D.Lgs. 196/2003
Codice Privacy
Protezione dati personali, adeguamento al GDPR, trattamento dati nella PA
Sintesi per il Concorso
Rapporto D.Lgs. 196/2003 e GDPR
- Il Codice Privacy non e abrogato: è stato adeguato dal D.Lgs. 101/2018
- Integra il GDPR per le specificità nazionali (PA, dati giudiziari, Garante, sanzioni penali)
- In caso di contrasto: prevale il GDPR
Punti chiave per la PA
- Art. 2-ter: Base giuridica PA = interesse pubblico o pubblici poteri + norma
- Art. 2-sexies: Dati particolari PA = norma + rilevante interesse pubblico
- Garante: 4 membri, 7 anni, non rinnovabile, ispezioni con GdF
- Sanzioni: Fino a 20 mln/4% (GDPR) + reato 1-6 anni (penale)
Articoli Chiave - Approfondimenti
Diritto alla protezione dei dati
Chiunque ha diritto alla protezione dei dati personali che lo riguardano
Principio fondamentale
Chiunque ha diritto alla protezione dei dati personali che lo riguardano.
Rapporto con il GDPR
- Il D.Lgs. 196/2003 (Codice Privacy) è stato profondamente modificato dal D.Lgs. 101/2018 per adeguarlo al GDPR
- Non è stato abrogato: integra il GDPR per le parti in cui il Regolamento rinvia alla legislazione nazionale
- Il GDPR prevale in caso di contrasto (principio di prevalenza del diritto UE)
Domande frequenti nei Quiz
- Il Codice Privacy non è stato abrogato dal GDPR ma adeguato dal D.Lgs. 101/2018
- Il rapporto: GDPR = disciplina generale, D.Lgs. 196/2003 = integrazioni nazionali
- In caso di contrasto prevale il GDPR
Da Ricordare
- Non abrogato: adeguato dal D.Lgs. 101/2018
- Integra il GDPR (non lo sostituisce)
- GDPR prevale in caso di contrasto
Base giuridica trattamento PA
PA: trattamento per compito di interesse pubblico o esercizio pubblici poteri
Quando la PA può trattare dati
La base giuridica per il trattamento di dati personali da parte della PA e:
- L'esecuzione di un compito di interesse pubblico
- L'esercizio di pubblici poteri
Il trattamento è consentito se previsto da una norma di legge o di regolamento, nei casi previsti dalla legge.
Comunicazione tra PA
- La comunicazione di dati fra PA è ammessa se prevista da norma di legge o regolamento
- In mancanza di norma, la comunicazione è ammessa se necessaria per lo svolgimento di funzioni istituzionali (previa comunicazione al Garante)
Domande frequenti nei Quiz
- Base giuridica PA: compito di interesse pubblico o esercizio pubblici poteri
- Serve una norma di legge o regolamento come base
- Comunicazione tra PA: se prevista da norma, oppure per funzioni istituzionali (previa comunicazione Garante)
Da Ricordare
- PA: interesse pubblico o pubblici poteri
- Serve norma di legge o regolamento
- Comunicazione tra PA: norma o funzioni istituzionali
Dati particolari - PA
Trattamento categorie particolari di dati da parte della PA, rilevante interesse pubblico
Categorie particolari di dati (ex dati sensibili)
Il trattamento dei dati di cui all'art. 9 GDPR (salute, origine razziale, opinioni politiche, religione, dati genetici/biometrici, vita sessuale) da parte della PA è consentito se:
- Previsto da norma di legge o regolamento
- Il trattamento è necessario per motivi di rilevante interesse pubblico
Ambiti di rilevante interesse pubblico
- Rapporti di lavoro nella PA
- Istruzione e formazione
- Assistenza e previdenza sociale
- Sanità pubblica
- Ricerca scientifica e statistica
Domande frequenti nei Quiz
- Dati particolari nella PA: serve norma + rilevante interesse pubblico
- Art. 2-sexies elenca gli ambiti di rilevante interesse pubblico
- Dati particolari = ex dati sensibili (GDPR art. 9)
Da Ricordare
- Dati particolari (art. 9 GDPR) nella PA: norma + rilevante interesse pubblico
- Es.: lavoro PA, istruzione, sanità, previdenza
Dati giudiziari
Trattamento dati relativi a condanne penali e reati
Dati relativi a condanne penali
Il trattamento dei dati di cui all'art. 10 GDPR (condanne penali, reati, misure di sicurezza) è consentito:
- Se autorizzato da norma di legge o regolamento
- Con garanzie appropriate per i diritti e le libertà degli interessati
Ambiti tipici
- Concorsi pubblici: Verifica requisiti di ammissione (assenza condanne)
- Rapporto di lavoro PA: Verifica incompatibilita e decadenze
- Contratti pubblici: Verifica requisiti morali operatori economici
Domande frequenti nei Quiz
- Art. 2-octies: dati giudiziari = condanne, reati, misure di sicurezza (art. 10 GDPR)
- Serve norma di legge o regolamento + garanzie appropriate
- Uso tipico PA: concorsi (verifica condanne), appalti (requisiti morali)
Da Ricordare
- Dati giudiziari: art. 10 GDPR
- Serve norma + garanzie appropriate
- PA: concorsi, lavoro, appalti
Soggetti designati al trattamento
Designazione di persone fisiche autorizzate al trattamento sotto autorità del titolare
I soggetti designati
Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito della propria organizzazione, che specifici compiti siano attribuiti a persone fisiche espressamente designate.
Caratteristiche
- Operano sotto l'autorità del titolare o del responsabile
- La designazione deve essere documentata
- Corrispondono agli "autorizzati al trattamento" del GDPR (art. 29 + art. 32, par. 4)
- Nella PA: tipicamente i dipendenti che trattano dati nell'esercizio delle funzioni
Domande frequenti nei Quiz
- Art. 2-quaterdecies: soggetti designati = persone fisiche autorizzate al trattamento
- Corrispondono agli autorizzati (incaricati) del vecchio Codice Privacy
- La designazione deve essere documentata
Da Ricordare
- Persone fisiche designate dal titolare/responsabile
- = Autorizzati al trattamento (art. 29 GDPR)
- Designazione documentata
Conservazione dati di traffico
Dati telefonico/telematico: conservazione 24 mesi (telefonico), 12 mesi (telematico)
Termini di conservazione
- Dati di traffico telefonico: Conservati per 24 mesi dalla data della comunicazione
- Dati di traffico telematico: Conservati per 12 mesi dalla data della comunicazione
Finalità
La conservazione e finalizzata all'accertamento e repressione dei reati. I dati possono essere acquisiti solo su ordine dell'autorità giudiziaria (decreto motivato del giudice).
Domande frequenti nei Quiz
- Dati traffico telefonico: 24 mesi; telematico: 12 mesi
- Finalità: accertamento e repressione reati
- Accesso solo su ordine dell'autorità giudiziaria
Da Ricordare
- Telefonico: 24 mesi
- Telematico: 12 mesi
- Solo su ordine autorità giudiziaria
Segnalazioni al Garante
Chiunque può rivolgere segnalazione al Garante per violazione normativa privacy
Diritto di segnalazione
Chiunque può rivolgere una segnalazione al Garante per la protezione dei dati personali, se ritiene che vi sia una violazione della normativa.
Procedura
- La segnalazione non richiede forme particolari
- Il Garante valuta la segnalazione e decide se avviare un'istruttoria
- Diversa dal reclamo (art. 77 GDPR): il reclamo e più formale e attiva un procedimento
Domande frequenti nei Quiz
- La segnalazione può essere fatta da chiunque, non solo dall'interessato
- Differenza: segnalazione (informale, valutata dal Garante) vs reclamo (formale, avvia procedimento)
- Il Garante può anche agire d'ufficio (art. 58 GDPR)
Da Ricordare
- Segnalazione: chiunque, informale
- Reclamo: interessato, formale, avvia procedimento
- Garante può agire d'ufficio
Garante: compiti e poteri
Compiti del Garante, codici di condotta, pareri, ispezioni
Compiti principali del Garante
- Controllare la conformità dei trattamenti alla normativa
- Promuovere codici di condotta
- Esprimere pareri su proposte legislative e regolamentari
- Effettuare ispezioni (anche avvalendosi della Guardia di Finanza)
- Adottare provvedimenti (autorizzazioni, prescrizioni, divieti)
- Irrogare sanzioni amministrative
- Cooperare con le altre autorità di controllo europee (EDPB)
Composizione
Il Garante è un organo collegiale composto da 4 membri (2 eletti dalla Camera, 2 dal Senato), con mandato di 7 anni non rinnovabile.
Domande frequenti nei Quiz
- Il Garante: 4 membri, mandato 7 anni non rinnovabile
- Può avvalersi della Guardia di Finanza per le ispezioni
- Coopera con le autorità europee tramite l'EDPB
Da Ricordare
- 4 membri (2 Camera + 2 Senato)
- Mandato 7 anni non rinnovabile
- Ispezioni con Guardia di Finanza
Sanzioni amministrative
Criteri e procedimento per irrogazione sanzioni pecuniarie
Sistema sanzionatorio
Il Garante applica le sanzioni amministrative pecuniarie previste dall'art. 83 GDPR:
- Fascia inferiore: Fino a 10 milioni di euro o 2% del fatturato mondiale annuo
- Fascia superiore: Fino a 20 milioni di euro o 4% del fatturato mondiale annuo
Criteri di quantificazione
- Natura, gravità e durata della violazione
- Carattere doloso o colposo
- Misure adottate per attenuare il danno
- Grado di cooperazione con l'autorità
- Eventuali precedenti violazioni
Domande frequenti nei Quiz
- Sanzioni: fino a 10 mln/2% (fascia bassa) o 20 mln/4% (fascia alta)
- Criteri: gravità, dolo/colpa, misure attenuazione, cooperazione, precedenti
- Le sanzioni GDPR si applicano tramite il Garante nazionale
Da Ricordare
- Fascia bassa: 10 mln / 2%
- Fascia alta: 20 mln / 4%
- Garante irroga le sanzioni GDPR in Italia
Sanzioni penali - Trattamento illecito
Trattamento illecito di dati: reclusione da 1 a 3 anni (da 3 a 6 se con nocumento)
Reato di trattamento illecito
Chiunque, al fine di trarre per se o per altri profitto ovvero di arrecare danno all'interessato, procede al trattamento in violazione della normativa è punito con la reclusione:
- Da 1 a 3 anni: Se dal fatto deriva un nocumento
- Da 3 a 6 anni: Se il fatto e commesso attraverso comunicazione o diffusione dei dati (art. 167, comma 2)
Altri reati privacy
- Art. 167-bis: Comunicazione e diffusione illecita di dati su larga scala
- Art. 167-ter: Acquisizione fraudolenta di dati
- Art. 168: Falsita nelle dichiarazioni al Garante
- Art. 170: Inosservanza provvedimenti del Garante
Domande frequenti nei Quiz
- Art. 167: trattamento illecito con dolo specifico (profitto o danno) + nocumento
- Pena base: 1-3 anni; se con comunicazione/diffusione: 3-6 anni
- Art. 170: inosservanza provvedimenti Garante = reato autonomo
Da Ricordare
- Trattamento illecito: 1-3 anni (con nocumento)
- Con diffusione: 3-6 anni
- Art. 170: inosservanza Garante = reato