Codice in materia di protezione dei dati personali: dall’ordinamento nazionale al GDPR

Questo articolo ha lo scopo di fornire le nozioni che sono poste alla base della legge in materia di protezione dei dati personali – D.lgs. n. 196/2003, integrato e modificato poi da una nuova normativa più ampia sulla protezione dei dati personali attuata dal Parlamento e dal Consiglio europeo, il Regolamento EU 679/2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
Tale Regolamento è entrato in vigore due anni dopo, con il D.lgs. n. 101/2018 rubricato “Adeguamento della normativa nazionale alle disposizioni del regolamento UE in materia di privacy”.
Verranno dapprima analizzati: – i principi alla base del trattamento dei dati personali; – l’ambito di applicazione; – il trattamento di categorie particolari di dati personali, tra l’altro i dati sensibili ed i dati giudiziari e il consenso informato al trattamento dei dati; il diritto all’oblio.


Per approfondimenti si consiglia il seguente volume il quale tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse: Formulario commentato della privacy

Indice

1. Introduzione

Sebbene la legislazione italiana avesse un codice relativo alla protezione dei dati personali, nello specifico il D.lgs n. 196/2003, l’Unione Europea avvertiva l’esigenza di introdurre un nuovo codice unitario in materia di protezione dei dati personali: nasceva così il Regolamento EU 679/2016, entrato poi in vigore all’interno degli Stati membri nel 2018, con un differimento di due anni.
Ma quali sono i motivi di questo differimento?
È l’Art. 171 che – abrogando la direttiva 95/46 CE (Comunità europea prima, UE dopo il Trattato di Lisbona) – disciplina i motivi e le indicazioni per la fase di transizione che hanno portato al differimento dell’applicazione del Regolamento all’interno degli stati membri.
Infatti, pur apportando delle novità, in questo periodo bisognerà rendere conforme il trattamento attuale riservato ai dati personali e necessitando di tempistiche notevoli.
Questa conformità incontra il limite del consenso al trattamento dei dati personali prestato precedentemente e basato sulla Direttiva 95/46 UE: qui non occorre che l’interessato lo presti nuovamente se lo stesso è stato espresso secondo modalità conformi alle condizioni del presente Regolamento 679/2016.
E’ chiaro che da parte del Parlamento e del Consiglio europeo è stato delineato un quadro sociale, economico e tecnologico che ha reso necessaria l’introduzione di questo regolamento. Inoltre, l’evoluzione tecnologica ha comportato una correlata evoluzione della raccolta e della tutela dei dati personali, data l’odierna disponibilità da parte della massa di avere conoscenza delle informazioni personali di vari soggetti.
Il legislatore si è reso conto che la precedente normativa ha fallito in quanto: non ha raggiunto lo scopo di dare omogeneità di trattamento dei dati personali all’interno dell’Unione europea a causa una tutela già frammentata e non univoca, evidenziando l’incertezza giuridica e la diffusione del pensiero nei soggetti che vi sono dei rischi per la protezione dei dati delle persone fisiche.
Così, dopo aver anche considerato il fallimento della normativa precedente, si specifica che l’introduzione del presente regolamento ha il fine di assicurare un livello maggiore di tutela, attuata sulla base del principio di proporzionalità, bilanciando la tutela dei dati personali con altri diritti, tra cui il rispetto della vita privata e familiare, del domicilio e delle comunicazioni.

2. I riferimenti normativi

Nel nostro ordinamento, un primo accenno in riferimento alla protezione dei dati personali si trova già nell’Art. 15 Cost. che disciplina “La libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione sono inviolabili. La loro limitazione può avvenire soltanto per atto motivato dell’autorità giudiziaria con le garanzie stabilite dalla legge”.
Anche il Codice Penale – Sezione IV – Capo III rubricato “Dei delitti contro la inviolabilità del domicilio”, all’Art. 615bis rubricato “Interferenze illecite nella vita privata” disciplina che “Chiunque, mediante l’uso di strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata svolgentesi nei luoghi indicati nell’articolo 614, è punito con la reclusione da sei mesi a quattro anni.
Alla stessa pena soggiace, salvo che il fatto costituisca più grave reato, chi rivela o diffonde, mediante qualsiasi mezzo di informazione al pubblico, le notizie o le immagini ottenute nei modi indicati nella prima parte di questo articolo.”
E ancora, l’Art. 615ter rubricato “Accesso abusivo ad un sistema informatico o telematico” disciplina che “Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.”
È chiaro che il legislatore ha introdotto queste norme per far fronte alle minacce sempre più insistenti in merito alla riservatezza personale, legate ad una evoluzione tecnologica repentina.
La ratio di queste disposizioni è la tutela della pace, della libertà domestica, non più la dimora è intesa nella mera costruzione e materialità, ma si estende alla sicurezza dei propri sistemi informatici per salvaguardare lo spazio individuale della persona.
Tuttavia, sarà solo a seguito della Direttiva UE n. 46/1995 in materia di protezione dei dati personali – recepita ed attuata nel nostro sistema nazionale – che il Parlamento italiano avvia una disciplina specifica per regolamentare la tutela delle persone fisiche e di altri soggetti rispetto al trattamento dei dati personali: la Legge n. 675/1996.
Questa disciplina è stata poi integrata all’interno di un testo unico che ha semplificato e ridefinito la materia nella sua totalità: si tratta del D.lgs. n. 196/2003 recante il Codice in materia di protezione dei dati personali, come integrato e modificato dal Regolamento generale sulla protezione dei dati GDPR EU 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione dei dati, entrato in vigore con il D.lgs. n. 101/2018 rubricato “Adeguamento della normativa nazionale alle disposizioni del regolamento UE in materia di privacy”.
Per approfondimenti si consiglia il seguente volume il quale tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse:

FORMATO CARTACEO

Formulario commentato della privacy

Aggiornata alle recenti determinazioni del Garante, l’opera tratta gli aspetti sostanziali e le questioni procedurali legati al trattamento dei dati personali e a tutte le attività connesse. La normativa di riferimento viene commentata e analizzata, con un taglio che rende il volume un valido strumento pratico per il Professionista che si occupa di privacy. L’analisi delle ricadute operative della normativa è integrata dalle specifiche formule correlate; questa combinazione costituisce il valore aggiunto dell’opera che ben può aspirare a diventare un riferimento per gli operatori del settore. Giuseppe Cassano Direttore del Dipartimento di Scienze Giuridiche della European School of Economics della sede di Roma e Milano, ha insegnato Istituzioni di Diritto Privato nell’Università Luiss di Roma. Avvocato cassazionista. Studioso dei diritti della persona, del diritto di famiglia, della responsabilità civile e del diritto di Internet, ha pubblicato oltre trecento contributi in tema, fra volumi, trattati, voci enciclopediche, note e saggi. Enzo Maria Tripodi attualmente all’Ufficio legale e al Servizio DPO di Unioncamere, è un giurista specializzato nella disciplina della distribuzione commerciale, nella contrattualistica d’impresa, nel diritto delle nuove tecnologie e della privacy, nonché nelle tematiche attinenti la tutela dei consumatori. È stato docente della LUISS Business School e Professore a contratto di Diritto Privato presso la facoltà di Economia della Luiss-Guido Carli. Ha insegnato in numerosi Master post laurea ed è autore di oltre quaranta monografie con le più importanti case editrici. Cristian Ercolano Partner presso Theorema Srl – Consulenti di direzione, con sede a Roma; giurista con circa 20 anni di esperienza nell’applicazione della normativa in materia di protezione dei dati personali e più in generale sui temi della compliance e sostenibilità. Ricopre incarichi di Responsabile della Protezione dei Dati, Organismo di Vigilanza e Organismo Indipendente di Valutazione della performance presso realtà private e pubbliche. Autore di numerosi contributi per trattati, opere collettanee e riviste specialistiche sia tradizionali che digitali, svolge continuativamente attività didattica, di divulgazione ed orientamento nelle materie di competenza.

A cura di Giuseppe Cassano, Enzo Maria Tripodi, Cristian Ercolano | Maggioli Editore 2022

3. Il Codice in materia di protezione dei dati personali

Il D.lgs. n. 196/2003 recante il Codice in materia di protezione dei dati personali, entrato in vigore per la prima volta il 1° gennaio 2004 e comunemente definito “Codice dei dati personali” ovvero “Codice della privacy”, si compone di tre sezioni:
·      La prima parte contiene le definizioni di base e le disposizioni generali in ordine al trattamento dei dati;
·      La seconda parte analizza la disciplina specifica, applicabile nei vari ambiti, tra cui, ad esempio alle pubbliche amministrazioni, al settore sanitario, al settore lavoro;
·      La terza parte disciplina la struttura e le funzioni dell’ufficio del Garante per la protezione dei dati personali, nonché la tutela amministrativa e giurisdizionale accordata al soggetto che subisce una lesione al diritto alla riservatezza.
Tale Codice verrà poi integrato e modificato dal Regolamento generale sulla protezione dei dati n. 679/2016 del Parlamento europeo e del Consiglio europeo del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – definito anche GDPR EU n. 679/2016 – abroga, tra l’altro, la direttiva 95/46/CE rubricata Regolamento generale sulla protezione dei dati.
Molto più ampio ed attuale, il GDPR EU 679/2016 disciplina – tra l’altro:
·      La protezione dei diritti, delle libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali;
·      La libera circolazione degli stessi all’interno dell’Unione Europea;
·      L’ambito di applicazione e le finalità, Artt.1-3;
·      Le definizioni dettagliate di tutto ciò che inerente ai dati personali ed al relativo trattamento in riferimento alla limitazione, alla profilazione, ai soggetti di cui all’Art. 4;
·      Le varie tipologie dei dati e le relative categorie particolari, quali i dati personali, genetici, biometrici, relativi alla salute, disciplinate dagli Artt. 4 e 9;
·      I principi applicabili al trattamento dei dati, di cui all’Art. 5;
·      I diritti, molteplici, dell’interessato, in riferimento alle informazioni, comunicazioni, modalità di esercizio di tali diritti;
·      Il diritto fondamentale di rettifica e alla cancellazione dei dati personali che riguardano l’interessato, il cd. “diritto all’oblio”; il diritto di limitazione di trattamento dei dati; l’obbligo di notifica in caso di rettifica e di cancellazione o limitazione del trattamento; il diritto alla portabilità e – tra l’altro – il diritto di opposizione.

4. I principi

Si è detto, come disciplinato dall’Art. 1 rubricato “Oggetto e finalità”, che il presente regolamento stabilisce le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alle norme relative alla libera circolazione dei dati; protegge i diritti e le libertà fondamentali delle persone fisiche e specifica che la libera circolazione dei dati personali nell’Unione non può essere limitata né vietata per motivi attinenti alla protezione delle persone fisiche con riguardo al trattamento di tali dati.
Il Regolamento 2016/679 del Parlamento e del Consiglio europeo del 27 aprile 2016, all’articolo 5 disciplina – appunto – le modalità di raccolta e di trattamento dei dati personali, nonché i principi applicabili.
Tali dati devono essere:
a)     Trattati in modo lecito, corretto e trasparente nei confronti dell’interessato, si fa riferimento qui al principio di “liceità, correttezza e trasparenza”;
b)    Raccolti per finalità determinate, esplicite e legittime, principio della “limitazione delle finalità”;
c)     Adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono stati raccolti e trattati – principio di “minimizzazione dei dati”;
d)    Esatti e, se necessario, aggiornati. Devono, inoltre, essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati – principio di “esattezza dei dati”;
e)     Conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici – principio di “limitazione della conservazione”;
f)     Infine, devono essere trattati in maniera da garantire un’adeguata sicurezza degli stessi, compresa la protezione – mediante misure tecniche ed organizzative adeguate – da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentale – principio di “integrità e riservatezza”.

5. Il dato personale e le tipologie di dati

Ma cosa si intende per “Dato Personale”?
Il Regolamento, all’articolo 4 rubricato “Definizioni” intende per dato personale “qualsiasi informazione riguardante una persona fisica – definito interessato – che sia identificata o identificabile. Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento ad un identificativo come il nome, un numero, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale e sociale”.
Per semplicità espositiva, i dati che permettono l’identificazione diretta sono ad esempio i dati anagrafici – nome e cognome – o le immagini, le fotografie; mentre i dati che consentono una identificazione indiretta possono indicare il codice fiscale o l’indirizzo IP.
È lo stesso articolo a definire cosa si intende per trattamento di tali dati.
Trattamento è “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione o diffusione di qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.
Vieppiù, ai sensi dell’articolo 4 si distinguono:
a)     Dati genetici, quali dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione;
b)    Dati biometrici, quali dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici;
c)     Dati relativi alla salute, quali dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Questa tipologia di dati rientra nella categoria particolare dei c.d.dati sensibili.
Lo stesso Regolamento europeo 2016/679 del 27 aprile 2016 disciplina all’articolo 10, invece, i l trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza; precisando in ultimo che un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.
Si tratta dei c.d. dati giudiziari, cioè idonei a rivelare l’esistenza di provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale – ad esempio i provvedimenti penali passati in giudicato con condanna definitiva; il divieto o l’obbligo di soggiorno o le misure alternative alla detenzione.
Se dunque vi sono diverse tipologie di dati, allora saranno diverse le tipologie di trattamento degli stessi ed ancora diversi saranno i soggetti che possono utilizzarli – differenziando tra pubblico e privato.
Di fatto, è vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica. È altresì vietato trattare dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona.

6. Il consenso al trattamento dei dati ed il diritto all’oblio

L’Art. 4 disciplina il “consenso dell’interessato” come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.
Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione del contratto, così disciplinato dall’Art. 7 rubricato “condizioni per il consenso”.
Per quanto riguarda i minori, il trattamento dei loro dati personali è lecito ove il minore abbia almeno 16 anni; nel caso in cui invece il minore abbia meno di 16 anni, il trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.
Ad ogni modo, il titolare del trattamento si adopera per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, anche alla luce delle tecnologie disponibili.
Tuttavia, gli Stati membri possono stabilire per legge un’età inferiore in cui inquadrare il minore, purché non sia al di sotto dei 13 anni. – Art. 8.
Nel momento in cui il titolare del trattamento dei dati personali ha la necessità di acquisire il consenso da parte del soggetto interessato a cui i dati appartengono, è tenuto ai sensi dell’Art. 13 a fornire apposita “informativa”, un elenco di informazioni relative a:
–       le finalità e le modalità di trattamento cui sono destinati i dati;
–       la natura obbligatoria o facoltativa del conferimento dei dati;
–       le conseguenze di un eventuale rifiuto di rispondere;
–       gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
–       l’intenzione del titolare del trattamento dei dati di trasferirli a un paese terzo o a un’organizzazione internazionale;
–       gli estremi identificativi del titolare del trattamento dei dati e del responsabile.
In aggiunta poi, il titolare del trattamento fornisce all’interessato, in modo chiaro e trasparente:
–       il periodo di conservazione dei dati;
–       l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
–       l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
–       il diritto di proporre reclamo ad un’autorità di controllo.
Se, invece, la raccolta dei dati non viene effettuata presso l’interessato, ma presso soggetti terzi, non si è tenuti a rendere l’informativa qualora il trattamento costituisca un obbligo di legge.
La Sezione 3 del Reg. EU 679/2016 denominata “Rettifica e cancellazione” disciplina all’Art. 16 dapprima il diritto dell’interessato ad ottenere dal titolare del trattamento la rettifica di dati personali inesatti che lo riguardano – senza ingiustificato ritardo – e ad ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Inoltre, il successivo Art. 17 rubricato “Diritto alla cancellazione (diritto all’oblio)”, tutela il diritto dell’interessato di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano ed il titolare ha l’obbligo di cancellare i dati personali, se sussiste almeno uno dei seguenti motivi:
1.     i dati forniti precedentemente non sono più necessari rispetto alle finalità per le quali sono stati raccolti;
2.     i dati sono stati trattati illecitamente;
3.     devono essere cancellati per adempiere un obbligo giuridico previsto dal’ diritto dell’Unione o dello Stato membro;
4.     i dati sono stati raccolti relativamente all’offerta di servizi di una società di informazioni.
Se poi il titolare del trattamento ha reso pubblici questi dati è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

7. Sent. Cassazione Sez. Lavoro n. 18373 del 19 maggio 2023: rilevazione delle impronte digitali senza consenso specifico

La Cassazione, con l’ordinanza n. 13873 del 19 maggio 2023, ha confermato il suo indirizzo secondo cui è necessario il consenso degli interessati per il trattamento di dati biometrici, in particolare le impronte digitali dei dipendenti.
Con l’ordinanza n. 18373 del 19 maggio 2023 emanata dalla Sezione Lavoro della Cassazione la Suprema Corte ha confermato il suo indirizzo (già espresso nella sentenza del 6 marzo 2023, n. 6642) secondo cui è necessario il consenso degli interessati per il trattamento di dati biometrici.
Bisogna però sottolineare che sia l’ordinanza da ultimo emessa sia la sentenza precedente fanno riferimento alle previsioni stabilite nel Codice privacy (D.lgs. n. 196/2003) applicabili, sulla base del tempo dello svolgimento dei fatti, alle vicende esaminate dai tribunali e poi sottoposte al vaglio della Cassazione.
La disciplina previgente, infatti, consentiva il trattamento di dati biometrici (ossia dei dati direttamente riconducibili alle caratteristiche fisiche dell’interessato) previo espresso consenso ai sensi dell’art. 23 del Codice Privacy, richiedendo anche, sulla base del Provvedimento del Garante per la protezione dei dati personali del 12 novembre 2014, lo svolgimento della procedura di interpello preventivo di cui all’art. 17 del Codice nonché la relativa notificazione.
Gli Ermellini, così, hanno voluto statuire che deve essere confermato l’accoglimento della domanda di un lavoratore volta a sentire dichiarare illegittimo il sistema di rilevazione biometrica, tramite impronta della mano, dell’accesso dei lavoratori da parte del datore di lavoro se quest’ultimo non esprima un consenso specifico dei requisiti per il trattamento dei dati biometrici come richiesto dal D.Lgs n. 196/2003.
Di fatto, è illegittima la rilevazione biometrica dell’impronta digitale senza il consenso specifico del lavoratore. Infatti, il datore di lavoro deve dichiarare con precisione e conformità di legge in che modo e se verrà utilizzato uno strumento di rilevazione biometrica.
Questo è il principio affermato dalla Corte di cassazione con ordinanza del 19 maggio 2023, n. 13873. Preliminarmente, sul punto è necessario comprendere quale normativa è applicabile per il trattamento del consenso.
La legge italiana disciplina all’articolo 23 del Decreto legislativo del 30 giugno 2003 n. 196 che il trattamento di dati personali da parte di privati o di enti pubblici è ammesso solo con il consenso espresso dell’interessato e che il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.
Infine, la stessa normativa, stabilisce che il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto e se sono state rese all’interessato le informazioni necessarie previste per legge.

Fortunata Maria Tripodi

Scrivi un commento

Accedi per poter inserire un commento