilità di utilizzo in forma aggregata o comunque anonima, per soli fini di sanità pubblica, profilassi, finalità statistiche o di ricerca scientifica, e il mancato utilizzo dell'applicazione non comporterà alcuna conseguenza in ordine all'esercizio dei diritti fondamentali dei soggetti interessati. Si prevede infine che la piattaforma venga realizzata esclusivamente con infrastrutture localizzate sul territorio nazionale e gestite dalla Sogei (società a totale partecipazione pubblica) e tramite programmi informatici di titolarità pubblica. La piattaforma Immuni può scambiare dati con le piattaforme che svolgano le medesime finalità nel territorio dell'Unione europea. L'applicazione dell'interoperabilità al sistema di allerta italiano deve essere preceduta da una valutazione d'impatto relativa alla protezione dei dati personali.

Per consentire la fruizione dell'APP, è consentito l'utilizzo dei dispositivi telematici e telefonici anche durante l'orario di lavoro.

L'APP potrà essere utilizzata e i relativi dati potranno essere trattati in attesa della cancellazione o della conversione in forma definitivamente anonima, fino alla cessazione delle esigenze di protezione e prevenzione sanitaria, legate alla diffusione (anche a carattere transfrontaliero) del virus SARS-CoV-2. Tale momento, originariamente individuato nel 31 dicembre 2020, sarà individuato da un decreto del Presidente del Consiglio dei Ministri, da emanarsi su proposta del Ministro della salute; in ogni caso, il termine non può oltrepassare il 31 dicembre 2022.

Fino alla cessazione dell'emergenza (e comunque entro il 31 dicembre 2022)[3]

D.L. n. 34 del 2020

13

L'ISTAT può effettuare rilevazioni, elaborazioni e analisi statistiche sul sistema economico e produttivo nazionale e sui fenomeni sociali, epidemiologici e ambientali, anche a supporto degli interventi di contrasto all'emergenza sanitaria e di quelli finalizzati alla gestione della fase di ripresa. Nell'ambito delle indagini statistiche, l'ISTAT è autorizzata al trattamento dei dati personali anche inerenti a particolari categorie di dati (tra i quali quelli genetici e relativi alla salute), nonché dei dati relativi a condanne penali o reati, nel rispetto delle disposizioni europee ed interne relative ai presupposti in presenza dei quali tali categorie di dati possono essere legittimamente trattati. L'individuazione dei trattamenti è demandata a una o più specifiche direttive del presidente dell'ISTAT, adottate previo parere del Garante per la protezione dei dati personali.

Fino a 12 mesi dopo la cessazione dello stato di emergenza

[1] Il termine è prorogato al 31 dicembre 2022 dall'art. 10 e dall'allegato A n. 3 al decreto-legge n. 24 del 2022. In precedenza il termine era stato fissato al 31 marzo 2022 dall'art. 16 e dall'Allegato A n. 3 del decreto-legge n. 221 del 2021 e, ancor prima, il termine era stato prorogato fino al 31 dicembre 2021 dall'art. 6 e dall'allegato A, n. 1, del decreto-legge n. 105 del 2021. Il termine era stato fissato al 31 luglio 2021 dall'art. 11 e dall'Allegato del decreto-legge n. 52 del 2021. In precedenza il termine era stato posto al 30 aprile 2021 dall'art. 19 e dall'Allegato n. 1 del decreto-legge n. 183 del 2020 e, ancora prima, al 31 dicembre 2020 dall'art. 1, co. 3, lett. b) – allegato n. 12 del decreto-legge n. 125 del 2020. Analoga disposizione è stata in vigore fino al 15 ottobre 2020 per effetto del decreto-legge n. 83 del 2020 che, a sua volta, prorogava i termini previsti dall'art. 17-bis, commi 1 e 6, del decreto-legge n. 18 del 2020.
[2] L'art. 2 del decreto-legge n. 125 del 2020 modifica l'art. 6 del decreto-legge n. 28 del 2020. Si dà conto del testo coordinato.
[3] Il termine è stato prorogato da ultimo al 31 dicembre 2022 dall'art. 15 del D.L. n. 221 del 2021.

Per la disamina dei provvedimenti adottati adottati dal Garante nazionale, dal Comitato europeo per la protezione dei dati - EDPB e da altre istituzioni europee in materia di Covid-19 e protezione dei dati personali si rimanda all'apposita sezione del sito del Garante Privacy

ultimo aggiornamento: 30 settembre 2022
 
dossier