RIPAM 3997

Reg. UE 2016/679Aggiornato: v1.0 - 01/02/2026

Protezione dei Dati Personali e GDPR

Sintesi Operativa

Il GDPR (Regolamento UE 2016/679) e il Codice Privacy (D.Lgs. 196/2003, integrato dal D.Lgs. 101/2018) costituiscono il quadro normativo sulla protezione dei dati personali.

  • Data Breach: Notifica al Garante entro 72 ore dalla scoperta della violazione
  • Consenso: Deve essere documentabile, specifico e revocabile in qualsiasi momento
  • Diritti potenziati: Oblio, portabilita, opposizione e limitazione del trattamento
  • Registro trattamenti: Obbligatorio ex Art. 30, con esenzione per PMI sotto i 250 dipendenti
  • Sanzioni: Amministrative dal Garante e penali fino a 6 anni di reclusione

1. Definizioni e Figure Chiave

L'Art. 4 del GDPR stabilisce le definizioni fondamentali per circoscrivere l'ambito di applicazione della normativa.

Definizioni Fondamentali (Art. 4 GDPR)

TermineDefinizione Operativa
Dato PersonaleQualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato)
Titolare del trattamentoSoggetto che determina le finalita e i mezzi del trattamento
Responsabile del trattamentoSoggetto che tratta i dati per conto del titolare
DPOData Protection Officer - Responsabile della protezione dei dati
ProfilazioneTrattamento automatizzato volto a valutare aspetti personali (salute, preferenze, comportamento)
Data BreachIncidente di sicurezza con distruzione, perdita, modifica o divulgazione non autorizzata di dati

Personale Autorizzato
Sotto l'autorita del titolare o del responsabile operano le persone autorizzate al trattamento. Devono essere adeguatamente istruite e hanno l'obbligo di riservatezza.

2. Principi di Liceita e Tipologie di Dati

Condizioni per la Liceita (Art. 6 GDPR)

Il trattamento e lecito solo se soddisfa almeno una delle seguenti condizioni:

#Condizione di Liceita
1Consenso espresso dall'interessato
2Esecuzione di un contratto con l'interessato
3Adempimento di un obbligo legale
4Salvaguardia di interessi vitali dell'interessato o di terzi
5Esecuzione di un compito di interesse pubblico o connesso a pubblici poteri
6Legittimo interesse del titolare, purche non prevalgano i diritti dell'interessato

Dati Particolari (ex Sensibili) - Art. 9 GDPR

Trattamento Vietato
E generalmente vietato trattare dati che rivelano: origine razziale, opinioni politiche, convinzioni religiose, appartenenza sindacale, dati genetici, biometrici, relativi alla salute o alla vita sessuale.

Eccezioni al divieto:

  • Consenso esplicito dell'interessato
  • Necessita per interessi vitali (in caso di incapacita fisica o giuridica)
  • Dati resi manifestamente pubblici dall'interessato
  • Esercizio o difesa di un diritto in sede giudiziaria

3. Diritti dell'Interessato

Il Titolare deve fornire informazioni trasparenti sulle finalita del trattamento e sul periodo di conservazione dei dati.

Catalogo dei Diritti

DirittoArticoloDescrizione
AccessoArt. 15Esercitabile sempre e liberamente
RettificaArt. 16Correzione dei dati inesatti senza ingiustificato ritardo
OblioArt. 17Cancellazione dei dati non piu necessari, revoca consenso o trattamento illecito
LimitazioneArt. 18Restrizione del trattamento in attesa di verifiche
PortabilitaArt. 20Trasmissione dati a un altro titolare; non obbliga alla cancellazione originale
OpposizioneArt. 21Possibilita di opporsi al trattamento in qualsiasi momento

Attenzione ai Quiz!
Il diritto alla portabilita (Art. 20) consente di ricevere i propri dati in formato strutturato e di trasmetterli a un altro titolare, ma non obbliga alla cancellazione dei dati presso il titolare originario.

Decisioni Automatizzate
L'interessato ha diritto di non essere sottoposto a decisioni basate unicamente su trattamenti automatizzati (inclusa la profilazione), salvo necessita contrattuali o consenso esplicito.

4. Sicurezza e Compliance

Misure di Sicurezza (Art. 32)

Titolare e Responsabile devono attuare misure tecniche e organizzative adeguate:

MisuraDescrizione
PseudonimizzazioneDati non attribuibili a un interessato senza informazioni aggiuntive separate
CifraturaProtezione crittografica dei dati
ResilienzaCapacita di assicurare riservatezza, integrita, disponibilita e ripristino tempestivo
Test regolariProcedure per verificare l'efficacia delle misure adottate

Pseudonimizzazione vs Anonimizzazione
La pseudonimizzazione e reversibile (i dati restano personali). L'anonimizzazione e irreversibile: i dati anonimi esulano dal GDPR.

Registro delle Attivita di Trattamento (Art. 30)

Documento obbligatorio che deve contenere: finalita, categorie di dati, destinatari e misure di sicurezza.

Esenzione PMI
Le imprese con meno di 250 dipendenti sono esentate, a meno che il trattamento presenti rischi per i diritti o riguardi dati sensibili/giudiziari.

Gestione dei Data Breach

DestinatarioTempisticaCondizione
GaranteEntro 72 oreSempre, dal momento della scoperta
InteressatoSenza ingiustificato ritardoSolo se il rischio e elevato

5. Il Garante e le Sanzioni

Funzioni del Garante

Il Garante per la Protezione dei Dati Personali e l'autorita nazionale incaricata di:

  • Irrogare sanzioni amministrative
  • Promuovere regole deontologiche
  • Relazionare annualmente a Parlamento e Governo
  • Ricevere segnalazioni da parte di chiunque

Sanzioni Penali (D.Lgs. 196/2003)

La normativa italiana prevede gravi conseguenze penali:

ViolazioneSanzione
Trattamento illecito con nocumentoReclusione da 6 mesi a 1 anno e 6 mesi
Comunicazione/diffusione illecita su larga scalaReclusione da 1 a 6 anni
Dichiarazioni o atti falsi al GaranteReclusione da 6 mesi a 3 anni

Attenzione ai Quiz!
La sanzione piu grave (fino a 6 anni) e prevista per la comunicazione o diffusione illecita di dati su larga scala.

6. Trattamento nella PA

Interesse Pubblico Rilevante

Il trattamento dei dati da parte della Pubblica Amministrazione e legato alla sussistenza di un interesse pubblico rilevante (Art. 2-sexies D.Lgs. 196/2003).

Materie rientranti nell'interesse pubblico:

  • Accesso ai documenti amministrativi e accesso civico
  • Cittadinanza, immigrazione e asilo
  • Stato di rifugiato e condizione dello straniero
  • Elettorato attivo e passivo
  • Attivita di controllo e ispettive
  • Concessione di benefici economici
  • Rapporto di lavoro pubblico

Basi Giuridiche per la PA

La PA puo trattare dati personali principalmente in base a:

  • Obbligo legale (Art. 6.1.c GDPR)
  • Compito di interesse pubblico o esercizio di pubblici poteri (Art. 6.1.e GDPR)

Consenso nella PA
Il consenso e raramente base giuridica valida per la PA, dato lo squilibrio di potere tra amministrazione e cittadino che ne compromette la liberta.

RIPAM Studio - Preparazione Concorsi Pubblici

Telegram RIPAM: t.me/ripam3997studio | Telegram MIC: t.me/mic1800studio

Facebook: facebook.com/share/1DVTAWWmRg