Protezione dei Dati Personali e GDPR
Sintesi Operativa
Il GDPR (Regolamento UE 2016/679) e il Codice Privacy (D.Lgs. 196/2003, integrato dal D.Lgs. 101/2018) costituiscono il quadro normativo sulla protezione dei dati personali.
- Data Breach: Notifica al Garante entro 72 ore dalla scoperta della violazione
- Consenso: Deve essere documentabile, specifico e revocabile in qualsiasi momento
- Diritti potenziati: Oblio, portabilita, opposizione e limitazione del trattamento
- Registro trattamenti: Obbligatorio ex Art. 30, con esenzione per PMI sotto i 250 dipendenti
- Sanzioni: Amministrative dal Garante e penali fino a 6 anni di reclusione
1. Definizioni e Figure Chiave
L'Art. 4 del GDPR stabilisce le definizioni fondamentali per circoscrivere l'ambito di applicazione della normativa.
Definizioni Fondamentali (Art. 4 GDPR)
| Termine | Definizione Operativa |
|---|---|
| Dato Personale | Qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato) |
| Titolare del trattamento | Soggetto che determina le finalita e i mezzi del trattamento |
| Responsabile del trattamento | Soggetto che tratta i dati per conto del titolare |
| DPO | Data Protection Officer - Responsabile della protezione dei dati |
| Profilazione | Trattamento automatizzato volto a valutare aspetti personali (salute, preferenze, comportamento) |
| Data Breach | Incidente di sicurezza con distruzione, perdita, modifica o divulgazione non autorizzata di dati |
Personale Autorizzato
Sotto l'autorita del titolare o del responsabile operano le persone autorizzate al trattamento. Devono essere adeguatamente istruite e hanno l'obbligo di riservatezza.
2. Principi di Liceita e Tipologie di Dati
Condizioni per la Liceita (Art. 6 GDPR)
Il trattamento e lecito solo se soddisfa almeno una delle seguenti condizioni:
| # | Condizione di Liceita |
|---|---|
| 1 | Consenso espresso dall'interessato |
| 2 | Esecuzione di un contratto con l'interessato |
| 3 | Adempimento di un obbligo legale |
| 4 | Salvaguardia di interessi vitali dell'interessato o di terzi |
| 5 | Esecuzione di un compito di interesse pubblico o connesso a pubblici poteri |
| 6 | Legittimo interesse del titolare, purche non prevalgano i diritti dell'interessato |
Dati Particolari (ex Sensibili) - Art. 9 GDPR
Trattamento Vietato
E generalmente vietato trattare dati che rivelano: origine razziale, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, biometrici, relativi alla salute o alla vita sessuale.
Eccezioni al divieto:
- Consenso esplicito dell'interessato
- Necessita per interessi vitali (in caso di incapacita fisica o giuridica)
- Dati resi manifestamente pubblici dall'interessato
- Esercizio o difesa di un diritto in sede giudiziaria
3. Diritti dell'Interessato
Il Titolare deve fornire informazioni trasparenti sulle finalita del trattamento e sul periodo di conservazione dei dati.
Catalogo dei Diritti
| Diritto | Articolo | Descrizione |
|---|---|---|
| Accesso | Art. 15 | Esercitabile sempre e liberamente |
| Rettifica | Art. 16 | Correzione dei dati inesatti senza ingiustificato ritardo |
| Oblio | Art. 17 | Cancellazione dei dati non piu necessari, revoca consenso o trattamento illecito |
| Limitazione | Art. 18 | Restrizione del trattamento in attesa di verifiche |
| Portabilita | Art. 20 | Trasmissione dati a un altro titolare; non obbliga alla cancellazione originale |
| Opposizione | Art. 21 | Possibilita di opporsi al trattamento in qualsiasi momento |
Attenzione ai Quiz!
Il diritto alla portabilita (Art. 20) consente di ricevere i propri dati in formato strutturato e di trasmetterli a un altro titolare, ma non obbliga alla cancellazione dei dati presso il titolare originario.
Decisioni Automatizzate
L'interessato ha diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati (inclusa la profilazione), salvo necessita contrattuali o consenso esplicito.
4. Sicurezza e Compliance
Misure di Sicurezza (Art. 32)
Titolare e Responsabile devono attuare misure tecniche e organizzative adeguate:
| Misura | Descrizione |
|---|---|
| Pseudonimizzazione | Dati non attribuibili a un interessato senza informazioni aggiuntive separate |
| Cifratura | Protezione crittografica dei dati |
| Resilienza | Capacita di assicurare riservatezza, integrita, disponibilita e ripristino tempestivo |
| Test regolari | Procedure per verificare l'efficacia delle misure adottate |
Pseudonimizzazione vs Anonimizzazione
La pseudonimizzazione e reversibile (i dati restano personali). L'anonimizzazione e irreversibile: i dati anonimi esulano dal GDPR.
Registro delle Attivita di Trattamento (Art. 30)
Documento obbligatorio che deve contenere: finalita, categorie di dati, destinatari e misure di sicurezza.
Esenzione PMI
Le imprese con meno di 250 dipendenti sono esentate, a meno che il trattamento presenti rischi per i diritti o riguardi dati sensibili/giudiziari.
Gestione dei Data Breach
| Destinatario | Tempistica | Condizione |
|---|---|---|
| Garante | Entro 72 ore | Sempre, dal momento della scoperta |
| Interessato | Senza ingiustificato ritardo | Solo se il rischio e elevato |
5. Il Garante e le Sanzioni
Funzioni del Garante
Il Garante per la Protezione dei Dati Personali e l'autorita nazionale incaricata di:
- Irrogare sanzioni amministrative
- Promuovere regole deontologiche
- Relazionare annualmente a Parlamento e Governo
- Ricevere segnalazioni da parte di chiunque
Sanzioni Penali (D.Lgs. 196/2003)
La normativa italiana prevede gravi conseguenze penali:
| Violazione | Sanzione |
|---|---|
| Trattamento illecito con nocumento | Reclusione da 6 mesi a 1 anno e 6 mesi |
| Comunicazione/diffusione illecita su larga scala | Reclusione da 1 a 6 anni |
| Dichiarazioni o atti falsi al Garante | Reclusione da 6 mesi a 3 anni |
Attenzione ai Quiz!
La sanzione piu grave (fino a 6 anni) e prevista per la comunicazione o diffusione illecita di dati su larga scala.
6. Trattamento nella PA
Interesse Pubblico Rilevante
Il trattamento dei dati da parte della Pubblica Amministrazione e legato alla sussistenza di un interesse pubblico rilevante (Art. 2-sexies D.Lgs. 196/2003).
Materie rientranti nell'interesse pubblico:
- Accesso ai documenti amministrativi e accesso civico
- Cittadinanza, immigrazione e asilo
- Stato di rifugiato e condizione dello straniero
- Elettorato attivo e passivo
- Attivita di controllo e ispettive
- Concessione di benefici economici
- Rapporto di lavoro pubblico
Basi Giuridiche per la PA
La PA puo trattare dati personali principalmente in base a:
- Obbligo legale (Art. 6.1.c GDPR)
- Compito di interesse pubblico o esercizio di pubblici poteri (Art. 6.1.e GDPR)
Consenso nella PA
Il consenso e raramente base giuridica valida per la PA, dato lo squilibrio di potere tra amministrazione e cittadino che ne compromette la liberta.