Introduzione: Il Diritto alla Protezione dei Dati Personali
La protezione delle persone fisiche in relazione al trattamento dei dati di carattere personale è riconosciuta come un diritto fondamentale. Si tratta del diritto soggettivo a costruire liberamente e difendere la propria sfera privata attraverso il riconoscimento del potere di controllare l'uso che gli altri fanno delle informazioni che riguardano il singolo individuo.
Tale tutela deve essere bilanciata con il principio di trasparenza degli atti e delle informazioni della Pubblica Amministrazione, che coinvolge spesso anche soggetti privati, anche alla luce della generalizzata accessibilità alle informazioni del settore pubblico garantita dal D.Lgs. 33/2013 mediante la pubblicazione dei dati sul web.
Sul piano evolutivo, un primo processo di codificazione ha condotto all'emanazione del D.Lgs. 30-6-2003, n. 196 (Codice in materia di protezione dei dati personali). L'adozione del Regolamento (UE) 2016/679 del 27-4-2016 (GDPR — General Data Protection Regulation), le cui disposizioni sono divenute vincolanti dal 25 maggio 2018, ha reso necessaria una profonda revisione del Codice, attuata con il D.Lgs. 10-8-2018, n. 101. Ne consegue che, ai sensi dell'art. 2 del D.Lgs. 196/2003 come modificato, il trattamento dei dati personali avviene secondo le norme del Regolamento (UE) 2016/679 e del Codice:
«nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona».
Come chiarisce l'art. 1 del Regolamento, cui il Codice rinvia, la finalità della disciplina è la protezione dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riguardo al diritto alla protezione dei dati personali. La tutela opera esclusivamente a favore delle persone fisiche, a prescindere da nazionalità o luogo di residenza, e non riguarda le persone giuridiche, incluse le imprese dotate di personalità giuridica, il loro nome, la forma giuridica e i dati di contatto.
Ambito di Applicazione Oggettivo e Territoriale
La disciplina dell'ambito applicativo è interamente dettata dagli artt. 2 e 3 del Regolamento (UE) 2016/679.
Ambito Oggettivo
Il Regolamento si applica al trattamento, interamente o parzialmente automatizzato, di dati personali, nonché al trattamento non automatizzato di dati contenuti in un archivio o destinati a figurarvi. L'archivio è definito come qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dalla sua eventuale centralizzazione, decentralizzazione o ripartizione funzionale.
L'art. 2 del Regolamento elenca tassativamente i trattamenti esclusi dalla sua sfera:
- quelli effettuati dagli Stati membri nell'esercizio di attività relative alla politica estera e alla sicurezza comune;
- quelli effettuati «dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali» (art. 2, par. 2, lett. d, Reg.; disciplinati dal D.Lgs. 51/2018);
- quelli effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico.
Ambito Territoriale
Sotto il profilo territoriale (art. 3 Regolamento), la principale novità rispetto alla disciplina previgente è l'ampliamento dell'ambito europeo di applicazione: le prescrizioni del Regolamento si applicano ogniqualvolta un soggetto stabilito fuori dall'Unione Europea tratti dati di persone che si trovano nell'UE al fine di offrire loro beni e/o servizi o di monitorarne il comportamento. Questo consente di estendere la giurisdizione del GDPR a operatori extra-europei che interagiscono con residenti nell'Unione.
Definizioni Chiave nel Trattamento dei Dati
L'art. 4 del Regolamento (UE) 2016/679 fornisce le definizioni essenziali della disciplina. Le principali sono richiamate di seguito come citazioni normative dirette.
Dati personali
Qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Trattamento (art. 4, n. 2 Reg.)
«qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione».
Profilazione (art. 4, n. 4 Reg.)
«qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica».
Pseudonimizzazione (art. 4, n. 5 Reg.)
«il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».
Archivio (art. 4, n. 6 Reg.)
«qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico».
Titolare del trattamento (art. 4, n. 7 Reg.)
«la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri».
Responsabile del trattamento (art. 4, n. 8 Reg.)
«la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».
Destinatario (art. 4, n. 9 Reg.)
«la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che riceve comunicazioni di dati personali, che si tratti o meno di terzi».
Terzo (art. 4, n. 10 Reg.)
«la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile».
Principi Fondamentali del Trattamento dei Dati (Art. 5 Reg.)
Il Regolamento (UE) 2016/679, all'art. 5, enuncia un insieme di principi che devono orientare ogni attività di trattamento. Il D.Lgs. 101/2018 li ha recepiti nel Codice della privacy attraverso gli articoli da 2-ter a 2-decies.
- Liceità, correttezza e trasparenza: I dati devono essere trattati in modo lecito, corretto e trasparente. La liceità si fonda sulle condizioni enumerate nell'art. 6 del Regolamento (consenso, esecuzione di contratto, obbligo legale, interessi vitali, compito di interesse pubblico, legittimo interesse del titolare). La trasparenza richiede che gli scopi siano chiaramente determinati e che le informazioni sul trattamento siano facilmente accessibili e comprensibili per l'interessato.
- Limitazione delle finalità: I dati devono essere raccolti per finalità determinate, esplicite e legittime, e i trattamenti successivi devono risultare compatibili con tali finalità originarie.
- Minimizzazione dei dati: I dati trattati devono essere sempre adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite (c.d. principio di essenzialità).
- Esattezza: I dati devono essere esatti e aggiornati; quelli inesatti vanno cancellati o rettificati senza indugio.
- Limitazione della conservazione: I dati sono conservati in forma identificativa solo per il tempo strettamente necessario al conseguimento delle finalità. Periodi più lunghi sono consentiti esclusivamente per:
«finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici» (art. 5, par. 1, lett. e, Reg.)
con l'adozione di adeguate misure di protezione. - Integrità e riservatezza: Il trattamento deve garantire sicurezza adeguata, mediante misure tecniche e organizzative idonee a proteggere i dati da accessi non autorizzati, illeciti, perdita accidentale o distruzione.
- Responsabilizzazione (accountability): Il titolare deve essere in grado di dimostrare di aver adottato tutte le misure giuridiche, organizzative e tecniche necessarie per la protezione dei dati, anche tramite appositi modelli organizzativi, e che i trattamenti effettuati risultino conformi al Regolamento.
Focus didattico: Il principio di accountability è uno dei pilastri del GDPR e un concetto frequentemente oggetto di quesiti. Sottolinea la proattività del titolare nel garantire e dimostrare la conformità.
Le Basi Giuridiche del Trattamento: Il Consenso e Altre Condizioni di Liceità
La liceità del trattamento è un requisito fondamentale fissato dall'art. 6 del Regolamento. Tra le diverse basi giuridiche che lo legittimano, il consenso dell'interessato riveste un ruolo centrale.
Il Consenso dell'Interessato: Definizione e Requisiti
L'art. 4 del Regolamento definisce il consenso come:
«qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».
Presupposto indefettibile è che chi conferisce il consenso abbia la capacità di agire per farlo.
Perché il consenso sia valido deve essere:
- Inequivocabile: non devono sussistere dubbi sulla volontà dell'interessato; può essere implicito (ma non tacito) tramite comportamento concludente. Deve essere invece esplicito, ai sensi dell'art. 9 del Regolamento, nel caso di trattamento di categorie particolari di dati o in presenza di processi decisionali automatizzati, inclusa la profilazione.
- Libero: l'interessato deve poter operare una scelta effettiva, senza subire intimidazioni o raggiri.
- Specifico: deve riferirsi alla singola finalità per la quale è richiesto; in presenza di più finalità, il consenso deve essere prestato separatamente per ciascuna.
- Informato: l'interessato deve essere posto nelle condizioni di conoscere quali dati sono trattati, con quali modalità e finalità, i diritti che gli spettano e le conseguenze del consenso prestato.
- Verificabile: deve potersi dimostrare che l'interessato lo ha conferito con riferimento a quello specifico trattamento.
- Revocabile in qualsiasi momento: a seguito della revoca, che non deve essere motivata, il trattamento deve cessare, salvo che non ricorra un'altra base giuridica. La revoca del consenso può fondare la richiesta di cancellazione (art. 17 GDPR) solo se non sussiste un'altra base giuridica che legittimi la prosecuzione del trattamento.
Consenso e categorie di dati
Il combinato disposto del Regolamento e del Codice della privacy riformato stabilisce che:
- per i dati personali comuni (diversi da quelli particolari di cui all'art. 9), il consenso è una delle condizioni che rendono lecito il trattamento;
- per i dati particolari, il consenso esplicito è condizione sufficiente, ma non necessaria se ricorrono altre condizioni previste dall'art. 9, par. 2.
- Con riguardo specifico ai dati relativi alla salute, il presupposto di liceità è costituito da esigenze di medicina preventiva, di diagnosi o da motivi di interesse pubblico nel settore sanitario; in tal caso il consenso non è richiesto, ma il Garante può fissare misure di garanzia ai sensi dell'art. 2-septies del Codice.
Diritti dell'Interessato
Il Regolamento (UE) 2016/679 attribuisce agli interessati, negli artt. da 15 a 22, un'ampia serie di diritti esercitabili direttamente nei confronti del titolare del trattamento.
- Diritto di accesso (art. 15): L'interessato può ottenere la conferma che sia o meno in corso un trattamento dei propri dati e, in caso positivo, accedere agli stessi nonché conoscere finalità, destinatari, periodo di conservazione e l'esistenza degli altri diritti previsti dal Regolamento.
- Diritto di rettifica (art. 16): L'interessato può richiedere la rettifica dei dati inesatti o l'integrazione di quelli incompleti, senza ingiustificato ritardo.
- Diritto alla cancellazione o all'oblio (art. 17): L'interessato può chiedere la cancellazione dei propri dati quando sia venuta meno la necessità del trattamento rispetto alle finalità originarie, in caso di revoca del consenso, di opposizione al trattamento o di illiceità dello stesso. Il diritto non è esercitabile qualora il trattamento sia necessario, tra l'altro, per l'esercizio del diritto di espressione e di informazione, per adempiere a un obbligo legale o per la difesa di un diritto in sede giudiziaria. La L. 7 dicembre 2023, n. 193 ha codificato il diritto all'oblio oncologico, che tutela le persone guarite da patologie oncologiche dal dover fornire informazioni sulla pregressa condizione.
- Diritto di limitazione del trattamento (art. 18): L'interessato può chiedere la limitazione del trattamento nelle ipotesi di violazione dei presupposti di liceità (quale alternativa alla cancellazione), in attesa della rettifica richiesta, o in attesa che il titolare valuti un'eventuale opposizione ai sensi dell'art. 21.
- Diritto alla portabilità dei dati (art. 20): L'interessato ha il diritto di ricevere in formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati forniti al titolare, e di trasmetterli a un altro titolare. Il diritto opera sui dati trattati sulla base del consenso o di un contratto, forniti consapevolmente e attivamente dall'interessato.
- Diritto di opposizione (art. 21): L'interessato può opporsi in qualsiasi momento, per motivi connessi alla propria situazione particolare, al trattamento dei dati personali che lo riguardano fondato sull'interesse pubblico o legittimo del titolare, inclusa la profilazione. Il titolare cessa il trattamento salvo provi l'esistenza di motivi cogenti che prevalgono sugli interessi dell'interessato, oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. Il diritto di opposizione al marketing diretto è assoluto.
Titolare e Responsabile del Trattamento
La normativa delinea con precisione due figure chiave nella catena del trattamento, attribuendo loro ruoli e responsabilità ben distinti.
Il Titolare del Trattamento
Il titolare del trattamento è il soggetto che decide perché e come i dati vengono trattati (art. 4, n. 7 Reg.). Non è chi materialmente gestisce i dati, bensì chi ne determina le finalità e i mezzi, rispondendo giuridicamente dell'adempimento degli obblighi normativi, inclusa la notifica al Garante nei casi previsti. Egli è tenuto fin dalla fase progettuale ad adottare misure tecniche e organizzative adeguate (data protection by design e by default) e a dimostrarne l'efficacia. Deve inoltre garantire che i dati non siano persi, alterati, distrutti o trattati illecitamente.
Quando due o più titolari determinano congiuntamente finalità e mezzi del trattamento, sono contitolari (art. 26 Reg.) e devono stabilire tramite accordo interno le rispettive responsabilità, con particolare attenzione ai diritti dell'interessato e alle modalità di comunicazione delle informazioni.
Il Responsabile del Trattamento
Il responsabile del trattamento (data processor) è il soggetto che elabora i dati per conto del titolare, su sue istruzioni. Deve fornire garanzie sufficienti a assicurare il pieno rispetto della normativa e la tutela dei diritti degli interessati. Il rapporto tra titolare e responsabile va regolato da un contratto scritto o altro atto giuridico che indichi materia, durata, natura e finalità del trattamento, tipo di dati e categorie di interessati, obblighi e diritti del titolare. Il responsabile non può sub-affidare il trattamento a un altro soggetto senza previa autorizzazione scritta del titolare.
Il Registro delle Attività di Trattamento
Titolari e responsabili sono obbligati a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30 Reg.), in forma scritta anche elettronica, da esibire su richiesta al Garante. È lo strumento che consente di fare il punto sui trattamenti in essere, individuare eventuali rischi per i diritti e le libertà degli interessati e dimostrare la conformità alla normativa. Per le organizzazioni con meno di 250 dipendenti l'obbligo è escluso, salvo che il trattamento comporti rischi per gli interessati, non sia occasionale o riguardi categorie particolari di dati o dati relativi a condanne penali e reati.
Il DPO (Data Protection Officer)
Il Responsabile della Protezione dei Dati (DPO — Data Protection Officer) è la figura professionale, disciplinata dall'art. 37 del Regolamento, incaricata di assistere il titolare o il responsabile nell'osservanza della normativa sulla protezione dei dati. Deve possedere competenze giuridiche, informatiche e gestionali specialistiche.
Quando è Obbligatorio
La designazione è obbligatoria in tre situazioni:
- trattamenti svolti da autorità o organismi pubblici (ad eccezione delle autorità giurisdizionali nell'esercizio delle loro funzioni tipiche);
- trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- trattamenti su larga scala di categorie particolari di dati (art. 9 Reg.) o di dati relativi a condanne penali e reati (art. 10 Reg.).
Compiti specifici del DPO
- Informare e fornire consulenza al titolare, al responsabile e al personale che esegue il trattamento in merito agli obblighi derivanti dalla normativa.
- Sorvegliare la conformità al Regolamento e alle politiche interne in materia di protezione dei dati, inclusa la formazione e la sensibilizzazione del personale.
- Cooperare con il Garante, fungendo da punto di contatto per le questioni relative al trattamento e alla consultazione preventiva.
- Essere il riferimento per gli interessati per l'esercizio dei diritti previsti dal Regolamento.
Garanzie di indipendenza del DPO
Il Regolamento garantisce l'indipendenza del DPO stabilendo che:
- non riceve istruzioni circa l'esecuzione dei suoi compiti;
- riferisce direttamente al vertice gerarchico del titolare o del responsabile;
- non può essere rimosso o penalizzato per l'adempimento dei propri compiti;
- deve disporre delle risorse necessarie per assolvere le sue funzioni e mantenere la propria conoscenza specialistica.
L'Autorità di controllo: Garante per la protezione dei dati personali
Il Garante per la protezione dei dati personali è l'autorità amministrativa indipendente italiana preposta a vigilare sull'applicazione della normativa in materia. È individuato dall'art. 153 del Codice della privacy (introdotto dal D.Lgs. 101/2018). Gli artt. 51 e seguenti del Regolamento disciplinano le autorità di controllo degli Stati membri, attribuendo loro poteri istruttori, correttivi, autorizzativi e consultivi.
Composizione e durata del mandato
Il Garante è composto da quattro membri: due eletti dalla Camera dei deputati e due dal Senato della Repubblica. Il mandato dura sette anni e non è rinnovabile, a garanzia di autonomia e imparzialità.
Poteri correttivi e sanzionatori
Il Garante dispone di ampi poteri applicativi:
- Sanzioni amministrative pecuniarie (art. 83 Reg.):
- Fino a 10 milioni di euro o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente (se superiore), per violazioni meno gravi (es. art. 83, par. 4, relative a certificazione e codici di condotta).
- Fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente (se superiore), per violazioni più gravi (es. art. 83, par. 5, relative ai principi base del trattamento, ai diritti degli interessati, ai trasferimenti di dati).
- Provvedimenti limitativi: il Garante può imporre la limitazione o il divieto temporaneo o definitivo del trattamento, nonché la sospensione dei flussi di dati verso un destinatario.
- Altri poteri: può ammonire, richiamare, ordinare la rettifica o la cancellazione dei dati, e notificare la violazione agli interessati.
Funzione consultiva
Il Garante svolge anche funzione consultiva, esprimendo pareri su proposte legislative o regolamentari in materia di protezione dei dati e adottando linee guida non vincolanti sulle misure tecniche e organizzative di attuazione del Regolamento (art. 154-bis del Codice della privacy).
Misure di sicurezza e Data Breach
Titolari e responsabili sono tenuti ad adottare misure tecniche e organizzative proporzionate al rischio, volte a garantire riservatezza, integrità, disponibilità e resilienza dei sistemi di trattamento, nonché a testarne e verificarne regolarmente l'efficacia.
In caso di violazione dei dati personali (data breach), la normativa impone obblighi specifici:
- Notifica al Garante: se la violazione può comportare un rischio per i diritti e le libertà delle persone fisiche, il titolare deve notificarla al Garante entro 72 ore dalla scoperta.
- Comunicazione agli interessati: quando la violazione presenta un rischio elevato, il titolare deve informare gli interessati senza ingiustificato ritardo. La comunicazione è omessa se le misure adottate (es. cifratura) rendono i dati incomprensibili a chi non è autorizzato.
- Pseudonimizzazione e cifratura sono strumenti raccomandati: riducono il rischio associato al trattamento e, in caso di violazione, possono rendere superflua la comunicazione agli interessati.
Trasferimento dati verso paesi terzi
Il trasferimento di dati personali verso paesi al di fuori dell'Unione Europea o dello Spazio Economico Europeo è consentito solo in presenza di garanzie adeguate. I principali strumenti sono:
- Decisioni di adeguatezza: quando la Commissione Europea riconosce che un paese terzo offre un livello di protezione equivalente a quello dell'UE, i trasferimenti verso tale paese avvengono senza ulteriori autorizzazioni.
- Clausole standard di protezione dei dati (SCC): modelli contrattuali approvati dalla Commissione Europea che esportatore e importatore di dati possono inserire nei propri accordi per garantire la protezione adeguata.
- Regole vincolanti d'impresa (BCR — Binding Corporate Rules): politiche interne di protezione dei dati approvate dall'autorità di controllo, adottate da gruppi multinazionali per i trasferimenti intra-gruppo.
Trappole tipiche da quiz a risposta multipla
Per affrontare con successo i quesiti sulla protezione dei dati occorre padroneggiare alcune distinzioni chiave:
- Notifica al Garante (72 ore) vs. comunicazione agli interessati (senza ingiustificato ritardo): la notifica al Garante ha un termine fisso dalla scoperta della violazione (se c'è rischio), mentre la comunicazione agli interessati scatta solo in presenza di un rischio elevato e non ha un termine numerico fisso.
- Consenso e dati particolari: per i dati particolari il consenso deve essere esplicito; per i dati comuni è sufficiente un consenso inequivocabile (anche implicito).
- Titolare vs. responsabile: il titolare decide finalità e mezzi (risponde giuridicamente); il responsabile tratta i dati su incarico e istruzioni del titolare.
- DPO obbligatorio: ricordare i tre casi (P.A., monitoraggio sistematico su larga scala, trattamento su larga scala di dati particolari o penali).
- Sanzioni GDPR: 2% o 10 mln per violazioni "minori"; 4% o 20 mln per violazioni "gravi" (principi base, diritti degli interessati, trasferimenti).