GDPR — Trattamento Dati
Report completo su principi, basi giuridiche, diritti, DPO, data breach, sanzioni e trabocchetti.
1 Panoramica del GDPR
Il Regolamento UE 2016/679 (General Data Protection Regulation) rappresenta la rivoluzione copernicana del diritto europeo in materia di protezione dei dati personali. Approvato il 27 aprile 2016 ed entrato in applicazione il 25 maggio 2018, ha sostituito la Direttiva 95/46/CE, ponendo fine alla frammentazione normativa tra gli Stati membri. A differenza di una direttiva, il Regolamento è direttamente applicabile in tutti gli ordinamenti dell'Unione senza necessità di atti di recepimento, sebbene l'Italia abbia adottato il D.Lgs. 101/2018 per armonizzare il previgente Codice Privacy (D.Lgs. 196/2003).
Il fondamento giuridico primario risiede nell'Art. 16 TFUE e nell'Art. 8 della Carta dei diritti fondamentali dell'UE, che eleva la protezione dei dati personali a diritto fondamentale dell'individuo. Il Considerando 4 precisa tuttavia che tale diritto non è assoluto, ma va contemperato con il principio di proporzionalità e con altri diritti fondamentali.
Struttura del Regolamento
Il GDPR si compone di 99 articoli organizzati in 11 capi e corredati da 173 Considerando. Questi ultimi, pur non avendo forza di legge diretta, sono indispensabili per l'interpretazione teleologica delle norme e costituiscono frequente oggetto di domande d'esame.
| Capo | Articoli | Contenuto |
|---|---|---|
| I | 1-4 | Disposizioni generali, definizioni |
| II | 5-11 | Principi, basi giuridiche, consenso |
| III | 12-23 | Diritti dell'interessato |
| IV | 24-43 | Titolare, responsabile, DPO, sicurezza |
| V | 44-49 | Trasferimenti internazionali |
| VI | 51-59 | Autorità di controllo indipendenti |
| VII | 60-76 | Cooperazione e coerenza |
| VIII | 77-84 | Mezzi di ricorso e sanzioni |
| IX | 85-91 | Disposizioni specifiche (giornalismo, lavoro) |
| X | 92-93 | Atti delegati e di esecuzione |
| XI | 94-99 | Disposizioni finali |
Ambito materiale (Art. 2)
Il GDPR si applica al trattamento interamente o parzialmente automatizzato di dati personali, nonchè al trattamento non automatizzato di dati contenuti o destinati a essere contenuti in un archivio (Art. 4.6). Il principio di neutralità tecnologica (Considerando 15) assicura che la protezione non dipenda dalle tecniche impiegate: il Regolamento si applica sia ai database tradizionali che alla blockchain, al cloud computing e ai sistemi di intelligenza artificiale.
- Esclusioni dall'ambito di applicazione:
- Attività fuori dall'ambito del diritto UE (sicurezza nazionale)
- Politica estera e sicurezza comune (PESC)
- Attività di prevenzione/perseguimento reati (disciplinate dalla Direttiva UE 2016/680)
- Attività esclusivamente personali o domestiche (Art. 2.2.c)
Ambito territoriale (Art. 3)
Il GDPR supera i confini fisici dell'Unione attraverso due criteri:
- Criterio dello stabilimento (Art. 3.1): si applica se il titolare ha una sede nell'UE, anche se il trattamento avviene altrove. Non rileva dove siano fisicamente conservati i dati: una società con sede a Milano che utilizza server in Canada resta pienamente soggetta al Regolamento.
- Criterio dell'offerta/monitoraggio (Art. 3.2): si applica a soggetti non stabiliti nell'UE che offrono beni/servizi a interessati nell'Unione o ne monitorano il comportamento (es. tracciamento tramite cookie per profilazione, Considerando 24). Indicatori dell'offerta: uso della lingua o della valuta di uno Stato membro, possibilità di ordinare beni con consegna nell'UE.
L'effetto extraterritoriale del GDPR è una delle innovazioni più significative: un'azienda cinese o americana che profila utenti europei deve rispettare il Regolamento e, ai sensi dell'Art. 27, designare un rappresentante nell'Unione se non ha uno stabilimento.
2 Definizioni chiave (Art. 4)
L'Art. 4 del GDPR contiene 26 definizioni che costituiscono il vocabolario tecnico della materia. La padronanza di queste definizioni è imprescindibile per rispondere correttamente ai quiz.
| N. | Termine | Definizione | Focus concorso |
|---|---|---|---|
| 1 | Dato personale | Qualsiasi informazione su una persona fisica identificata o identificabile | Include IP, cookie, dati pseudonimizzati. NON include dati anonimi |
| 2 | Trattamento | Qualsiasi operazione su dati personali (raccolta, registrazione, conservazione, consultazione, distruzione) | Definizione amplissima: anche la semplice consultazione è trattamento |
| 5 | Pseudonimizzazione | Trattamento che impedisce l'attribuzione senza informazioni aggiuntive separate | I dati pseudonimizzati SONO ancora dati personali |
| 7 | Titolare (Controller) | Soggetto che determina finalità e mezzi del trattamento | È il decisore ultimo e responsabile principale |
| 8 | Responsabile (Processor) | Soggetto che tratta dati per conto del titolare | Se decide autonomamente le finalità, diventa titolare |
| 11 | Consenso | Manifestazione di volontà libera, specifica, informata e inequivocabile | Silenzio e caselle pre-spuntate NON sono mai consenso |
| 12 | Data Breach | Violazione di sicurezza con perdita, modifica o accesso non autorizzato | Include la distruzione accidentale, non solo gli attacchi hacker |
| 4 | Profilazione | Trattamento automatizzato per valutare aspetti personali | Legata alle decisioni automatizzate (Art. 22) |
Pseudonimizzazione vs Anonimizzazione
Questa distinzione è tra i trabocchetti più frequenti nei concorsi RIPAM:
- Pseudonimizzazione (Art. 4.5): i dati possono essere ancora attribuiti a una persona tramite informazioni aggiuntive conservate separatamente. Restano dati personali e sono pienamente soggetti al GDPR. È una misura di sicurezza raccomandata dall'Art. 32.
- Anonimizzazione (Considerando 26): il processo è irreversibile. I dati anonimi sono fuori dall'ambito di applicazione del GDPR.
> GUARDRAIL: "I dati pseudonimizzati non sono dati personali" è FALSO. Trattarli come anonimi espone la PA a sanzioni del 4% del fatturato e a responsabilità penali.
3 I 7 Principi fondamentali (Art. 5)
L'Art. 5 costituisce la "Costituzione" della privacy. La violazione dei principi comporta le sanzioni massime (fino a 20 milioni di euro o 4% del fatturato). Un errore concorsuale frequente è elencare solo 6 principi, dimenticando l'accountability.
| N. | Principio | Art. | Definizione operativa | Violazione tipica |
|---|---|---|---|---|
| 1 | Liceità, correttezza e trasparenza | 5(1)(a) | Base giuridica valida, informativa chiara | Cookie di profilazione senza consenso |
| 2 | Limitazione della finalità | 5(1)(b) | Dati raccolti per scopi determinati, espliciti e legittimi | Usare dati fiscali per marketing |
| 3 | Minimizzazione dei dati | 5(1)(c) | Dati adeguati, pertinenti e limitati al necessario | App torcia che chiede accesso ai contatti |
| 4 | Esattezza | 5(1)(d) | Obbligo di aggiornamento e rettifica tempestiva | Segnalazione erronea come cattivo pagatore |
| 5 | Limitazione della conservazione | 5(1)(e) | Conservazione per il tempo minimo necessario | Dati di ex clienti conservati sine die |
| 6 | Integrità e riservatezza | 5(1)(f) | Sicurezza tecnica e organizzativa | Password salvate in chiaro |
| 7 | Responsabilizzazione (Accountability) | 5(2) | Il titolare deve comprovare la conformità | Assenza del registro dei trattamenti |
L'Accountability come pilastro per la PA
Il principio di accountability (Art. 5.2) è la vera rivoluzione del GDPR: il titolare non deve solo rispettare le norme, ma deve essere in grado di dimostrare proattivamente tale conformità. L'onere della prova è ribaltato: in caso di ispezione del Garante, è la PA a dover documentare le misure adottate (registro dei trattamenti ex Art. 30, DPIA, nomine DPO).
La sentenza CGUE C-807/21 (Deutsche Wohnen) ha confermato che la responsabilità dell'ente è diretta: una PA può essere sanzionata anche senza individuare la specifica persona fisica colpevole della violazione.
Operativamente, l'accountability si traduce nella Privacy by Design e by Default (Art. 25): ogni nuovo software, procedura o sistema deve integrare la protezione dei dati sin dalla fase di progettazione.
4 Basi giuridiche del trattamento (Art. 6)
Un trattamento senza base giuridica è illecito ab origine. Il GDPR ne prevede sei, ma per la PA la scelta è rigorosamente limitata.
| Base giuridica | Lettera | Definizione | Usata da | Attenzione quiz |
|---|---|---|---|---|
| Consenso | a | Volontà libera, specifica, informata, inequivocabile | PA e privati (con cautela per PA) | Minori Italia: 14 anni, non 16 |
| Esecuzione contratto | b | Necessario per il contratto o misure precontrattuali | PA e privati | Portabilità si applica qui |
| Obbligo legale | c | Imposto da una norma UE o nazionale | PA e privati | Base tipica per la PA |
| Interessi vitali | d | Salvaguardia della vita | PA e privati | Solo se impossibile altra base |
| Interesse pubblico | e | Compiti istituzionali o pubblici poteri | Prevalentemente PA | Semplificato dal D.L. 139/2021 |
| Legittimo interesse | f | Bilanciamento interessi titolare/interessato | Solo privati | VIETATO alla PA per compiti istituzionali |
PA e divieto di interesse legittimo
L'Art. 6(1), ultimo comma, stabilisce esplicitamente che il legittimo interesse NON si applica al trattamento effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti. Le PA devono basarsi esclusivamente su obbligo legale (Art. 6.1.c) o interesse pubblico (Art. 6.1.e). L'Art. 2-ter del Codice Privacy specifica ulteriormente questo principio, come semplificato dal D.L. 139/2021 (Decreto Capienze): le PA possono trattare dati per compiti istituzionali anche senza una norma specifica per ogni singola operazione, purchè nel rispetto dei principi del GDPR.
Consenso (Art. 7) e minori (Art. 8)
Il consenso deve essere un "atto positivo inequivocabile" (Considerando 32). I 4 requisiti di validità sono: (1) libero — non può essere condizionato alla fornitura di un servizio non correlato; (2) specifico — consensi separati per finalità diverse; (3) informato — l'interessato deve conoscere l'identità del titolare e le finalità; (4) revocabile — deve essere possibile revocare con la stessa facilità con cui è stato accordato (Art. 7.3).
Il Considerando 43 mette in guardia: se esiste un evidente squilibrio di potere (come tra PA e cittadino), il consenso potrebbe non essere considerato "libero". Per questo, la PA che chiede il consenso per un servizio rientrante nei compiti istituzionali opera in una zona di rischio legale.
Il provvedimento del Garante dell'11 gennaio 2024 ha ribadito che il "Cookie Wall" — impedire l'accesso a un sito se non si accettano i cookie — non è una modalità valida per ottenere il consenso, poichè nega la libertà di scelta dell'interessato.
Consenso dei minori in Italia: il GDPR fissa a 16 anni l'età per il consenso digitale (servizi della società dell'informazione), ma consente agli Stati di scendere fino a 13 anni. L'Art. 2-quinquies del Codice Privacy ha fissato la soglia italiana a 14 anni. Sotto i 14 anni, il trattamento è lecito solo se il consenso è prestato o autorizzato dai genitori o dall'esercente la responsabilità genitoriale.
> GUARDRAIL: nei quiz RIPAM sul contesto italiano, la risposta corretta è sempre 14 anni, mai 16.
5 Diritti dell'interessato (Artt. 12-22)
L'Art. 12 è la norma procedurale che disciplina le modalità di esercizio di tutti i diritti. Il titolare deve rispondere entro 1 mese, prorogabile di 2 mesi per complessità (totale massimo 3 mesi). L'esercizio è gratuito, salvo richieste manifestamente infondate o eccessive.
| Diritto | Art. | Termine | Condizioni | Eccezioni |
|---|---|---|---|---|
| Informazione (raccolta diretta) | 13 | Al momento della raccolta | Fornitura obbligatoria info su titolare, finalità, base giuridica | Interessato già informato |
| Informazione (raccolta indiretta) | 14 | Entro 1 mese | Deve indicare fonte e categorie dati | Sforzo sproporzionato |
| Accesso | 15 | 1 mese (+2 proroga) | Copia gratuita dei dati | Non deve ledere diritti altrui |
| Rettifica | 16 | Senza ingiustificato ritardo | Dati inesatti o incompleti | -- |
| Cancellazione (Oblio) | 17 | Senza ingiustificato ritardo | Dati non necessari, revoca consenso, trattamento illecito | 5 eccezioni (Art. 17.3) |
| Limitazione | 18 | 1 mese | 4 casi tassativi (contestazione, illiceità, uso giudiziario, opposizione) | Conservazione ammessa |
| Portabilità | 20 | 1 mese | Solo consenso/contratto + trattamento automatizzato | NON si applica a PA per compiti pubblici |
| Opposizione | 21 | Senza ritardo | Marketing diretto (incondizionato) o motivi particolari | Motivi legittimi prevalenti |
| Decisioni automatizzate | 22 | 1 mese | Diritto a non subire decisioni basate unicamente su macchine | Contratto, consenso esplicito, legge |
Categorie particolari di dati (Artt. 9-10)
Il trattamento di dati "sensibili" (origine etnica, opinioni politiche, dati sanitari, biometrici, genetici) è generalmente vietato dall'Art. 9, salvo eccezioni tassative. Per la PA, l'Art. 2-sexies del Codice Privacy elenca 21 aree di "interesse pubblico rilevante" (sanità, istruzione, previdenza, assistenza sociale) dove il trattamento è consentito. I dati giudiziari (Art. 10) sono trattabili solo sotto il controllo dell'autorità pubblica o se autorizzati da legge o provvedimento del Garante (Art. 2-octies). Il trattamento su larga scala di queste categorie impone la DPIA ex Art. 35.
Trabocchetti sui diritti
- Diritto all'oblio NON assoluto: l'Art. 17(3) prevede 5 eccezioni — libertà di espressione, obbligo legale, sanità pubblica, ricerca/archiviazione, difesa in giudizio. Se la legge impone la conservazione, il diritto all'oblio recede.
- Portabilità NON per la PA: si applica solo se la base è consenso o contratto E il trattamento è automatizzato. I dati fiscali, sanitari o anagrafici trattati dalla PA per obbligo legale/interesse pubblico sono esclusi.
- Accesso include destinatari specifici: la sentenza CGUE C-200/23 ha stabilito che l'interessato ha diritto di conoscere i destinatari specifici, non solo le categorie generiche.
6 Titolare, Responsabile, DPO
Titolare vs Responsabile
La distinzione si basa sull'esercizio effettivo del potere decisionale, non sulla designazione formale:
| Caratteristica | Titolare (Controller) Art. 4(7) | Responsabile (Processor) Art. 4(8) |
|---|---|---|
| Chi è | Determina finalità e mezzi | Tratta dati per conto del titolare |
| Potere decisionale | Pieno e autonomo | Vincolato a istruzioni documentate |
| Sub-responsabili | Non applicabile | Solo con autorizzazione (Art. 28.2) |
| Responsabilità | Primaria e diretta | Solo se viola istruzioni o obblighi propri |
| Rapporto | Emana istruzioni documentate | Deve informare se un'istruzione è illecita |
Privacy by Design e by Default (Art. 25)
- By Design: integrare le garanzie nel trattamento sin dalla fase di progettazione
- By Default: trattare solo i dati necessari per la specifica finalità (minimizzazione)
DPO: quando è obbligatorio (Art. 37)
| Tipo organizzazione | DPO obbligatorio? | Motivazione |
|---|---|---|
| PA (ogni autorità/organismo pubblico) | Sempre SI' | Art. 37(1)(a) — indipendentemente dalla dimensione |
| Ospedali e strutture sanitarie | SI' | Trattamento su larga scala di dati sanitari |
| Banche e istituti di credito | SI' | Monitoraggio sistematico su larga scala |
| Scuole e Università | SI' | Organismi pubblici |
| PMI | Facoltativo (salvo eccezioni) | Obbligatorio solo se monitoraggio/dati sensibili su larga scala |
> GUARDRAIL: Il DPO è obbligatorio per TUTTE le PA, incluso un piccolo Comune con 5 dipendenti. La soglia dei 250 dipendenti riguarda il registro dei trattamenti (Art. 30.5), non il DPO.
7 Data Breach e DPIA
Procedura di notifica del Data Breach
| Fase | Chi agisce | Destinatario | Termine | Condizione |
|---|---|---|---|---|
| Segnalazione interna | Responsabile (Processor) | Titolare | Senza ingiustificato ritardo | Sempre (nessun termine di 72h) |
| Notifica al Garante | Titolare | Garante | Entro 72 ore | A meno che sia improbabile un rischio |
| Comunicazione all'interessato | Titolare | Interessato | Senza ingiustificato ritardo | Solo se rischio ELEVATO |
| Registro violazioni | Titolare | Documentazione interna | Permanente | Sempre, per ogni violazione |
| DPIA | Titolare (con DPO) | Documentazione interna | Prima del trattamento | Trattamenti a rischio elevato |
| Consultazione preventiva | Titolare | Garante | Prima del trattamento | Se DPIA indica rischio residuo elevato |
| Parere Garante | Garante | Titolare | 8 settimane (prorogabili di 6) | Su consultazione preventiva |
Eccezioni alla comunicazione all'interessato (Art. 34.3): non è dovuta se (a) i dati erano cifrati e la chiave non è stata compromessa, (b) sono state adottate misure che annullano il rischio, (c) lo sforzo sarebbe sproporzionato (si procede con comunicazione pubblica).
La notifica al Garante deve includere: natura della violazione, categorie e numero di interessati, contatti DPO, probabili conseguenze, misure adottate o proposte.
DPIA — Valutazione d'Impatto (Art. 35)
- La DPIA è obbligatoria in tre casi:
- Profilazione sistematica con effetti giuridici significativi
- Trattamento su larga scala di dati particolari (Art. 9) o giudiziari (Art. 10)
- Sorveglianza sistematica su larga scala di zone pubbliche
L'AI Act (Reg. UE 2024/1689) rafforza l'obbligo: i sistemi AI ad alto rischio nella PA richiedono quasi sempre una DPIA. L'Art. 86 dell'AI Act contiene una clausola di non-deroga: il GDPR si applica integralmente a ogni dato trattato da sistemi AI.
La giurisprudenza CGUE (C-340/21 Natsionalna) ha chiarito che un data breach non implica automaticamente che le misure di sicurezza fossero inadeguate; spetta al titolare provare l'adeguatezza. Tuttavia, il mero timore di un futuro abuso dei dati può costituire danno non patrimoniale risarcibile.
8 Trasferimenti internazionali (Artt. 44-49)
Il Capo V del GDPR disciplina il trasferimento di dati verso paesi terzi secondo il principio di continuità della protezione: il livello di tutela non deve essere compromesso quando i dati lasciano l'UE. L'Art. 44 funge da norma di chiusura, applicandosi anche ai trasferimenti successivi (onward transfers).
Gerarchia degli strumenti
1. Decisione di adeguatezza (Art. 45): la Commissione riconosce che l'ordinamento del paese terzo offre garanzie sostanzialmente equivalenti a quelle dell'Unione. La valutazione non riguarda solo la legge sulla privacy, ma l'intero contesto giuridico: stato di diritto, rispetto dei diritti umani, accesso alla giustizia, esistenza di autorità di controllo indipendenti e adesione a sistemi multilaterali (Considerando 104-105). Riesame obbligatorio almeno ogni 4 anni. Se le condizioni non persistono, la Commissione deve revocare la decisione senza periodo di grazia automatico (Considerando 107).
- 2. Garanzie adeguate (Art. 46-47):
- SCCs (Clausole Contrattuali Tipo): modelli standard approvati dalla Commissione, non modificabili nelle parti essenziali ma integrabili. Massima diffusione per scambi commerciali con terze parti.
- BCRs (Norme Vincolanti d'Impresa, Art. 47): per flussi intra-gruppo di multinazionali, vincolanti per ogni entità del gruppo. Approvazione coordinata dall'Autorità Capofila con parere EDPB.
- Codici di condotta (Art. 40) e certificazioni (Art. 42): strumenti di autoregolamentazione che attestano la conformità.
- Accordi amministrativi per il settore pubblico: garanzie in accordi non vincolanti, con autorizzazione del Garante.
3. Deroghe (Art. 49): extrema ratio, interpretazione restrittiva (Considerando 111), solo per trasferimenti occasionali e non sistematici — consenso esplicito informato sui rischi, necessità contrattuale, interesse pubblico rilevante riconosciuto per legge, difesa in giudizio, interessi vitali, registri pubblici. Per flussi sistematici (es. backup giornaliero su cloud USA), il ricorso all'Art. 49 è illegittimo.
Cronologia EU-USA: da Safe Harbor al DPF
| Data | Evento | Impatto |
|---|---|---|
| 06/10/2015 | Schrems I (C-362/14) | Invalidazione Safe Harbor |
| 12/07/2016 | Privacy Shield | Nuova decisione di adeguatezza USA |
| 16/07/2020 | Schrems II (C-311/18) | Invalidazione Privacy Shield |
| 10/07/2023 | Data Privacy Framework (DPF) | Nuova decisione di adeguatezza USA |
| Ottobre 2024 | Prima revisione annuale | Confermata adeguatezza con riserve su DPRC |
> GUARDRAIL: lo Schrems II ha invalidato il Privacy Shield, NON il concetto di decisione di adeguatezza. Il DPF è valido dal 2023 e i trasferimenti verso aziende USA certificate sono leciti senza ulteriori garanzie.
9 Sanzioni
Il sistema sanzionatorio opera su un doppio binario: amministrativo (livello UE) e penale (livello nazionale italiano).
Sanzioni amministrative (Art. 83)
| Fascia | Importo max | % Fatturato | Violazioni | Esempi |
|---|---|---|---|---|
| Inferiore (Art. 83.4) | 10.000.000 EUR | 2% fatturato mondiale annuo | Obblighi titolare/responsabile (Artt. 8, 11, 25-39, 42-43) | Mancata nomina DPO, omessa DPIA, assenza registro, violazione Privacy by Design |
| Superiore (Art. 83.5) | 20.000.000 EUR | 4% fatturato mondiale annuo | Principi (Art. 5), basi giuridiche (Artt. 6-9), diritti (Artt. 12-22), trasferimenti (Artt. 44-49) | Trattamento senza base giuridica, violazione oblio, trasferimento illecito USA |
| Inosservanza ordini (Art. 83.6) | 20.000.000 EUR | 4% fatturato mondiale annuo | Inosservanza di ordini o limitazioni del Garante | Ignorare un provvedimento di blocco trattamento |
Sanzioni penali italiane (ancora vigenti)
| Fattispecie | Articolo | Reclusione |
|---|---|---|
| Trattamento illecito (per profitto o danno) | Art. 167 | 1-3 anni |
| Comunicazione/diffusione illecita su larga scala | Art. 167-bis | 1-6 anni |
| Acquisizione fraudolenta di dati su larga scala | Art. 167-ter | 1-4 anni |
I criteri di determinazione della sanzione sono 11 (Art. 83.2): (1) natura, gravità e durata della violazione; (2) carattere doloso o colposo; (3) misure per attenuare il danno; (4) grado di responsabilità (misure tecniche e organizzative ex Artt. 25 e 32); (5) precedenti violazioni; (6) grado di cooperazione con il Garante; (7) categorie di dati coinvolte; (8) modo in cui l'autorità ha conosciuto la violazione; (9) rispetto di precedenti provvedimenti; (10) adesione a codici di condotta o certificazioni; (11) eventuali benefici finanziari conseguiti. La sentenza Deutsche Wohnen (C-807/21) ha confermato che la responsabilità amministrativa dell'ente è diretta: non è necessario identificare la persona fisica colpevole.
Responsabilità civile (Art. 82)
L'Art. 82 tutela l'interessato attraverso il risarcimento del danno materiale e immateriale. La CGUE (C-340/21) ha chiarito che il semplice timore di un abuso futuro dei dati può costituire danno non patrimoniale risarcibile. La responsabilità è solidale: se più titolari o responsabili sono coinvolti, l'interessato può chiedere l'intero importo a ciascuno di essi. L'onere della prova è a carico del titolare: l'esonero è possibile solo dimostrando che l'evento dannoso "non gli è in alcun modo imputabile" (Art. 82.3).
10 GDPR vs Codice Privacy: cosa resta italiano
Il D.Lgs. 196/2003 sopravvive laddove il GDPR lascia margini di manovra agli Stati membri. Il D.Lgs. 101/2018 lo ha profondamente armonizzato.
| Materia | Disciplina GDPR | Disciplina D.Lgs. 196/2003 | Differenza chiave |
|---|---|---|---|
| Consenso minori | Età predefinita: 16 anni (Art. 8.1) | Abbassata a 14 anni (Art. 2-quinquies) | Deroga nazionale (limite UE: 13 anni) |
| PA e base giuridica | Interesse pubblico/obbligo legale; divieto legittimo interesse (Art. 6) | Art. 2-ter: base esclusiva obbligo legale o interesse pubblico; semplificazione D.L. 139/2021 | Italia specifica ulteriormente il divieto |
| Sanzioni penali | Solo sanzioni amministrative (Art. 83) | Artt. 167, 167-bis, 167-ter: reclusione 1-6 anni | Coesistenza doppio binario |
| Diritti dei defunti | Esclusi (Considerando 27) | Art. 2-terdecies: eredi possono esercitare i diritti | Aggiunta italiana, assente nel GDPR |
| Dati particolari PA | Art. 9: divieto con eccezioni | Art. 2-sexies: 21 aree di interesse pubblico rilevante | Italia elenca aree specifiche |
| Dati giudiziari | Art. 10: sotto controllo autorità pubblica | Art. 2-octies: solo con legge o provvedimento Garante | Italia specifica condizioni |
| Limiti ai diritti | Previsti per legge (Art. 23) | Art. 2-undecies: sicurezza nazionale, antiriciclaggio, difesa | Italia esplicita i casi |
| Rapporto di lavoro | Art. 88: norme più specifiche ammesse | Metadati email: max 21 giorni (Provv. Garante 2024) | Statuto Lavoratori in combinato disposto |
| Garante | Art. 51: autorità indipendente | Artt. 153 ss.: il Garante è Autorità indipendente | Pieno allineamento |
| Conservazione traffico | Non disciplinata specificamente | Art. 132: 24 mesi telefono, 12 mesi internet, 30 gg chiamate senza risposta | Specificità italiana |
11 Numeri chiave
| Termine / Soglia | Valore | Riferimento |
|---|---|---|
| Struttura GDPR | 99 articoli, 173 Considerando, 11 capi | Reg. UE 2016/679 |
| Notifica breach al Garante | 72 ore | Art. 33(1) GDPR |
| Risposta richieste interessato | 1 mese (prorogabile di 2, totale 3) | Art. 12(3) GDPR |
| Età consenso GDPR (default) | 16 anni | Art. 8(1) GDPR |
| Età consenso Italia | 14 anni | Art. 2-quinquies D.Lgs. 196/2003 |
| Età minima UE | 13 anni | Art. 8(1) GDPR |
| Sanzione inferiore | 10M EUR / 2% | Art. 83(4) GDPR |
| Sanzione superiore | 20M EUR / 4% | Art. 83(5) GDPR |
| Reclusione trattamento illecito | 1-3 anni | Art. 167 D.Lgs. 196/2003 |
| Reclusione comunicazione illecita | 1-6 anni | Art. 167-bis D.Lgs. 196/2003 |
| Reclusione acquisizione fraudolenta | 1-4 anni | Art. 167-ter D.Lgs. 196/2003 |
| Traffico telefonico | 24 mesi | Art. 132 D.Lgs. 196/2003 |
| Traffico telematico | 12 mesi | Art. 132 D.Lgs. 196/2003 |
| Chiamate senza risposta | 30 giorni | Art. 132 D.Lgs. 196/2003 |
| Reati gravi (estensione) | 72 mesi | Art. 132, L. 167/2017 |
| Metadati email lavoro | 21 giorni | Provv. Garante 21/03/2024 |
| Principi Art. 5 | 7 (non 6: includere accountability) | Art. 5 GDPR |
| Basi giuridiche Art. 6 | 6 | Art. 6 GDPR |
| Eccezioni diritto oblio | 5 | Art. 17(3) GDPR |
| Casi DPO obbligatorio | 3 (PA, monitoraggio larga scala, dati sensibili larga scala) | Art. 37(1) GDPR |
| Criteri determinazione sanzione | 11 | Art. 83(2) GDPR |
| Riesame adeguatezza | Ogni 4 anni | Art. 45(3) GDPR |
| Parere Garante su consultazione | 8 settimane (+6 proroga) | Art. 36 GDPR |
| DPF USA adeguatezza | 10 luglio 2023 | C(2023) 4745 |
| Schrems II (invalidazione PS) | 16 luglio 2020 | CGUE C-311/18 |
| AI Act in vigore | 1 agosto 2024 | Reg. UE 2024/1689 |
| AI Act sistemi alto rischio | 2 agosto 2026 | Reg. UE 2024/1689 |
| Registro trattamenti (soglia ordinaria) | 250 dipendenti | Art. 30(5) GDPR |
12 I 20 Trabocchetti GDPR più frequenti nei quiz RIPAM
| N. | Trabocchetto (errore comune) | Risposta sbagliata | Risposta corretta | Art. |
|---|---|---|---|---|
| 1 | Pseudonimizzazione = dati anonimi | I dati pseudonimizzati non sono dati personali | Sono ancora dati personali perchè ricollegabili tramite info aggiuntive | Art. 4(5) |
| 2 | PA può usare il legittimo interesse | La PA può trattare dati per legittimo interesse | Vietato: la PA usa solo obbligo legale o interesse pubblico | Art. 6(1)(f) |
| 3 | Consenso minori a 16 anni in Italia | L'età per il consenso digitale è 16 anni | In Italia è 14 anni (deroga Art. 2-quinquies) | Art. 2-quinquies |
| 4 | 72 ore per avvisare l'interessato | Il data breach va comunicato all'interessato entro 72h | Le 72h sono solo per il Garante; all'interessato "senza ingiustificato ritardo" | Art. 33/34 |
| 5 | Sanzioni penali abolite dal GDPR | Il GDPR ha sostituito le sanzioni penali | In Italia coesistono sanzioni amministrative e penali (Artt. 167-167ter) | Artt. 167 ss. |
| 6 | Privacy Shield ancora valido per USA | I trasferimenti USA si basano sul Privacy Shield | Invalidato da Schrems II (2020); dal 2023 vale il Data Privacy Framework | C(2023) 4745 |
| 7 | Diritto all'oblio è assoluto | L'interessato può sempre ottenere la cancellazione | Esistono 5 eccezioni (obbligo legale, libertà espressione, sanità, ricerca, giudizio) | Art. 17(3) |
| 8 | Portabilità per dati PA | Il cittadino può chiedere portabilità dei dati fiscali | NON si applica ai trattamenti per obbligo legale o interesse pubblico | Art. 20(3) |
| 9 | DPO obbligatorio solo per grandi enti | Il DPO serve solo con 250+ dipendenti | Obbligatorio per tutte le PA, anche un piccolo Comune | Art. 37(1)(a) |
| 10 | Responsabile notifica al Garante | Il Processor avvisa il Garante del breach | Il Processor avvisa il Titolare senza ritardo; il Titolare notifica al Garante | Art. 33(2) |
| 11 | Consenso = silenzio o inattività | L'inattività dell'utente vale come consenso | Deve essere un atto positivo inequivocabile; caselle pre-spuntate non valgono | Cons. 32 |
| 12 | Sanzione 4% per mancato DPO | Mancata nomina DPO = sanzione 4% | È nella soglia inferiore (10M/2%), non superiore | Art. 83(4) |
| 13 | Dati anonimi soggetti al GDPR | I dati anonimizzati rientrano nel GDPR | I dati anonimi sono fuori dall'ambito del Regolamento | Cons. 26 |
| 14 | Principi Art. 5 sono 6 | I principi del trattamento sono 6 | Sono 7: l'accountability (Art. 5.2) è il settimo | Art. 5 |
| 15 | AI Act sostituisce il GDPR | Con l'AI Act non serve il GDPR per sistemi AI | L'AI Act non pregiudica il GDPR (Art. 86 AI Act); si applicano entrambi | Art. 86 AI Act |
| 16 | Data breach = misure inadeguate | Ogni violazione prova l'inadeguatezza della sicurezza | Il titolare può provare l'adeguatezza delle misure nonostante il breach | CGUE C-340/21 |
| 17 | DPO può essere rimosso per parere | Il DPO scomodo può essere licenziato | Gode di tutela contro rimozione/penalizzazione per l'esercizio dei compiti | Art. 38(3) |
| 18 | Accesso = solo categorie destinatari | L'Art. 15 dà accesso alle categorie di destinatari | Include il diritto di conoscere i destinatari specifici (sentenza CGUE) | CGUE C-200/23 |
| 19 | Diritti defunti esclusi in Italia | Il GDPR non si applica ai defunti, quindi nemmeno in Italia | L'Art. 2-terdecies dà agli eredi il diritto di esercitare i diritti del defunto | Art. 2-terdecies |
| 20 | Cookie wall è consenso valido | Condizionare l'accesso al sito ai cookie è legittimo | Il Garante (2024) ha stabilito che non è consenso libero | Provv. 11/01/2024 |