Linea diretta 328 2354171

La Protezione dei dati

IL NUOVO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI

IL CODICE DELLA PRIVACY

Il Codice della privacy (D. Lgs. 30 giugno 2003 n.196) , in vigore dall’1 gennaio 2004,   contiene l’intera disciplina in materia della tutela della privacy e include quanto sidposto dalla direttiva UE 2000/58 sulla riservatezza nelle comunicazioni elettroniche.

Il Codice è diviso in tre parti:

-la prima (artt.1-45) è dedicata alle disposizioni generali, organizzate in modo da disciplinare tutti gli adempimenti e le regole del trattamento con riferimento ai settori pubblico e privato;
- la seconda (artt.46-140) contiene le disposizioni relative a specifici settori, tra cui quello delle comunicazioni elettroniche (artt. 121–133) e quello del direct marketing (art. 140);
- la terza parte (artt.141-186) affronta la materia delle tutele amministrative e giurisdizionali in materia di privacy (artt. 141-172) e contiene disposizioni modificative e abrogative di norme già in vigore.

In sintesi, il codice prevede che:

1.I dati personali che le aziende utilizzano e trattano (per azioni di direct marketing e altre forme di comunicazioni) sono nella esclusiva disponibilità del soggetto cui si riferiscono e possono essere usati dalle aziende solo col previo consenso espresso da parte del soggetto interessato (art. 23). Questo consenso deve essere libero, consapevole, espresso in forma specifica, e documentato in forma scritta; il consenso deve invece essere manifestato in forma scritta quando il trattamento riguarda dati sensibili (art. 23).

2. Il consenso non è valido se l’interessato non è stato preventivamente informato circa i suoi diritti  e circa le finalità e le modalità del trattamento, l’identità del titolare ed eventualmente del responsabile (artt. 7 e 13).

3.I dati possono essere usati dalle aziende solo per lo scopo per cui sono stati raccolti (art. 11).

4. Il titolare deve adottare le misure minime di sicurezza che garantiscano dai rischi di perdita  dei dati o di accesso non autorizzato o trattamento non consentito o non conforme alla finalità della raccolta (art. 31).

5. L’interessato può richiedere al titolare o al responsabile del trattamento le informazioni sui dati che lo riguardano e anche opporsi al trattamento dei propri dati (art. 7).

6. Il divieto di comunicare  i dati personali dei quali è stata ordinata la cancellazione (art. 25).

I DATI PERSONALI

Il Codice della privacy definisce come dato personale qualunque informazione relativa ad una persona fisica.

I dati personali possono essere utilizzati per lo solo scopo dichiarato per il quale sono stati raccolti.

I dati sensibili sono informazioni relative a:

• convinzioni religiose, filosofiche;
• opinioni politiche;
• origine razziale ed etnica;
• stato di salute e vita sessuale;
• adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale

Il trattamento dei dati sensibili  è possibile solo con il consenso scritto dell’interessato e a seguito di autorizzazione del Garante.
In caso di mancata risposta da parte degli uffici del Garante vige il principio del silenzio-rifiuto.
Infatti, decorsi 45 giorni dalla richiesta l’autorizzazione si intende negata e il trattamento non potrà essere effettuato.

Non occorre il consenso dell’interessato, ma unicamente l’autorizzazione del Garante nei seguenti casi:
• quando il trattamento dei dati sensibili è effettuato da associazioni ed enti senza scopo di lucro a carattere filosofico, politico, religioso o sindacale per il perseguimento degli scopi previsti nell’atto costitutivo;
• quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo; per il corretto svolgimento di attività difensive ed investigazioni; per il corretto adempimento di specifici obblighi previsti dalla legge in materia di igiene e sicurezza del lavoro.

Si definisce trattamento qualunque operazione di raccolta, registrazione,  organizzazione, conservazione, consultazione, elaborazione, modifica, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione dei dati.

IL TITOLARE DEL TRATTAMENTO

Il titolare del trattamento è la persona fisica o giuridica che decide le  finalità,le modalità del trattamento dei dati personali ed è responsabile della sicurezza.

Il titolare è il soggetto che

  • deve fare la notifica al Garante (se obbligatoria)
  • che formula l’informativa al consumatore
  • che raccoglie il consenso del consumatore
  • che nomina i responsabili.
  • che ha le responsabilità previste dalla legge (penale, amministrativa,  civile per il caso in cui l’attività di trattamento produca danni)

Qualora il trattamento sia effettuato da una persona giuridica (ad esempio una società) il “titolare”, cioè il soggetto al quale competono le scelte di fondo sulla raccolta e utilizzazione dei dati, è la struttura nel suo complesso (quindi la società stessa) e non le persone fisiche che l’amministrano o la rappresentano (ad esempio, il direttore generale, o il legale rappresentante).
Siccome però la persona giuridica non è suscettibile come tale di sanzioni penali, la responsabilità penale fa capo al legale rappresentante della società.

RESPONSABILE DEL TRATTAMENTO

Il titolare ha la facoltà di nominare uno o più responsabili del trattamento.

Il responsabile del trattamento è il soggetto (persona fisica o giuridica) preposto dal titolare al trattamento dei dati, sulla base di istruzioni impartite dal titolare stesso.

Questa figura può essere individuata all'interno della società oppure all’esterno della stessa, mediante il conferimento ad un terzo dell’incarico di responsabile che abbia esperienza, capacità ed affidabilità.

I suoi compiti sono dettagliatamente specificati per iscritto dal titolare.

Nel caso siano designati più responsabili, l’elenco di questi ultimi deve essere tenuto costantemente aggiornato da parte dell’azienda, e sulla prima notificazione devono essere indicati il sito web o comunque le modalità attraverso le quali è conoscibile l’elenco aggiornato dei responsabili.

Incaricato è la persona fisica (normalmente dipendente dell'azienda) che ha ricevuto dal titolare o dal responsabile l'incarico di effettuare materialmente una o più operazioni di trattamento.

INTERESSATO

L'interessato è la persona fisica a cui si riferiscono i dati trattati

l’interessato ha diritto di

  • ottenere conferma dell’esistenza o meno di dati personali oggetto di trattamento,
  • ottenerne la comunicazione in modo intelligibile
  • conoscerne l’origine
  • conoscere le finalità e le modalità del trattamento e la logica applicata nel caso di trattamento effettuato con l’ausilio di strumenti elettronici
  • conoscere il nome del titolare, dei responsabili e dell’eventuale rappresentante designato dal titolare estero
  • sapere a quali soggetti i dati personali possono essere comunicati
  • ottenere l’aggiornamento, la rettifica o l’integrazione dei dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, nonché l’attestazione che tali operazioni sono state portate a conoscenza di coloro ai quali i dati sono stati comunicati o diffusi
  • opporsi, in tutto o in parte, “al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazioni commerciali”, nonché di opporsi – ma solo “per motivi legittimi” – al trattamento dei dati che lo riguardano, benché il trattamento sia pertinente ai fini della raccolta

Per esercitare tali diritti, l’interessato può fare una semplice richiesta al titolare o al responsabile del trattamento via posta elettronica, via fax o con raccomandata.

INFORMATIVA

La legge prevede che l’interessato debba ricevere determinate informazioni dal titolare al momento della raccolta dei dati che lo riguardano.
L’informativa deve permettere di conoscere:

  • le finalità e le modalità di raccolta dei dati e l'uso che se ne vuole fare;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati stessi;
  • i suoi diritti, quali riconosciuti dall’art. 7;
  • Il titolare e, se designati, il rappresentante nel territorio dello Stato e il responsabile del trattamento;

L’informativa può essere resa sia per iscritto che oralmente;

L'informativa non corretta o l'omissione di informativa si ripercuotono sul consenso, rendendolo invalido.

L'informativa è necessaria anche nei casi in cui non sia necessario il consenso.

CONSENSO

Il trattamento dei dati può essere effettuato solo col consenso dell’interessato; in particolare, il consenso dell’interessato è necessario qualora il trattamento sia effettuato per finalità di direct marketing o promozionali.

Il consenso è valido solo se è informato, ossia preceduto dall’informativa ed espresso liberamente.

Il consenso deve essere esplicito

Il consenso inoltre è strettamente personale (tranne che nei casi di rappresentanza legale) cioè non può essere prestato per il trattamento di dati relativi ad altri soggetti, anche se familiari, i quali devono esprimere il loro consenso personalmente.

MISURE DI SICUREZZA

Il titolare del trattamento deve adottare le misure minime di sicurezza di natura tecnica, informatica, organizzativa, logistica volte ad assicurare un livello minimo di protezione dei dati personali.

Si tratta di misure di custodia e di controllo dei dati che prevengono i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

IL NUOVO REGOLAMENTO EUROPEO

Il Parlamento Europeo, in data 14 Aprile 2016, ha approvato definitivamente, dopo un iter legislativo durato oltre quattro anni, il  “pacchetto protezione dati”, che si compone di due diversi strumenti:

- un nuovo Regolamento (“Nuovo Regolamento”) concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”

- Una nuova Direttiva (“Nuova Direttiva”) indirizzata alla “regolamentazione dei settori di prevenzione, contrasto e repressione dei crimini, nonché all’esecuzione delle sanzioni penali”

Il nuovo “pacchetto protezione dati” mira ad adeguare la protezione dei dati rispetto all’evoluzione tecnologica che ha determinato un aumento dei flussi transfrontalieri e, quindi, dei dati scambiati tra attori pubblici e privati, rendendo così necessari
da un lato, una più libera circolazione di dati all’interno dell’UE ma, dall’altro, un più elevato livello di protezione.

LE PRINCIPALI NOVITA’

AMBITO DI APPLICAZIONE TERRITORIALE
Una delle maggiori caratteristiche del Nuovo Regolamento è senz’altro il suo ambito di applicazione, che si pone in maniera innovativa sotto due profili:
a)modifica la concezione tradizionale del principio di stabilimento;
b) estende l’ambito di applicazione anche a titolari e responsabili di trattamento (“Titolari” e “Responsabili”) non residenti nell’UE.

NUOVI OBBLIGHI E RESPONSABILITA’
Il Nuovo Regolamento (ri)definisce le figure di Titolare e Responsabile attribuendo loro obblighi ulteriori rispetto a quanto previsto dall’attuale Direttiva 95/46 e dal Codice Privacy.

Con il Nuovo Regolamento il Titolare ha un ruolo più proattivo e obblighi più pregnanti, finalizzati non soltanto al formalistico rispetto delle regole, ma anche all’adozione di tutti gli accorgimenti tecnici e organizzativi necessari a garantire la compliance effettiva dei trattamenti, anche sotto il profilo della sicurezza.

ACCRESCIUTI OBBLIGHI DI TRASPARENZA (artt. 5 e 12)
Il Legislatore europeo richiede che le informazioni all’interessato:

  •  siano rese con un linguaggio semplice e chiaro, soprattutto nel caso di minori;
  • abbiano sempre forma scritta, l’informativa in forma orale essendo ammessa solo quando ciò è richiesto dall’interessato e l’identità di questi possa essere provata con altri mezzi;
  • prevedano, inter alia, (i) il periodo di conservazione dei dati personali, (ii) il diritto di proporre reclamo ad un’autorità di controllo, (iii) l’intenzione del titolare di trasferire dati personali a un paese terzo.

PRIVACY BY DESIGN E BY DEFAULT
(i) La privacy by design richiede che il Titolare adotti e attui misure tecniche e organizzative sin dal momento della progettazione oltre che nell’esecuzione del trattamento, che tutelino i principi di protezione dei dati.
(ii) La privacy by default presuppone invece, nella modalità operativa del trattamento, misure e tecniche che, per impostazione predefinita, garantiscano l’utilizzo dei soli dati personali necessari per ciascuna specifica finalità di trattamento.

DATA BREACH
Attualmente prevede solo i “fornitori di servizi di comunicazione elettronica accessibili al pubblico” hanno l’obbligo di comunicare l’avvenuta violazione di dati personali:
(i)al Garante per la protezione dei dati personali (“Garante”);
(ii) in determinati casi, anche al contraente/cliente.

Il Nuovo Regolamento estende tale obbligo di comunicazione a tutti i Titolari e Responsabili, quali che siano i trattamenti posti in essere.
È previsto inoltre un obbligo di comunicazione anche all’interessato, se la violazione è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
La finalità della norma in questione, è palesemente quella di consentire all’autorità di controllo di attivarsi senza ritardo in modo da valutare quale sia la gravità della violazione e quali misure imporre al Titolare.

VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI
Quando un determinato trattamento - tenuto conto dell’uso di nuove tecnologie e della sua natura, del contesto e delle finalità - può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il Titolare deve effettuare una valutazione d’impatto dello stesso sulla protezione dei dati (“Valutazione d’Impatto”).

La Valutazione d’Impatto deve contenere:
(i)una descrizione dei trattamenti previsti e delle finalità del trattamento;
(ii) una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
(iii) una valutazione per i rischi per i diritti e le libertà degli interessati e le misure previste per affrontare i rischi.

DIRITTO ALL’OBLIO
Il Nuovo Regolamento attua il riconoscimento su base legislativa del diritto all’oblio. In particolare, l’interessato ha diritto di chiedere che siano cancellati e non più sottoposti a trattamento i suoi dati personali

  • che non siano più necessari per le finalità per le quali sono stati raccolti;
  • quando abbia ritirato il consenso o si sia opposto al trattamento o il trattamento dei dati personali non sia altrimenti conforme al Nuovo Regolamento.

 

PORTABILITA’ DEI DATI

L’interessato ha il diritto di:

  • ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico, i dati che lo riguardano forniti al Titolare;
  • trasmettere i propri dati (ad esempio, quelli relativi al proprio “profilo utente”) da un Titolare (ad esempio un social network) ad un altro Titolare, senza impedimenti da parte di colui al quale sono stati forniti in precedenza.

ARMONIZZAZIONE
Il Legislatore europeo si è posto il problema dell’ipotesi in cui un medesimo trattamento di dati sia operato dallo stesso Titolare in più di un paese dell’UE, coinvolgendo cittadini europei di Stati diversi e perseguendo un’uniformità non solo formale ma anche sostanziale, attraverso l'individuazione di un’unica autorità di controllo (“Lead Authority”)

In questo modo, è possibile evitare che violazioni delle medesime norme del Nuovo Regolamento possano essere oggetto di ricorsi decisi diversamente a seconda dell’autorità di controllo di ciascun Paese.

LEGISLATORE NAZIONALE
Il Nuovo Regolamento consente agli Stati membri di mantenere o introdurre disposizioni più specifiche per adattare le disposizioni del Nuovo Regolamento, soprattutto con riferimento al trattamento di dati sensibili.

SANZIONI AMMINISTRATIVE (art. 83)
Il Nuovo Regolamento prevede che l’autorità di controllo abbia il potere di imporre sanzioni amministrative per un importo pecuniario massimo predeterminato, tenendo conto di determinati indici

ALTRE SANZIONI (art. 84)
Il Nuovo Regolamento prevede che saranno gli Stati membri a stabilire le norme relative alle altre sanzioni assicurandone la proporzionalità e l’efficacia dissuasiva.

 

 

Condividi 🙂

Autore: Max Pinzuti

Tel: 328 2354171

mail: info@emmepifinanziamenti.it

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

Questo sito utilizza i cookies per rendere l’esperienza di navigazione dell’utente più facile ed intuitiva. Utilizzando il sito ne accetti l'utilizzo. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi