RIPAM 3997

Privacy

D.Lgs. 196/2003

Codice Privacy

Protezione dati personali, adeguamento al GDPR, trattamento dati nella PA

In vigore dal 1 gennaio 2004 10 articoli chiave

Sintesi per il Concorso

Rapporto D.Lgs. 196/2003 e GDPR

  • Il Codice Privacy non e abrogato: è stato adeguato dal D.Lgs. 101/2018
  • Integra il GDPR per le specificità nazionali (PA, dati giudiziari, Garante, sanzioni penali)
  • In caso di contrasto: prevale il GDPR

Punti chiave per la PA

  • Art. 2-ter: Base giuridica PA = interesse pubblico o pubblici poteri + norma
  • Art. 2-sexies: Dati particolari PA = norma + rilevante interesse pubblico
  • Garante: 4 membri, 7 anni, non rinnovabile, ispezioni con GdF
  • Sanzioni: Fino a 20 mln/4% (GDPR) + reato 1-6 anni (penale)

Articoli Chiave - Approfondimenti

Art. 1

Diritto alla protezione dei dati

Chiunque ha diritto alla protezione dei dati personali che lo riguardano

Principio fondamentale

Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

Rapporto con il GDPR

  • Il D.Lgs. 196/2003 (Codice Privacy) è stato profondamente modificato dal D.Lgs. 101/2018 per adeguarlo al GDPR
  • Non è stato abrogato: integra il GDPR per le parti in cui il Regolamento rinvia alla legislazione nazionale
  • Il GDPR prevale in caso di contrasto (principio di prevalenza del diritto UE)
Domande frequenti nei Quiz
  • Il Codice Privacy non è stato abrogato dal GDPR ma adeguato dal D.Lgs. 101/2018
  • Il rapporto: GDPR = disciplina generale, D.Lgs. 196/2003 = integrazioni nazionali
  • In caso di contrasto prevale il GDPR
Da Ricordare
  • Non abrogato: adeguato dal D.Lgs. 101/2018
  • Integra il GDPR (non lo sostituisce)
  • GDPR prevale in caso di contrasto
Art. 2-ter

Base giuridica trattamento PA

PA: trattamento per compito di interesse pubblico o esercizio pubblici poteri

Quando la PA può trattare dati

La base giuridica per il trattamento di dati personali da parte della PA e:

  • L'esecuzione di un compito di interesse pubblico
  • L'esercizio di pubblici poteri

Il trattamento è consentito se previsto da una norma di legge o di regolamento, nei casi previsti dalla legge.

Comunicazione tra PA

  • La comunicazione di dati fra PA è ammessa se prevista da norma di legge o regolamento
  • In mancanza di norma, la comunicazione è ammessa se necessaria per lo svolgimento di funzioni istituzionali (previa comunicazione al Garante)
Domande frequenti nei Quiz
  • Base giuridica PA: compito di interesse pubblico o esercizio pubblici poteri
  • Serve una norma di legge o regolamento come base
  • Comunicazione tra PA: se prevista da norma, oppure per funzioni istituzionali (previa comunicazione Garante)
Da Ricordare
  • PA: interesse pubblico o pubblici poteri
  • Serve norma di legge o regolamento
  • Comunicazione tra PA: norma o funzioni istituzionali
Art. 2-sexies

Dati particolari - PA

Trattamento categorie particolari di dati da parte della PA, rilevante interesse pubblico

Categorie particolari di dati (ex dati sensibili)

Il trattamento dei dati di cui all'art. 9 GDPR (salute, origine razziale, opinioni politiche, religione, dati genetici/biometrici, vita sessuale) da parte della PA è consentito se:

  • Previsto da norma di legge o regolamento
  • Il trattamento è necessario per motivi di rilevante interesse pubblico

Ambiti di rilevante interesse pubblico

  • Rapporti di lavoro nella PA
  • Istruzione e formazione
  • Assistenza e previdenza sociale
  • Sanità pubblica
  • Ricerca scientifica e statistica
Domande frequenti nei Quiz
  • Dati particolari nella PA: serve norma + rilevante interesse pubblico
  • Art. 2-sexies elenca gli ambiti di rilevante interesse pubblico
  • Dati particolari = ex dati sensibili (GDPR art. 9)
Da Ricordare
  • Dati particolari (art. 9 GDPR) nella PA: norma + rilevante interesse pubblico
  • Es.: lavoro PA, istruzione, sanità, previdenza
Art. 2-octies

Dati giudiziari

Trattamento dati relativi a condanne penali e reati

Dati relativi a condanne penali

Il trattamento dei dati di cui all'art. 10 GDPR (condanne penali, reati, misure di sicurezza) è consentito:

  • Se autorizzato da norma di legge o regolamento
  • Con garanzie appropriate per i diritti e le libertà degli interessati

Ambiti tipici

  • Concorsi pubblici: Verifica requisiti di ammissione (assenza condanne)
  • Rapporto di lavoro PA: Verifica incompatibilita e decadenze
  • Contratti pubblici: Verifica requisiti morali operatori economici
Domande frequenti nei Quiz
  • Art. 2-octies: dati giudiziari = condanne, reati, misure di sicurezza (art. 10 GDPR)
  • Serve norma di legge o regolamento + garanzie appropriate
  • Uso tipico PA: concorsi (verifica condanne), appalti (requisiti morali)
Da Ricordare
  • Dati giudiziari: art. 10 GDPR
  • Serve norma + garanzie appropriate
  • PA: concorsi, lavoro, appalti
Art. 2-quaterdecies

Soggetti designati al trattamento

Designazione di persone fisiche autorizzate al trattamento sotto autorità del titolare

I soggetti designati

Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito della propria organizzazione, che specifici compiti siano attribuiti a persone fisiche espressamente designate.

Caratteristiche

  • Operano sotto l'autorità del titolare o del responsabile
  • La designazione deve essere documentata
  • Corrispondono agli "autorizzati al trattamento" del GDPR (art. 29 + art. 32, par. 4)
  • Nella PA: tipicamente i dipendenti che trattano dati nell'esercizio delle funzioni
Domande frequenti nei Quiz
  • Art. 2-quaterdecies: soggetti designati = persone fisiche autorizzate al trattamento
  • Corrispondono agli autorizzati (incaricati) del vecchio Codice Privacy
  • La designazione deve essere documentata
Da Ricordare
  • Persone fisiche designate dal titolare/responsabile
  • = Autorizzati al trattamento (art. 29 GDPR)
  • Designazione documentata
Art. 132

Conservazione dati di traffico

Dati telefonico/telematico: conservazione 24 mesi (telefonico), 12 mesi (telematico)

Termini di conservazione

  • Dati di traffico telefonico: Conservati per 24 mesi dalla data della comunicazione
  • Dati di traffico telematico: Conservati per 12 mesi dalla data della comunicazione

Finalità

La conservazione e finalizzata all'accertamento e repressione dei reati. I dati possono essere acquisiti solo su ordine dell'autorità giudiziaria (decreto motivato del giudice).

Domande frequenti nei Quiz
  • Dati traffico telefonico: 24 mesi; telematico: 12 mesi
  • Finalità: accertamento e repressione reati
  • Accesso solo su ordine dell'autorità giudiziaria
Da Ricordare
  • Telefonico: 24 mesi
  • Telematico: 12 mesi
  • Solo su ordine autorità giudiziaria
Art. 144

Segnalazioni al Garante

Chiunque può rivolgere segnalazione al Garante per violazione normativa privacy

Diritto di segnalazione

Chiunque può rivolgere una segnalazione al Garante per la protezione dei dati personali, se ritiene che vi sia una violazione della normativa.

Procedura

  • La segnalazione non richiede forme particolari
  • Il Garante valuta la segnalazione e decide se avviare un'istruttoria
  • Diversa dal reclamo (art. 77 GDPR): il reclamo e più formale e attiva un procedimento
Domande frequenti nei Quiz
  • La segnalazione può essere fatta da chiunque, non solo dall'interessato
  • Differenza: segnalazione (informale, valutata dal Garante) vs reclamo (formale, avvia procedimento)
  • Il Garante può anche agire d'ufficio (art. 58 GDPR)
Da Ricordare
  • Segnalazione: chiunque, informale
  • Reclamo: interessato, formale, avvia procedimento
  • Garante può agire d'ufficio
Art. 154-bis

Garante: compiti e poteri

Compiti del Garante, codici di condotta, pareri, ispezioni

Compiti principali del Garante

  • Controllare la conformità dei trattamenti alla normativa
  • Promuovere codici di condotta
  • Esprimere pareri su proposte legislative e regolamentari
  • Effettuare ispezioni (anche avvalendosi della Guardia di Finanza)
  • Adottare provvedimenti (autorizzazioni, prescrizioni, divieti)
  • Irrogare sanzioni amministrative
  • Cooperare con le altre autorità di controllo europee (EDPB)

Composizione

Il Garante è un organo collegiale composto da 4 membri (2 eletti dalla Camera, 2 dal Senato), con mandato di 7 anni non rinnovabile.

Domande frequenti nei Quiz
  • Il Garante: 4 membri, mandato 7 anni non rinnovabile
  • Può avvalersi della Guardia di Finanza per le ispezioni
  • Coopera con le autorità europee tramite l'EDPB
Da Ricordare
  • 4 membri (2 Camera + 2 Senato)
  • Mandato 7 anni non rinnovabile
  • Ispezioni con Guardia di Finanza
Art. 166

Sanzioni amministrative

Criteri e procedimento per irrogazione sanzioni pecuniarie

Sistema sanzionatorio

Il Garante applica le sanzioni amministrative pecuniarie previste dall'art. 83 GDPR:

  • Fascia inferiore: Fino a 10 milioni di euro o 2% del fatturato mondiale annuo
  • Fascia superiore: Fino a 20 milioni di euro o 4% del fatturato mondiale annuo

Criteri di quantificazione

  • Natura, gravità e durata della violazione
  • Carattere doloso o colposo
  • Misure adottate per attenuare il danno
  • Grado di cooperazione con l'autorità
  • Eventuali precedenti violazioni
Domande frequenti nei Quiz
  • Sanzioni: fino a 10 mln/2% (fascia bassa) o 20 mln/4% (fascia alta)
  • Criteri: gravità, dolo/colpa, misure attenuazione, cooperazione, precedenti
  • Le sanzioni GDPR si applicano tramite il Garante nazionale
Da Ricordare
  • Fascia bassa: 10 mln / 2%
  • Fascia alta: 20 mln / 4%
  • Garante irroga le sanzioni GDPR in Italia
Art. 167

Sanzioni penali - Trattamento illecito

Trattamento illecito di dati: reclusione da 1 a 3 anni (da 3 a 6 se con nocumento)

Reato di trattamento illecito

Chiunque, al fine di trarre per se o per altri profitto ovvero di arrecare danno all'interessato, procede al trattamento in violazione della normativa è punito con la reclusione:

  • Da 1 a 3 anni: Se dal fatto deriva un nocumento
  • Da 3 a 6 anni: Se il fatto e commesso attraverso comunicazione o diffusione dei dati (art. 167, comma 2)

Altri reati privacy

  • Art. 167-bis: Comunicazione e diffusione illecita di dati su larga scala
  • Art. 167-ter: Acquisizione fraudolenta di dati
  • Art. 168: Falsita nelle dichiarazioni al Garante
  • Art. 170: Inosservanza provvedimenti del Garante
Domande frequenti nei Quiz
  • Art. 167: trattamento illecito con dolo specifico (profitto o danno) + nocumento
  • Pena base: 1-3 anni; se con comunicazione/diffusione: 3-6 anni
  • Art. 170: inosservanza provvedimenti Garante = reato autonomo
Da Ricordare
  • Trattamento illecito: 1-3 anni (con nocumento)
  • Con diffusione: 3-6 anni
  • Art. 170: inosservanza Garante = reato

RIPAM Studio - Preparazione Concorsi Pubblici

Telegram RIPAM: t.me/ripam3997studio | Telegram MIC: t.me/mic1800studio

Facebook: facebook.com/share/1DVTAWWmRg