Vai al contenuto principale
TiConsiglio

Riassunto · 3997 Assistenti Economici – RIPAM

Sintesi — Trattamento dati

Contenuto generato con AI e revisionato dalla redazione. Può contenere imprecisioni: ha finalità di studio e autovalutazione, non sostituisce i materiali ufficiali del concorso.

Introduzione: Il Diritto alla Protezione dei Dati Personali

La protezione delle persone fisiche in relazione al trattamento dei dati di carattere personale è riconosciuta come un diritto fondamentale. Si tratta del diritto soggettivo a costruire liberamente e difendere la propria sfera privata attraverso il riconoscimento del potere di controllare l'uso che gli altri fanno delle informazioni che riguardano il singolo individuo.

Tale tutela deve essere bilanciata con il principio di trasparenza degli atti e delle informazioni della Pubblica Amministrazione, che coinvolge spesso anche soggetti privati, anche alla luce della generalizzata accessibilità alle informazioni del settore pubblico garantita dal D.Lgs. 33/2013 mediante la pubblicazione dei dati sul web.

Sul piano evolutivo, un primo processo di codificazione ha condotto all'emanazione del D.Lgs. 30-6-2003, n. 196 (Codice in materia di protezione dei dati personali). L'adozione del Regolamento (UE) 2016/679 del 27-4-2016 (GDPR — General Data Protection Regulation), le cui disposizioni sono divenute vincolanti dal 25 maggio 2018, ha reso necessaria una profonda revisione del Codice, attuata con il D.Lgs. 10-8-2018, n. 101. Ne consegue che, ai sensi dell'art. 2 del D.Lgs. 196/2003 come modificato, il trattamento dei dati personali avviene secondo le norme del Regolamento (UE) 2016/679 e del Codice:

«nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona».

Come chiarisce l'art. 1 del Regolamento, cui il Codice rinvia, la finalità della disciplina è la protezione dei diritti e delle libertà fondamentali delle persone fisiche, con particolare riguardo al diritto alla protezione dei dati personali. La tutela opera esclusivamente a favore delle persone fisiche, a prescindere da nazionalità o luogo di residenza, e non riguarda le persone giuridiche, incluse le imprese dotate di personalità giuridica, il loro nome, la forma giuridica e i dati di contatto.

Ambito di Applicazione Oggettivo e Territoriale

La disciplina dell'ambito applicativo è interamente dettata dagli artt. 2 e 3 del Regolamento (UE) 2016/679.

Ambito Oggettivo

Il Regolamento si applica al trattamento, interamente o parzialmente automatizzato, di dati personali, nonché al trattamento non automatizzato di dati contenuti in un archivio o destinati a figurarvi. L'archivio è definito come qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dalla sua eventuale centralizzazione, decentralizzazione o ripartizione funzionale.

L'art. 2 del Regolamento elenca tassativamente i trattamenti esclusi dalla sua sfera:

Ambito Territoriale

Sotto il profilo territoriale (art. 3 Regolamento), la principale novità rispetto alla disciplina previgente è l'ampliamento dell'ambito europeo di applicazione: le prescrizioni del Regolamento si applicano ogniqualvolta un soggetto stabilito fuori dall'Unione Europea tratti dati di persone che si trovano nell'UE al fine di offrire loro beni e/o servizi o di monitorarne il comportamento. Questo consente di estendere la giurisdizione del GDPR a operatori extra-europei che interagiscono con residenti nell'Unione.

Definizioni Chiave nel Trattamento dei Dati

L'art. 4 del Regolamento (UE) 2016/679 fornisce le definizioni essenziali della disciplina. Le principali sono richiamate di seguito come citazioni normative dirette.

Dati personali

Qualsiasi informazione riguardante una persona fisica identificata o identificabile.

Trattamento (art. 4, n. 2 Reg.)

«qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione».

Profilazione (art. 4, n. 4 Reg.)

«qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica».

Pseudonimizzazione (art. 4, n. 5 Reg.)

«il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile».

Archivio (art. 4, n. 6 Reg.)

«qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico».

Titolare del trattamento (art. 4, n. 7 Reg.)

«la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri».

Responsabile del trattamento (art. 4, n. 8 Reg.)

«la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento».

Destinatario (art. 4, n. 9 Reg.)

«la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che riceve comunicazioni di dati personali, che si tratti o meno di terzi».

Terzo (art. 4, n. 10 Reg.)

«la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile».

Principi Fondamentali del Trattamento dei Dati (Art. 5 Reg.)

Il Regolamento (UE) 2016/679, all'art. 5, enuncia un insieme di principi che devono orientare ogni attività di trattamento. Il D.Lgs. 101/2018 li ha recepiti nel Codice della privacy attraverso gli articoli da 2-ter a 2-decies.

Focus didattico: Il principio di accountability è uno dei pilastri del GDPR e un concetto frequentemente oggetto di quesiti. Sottolinea la proattività del titolare nel garantire e dimostrare la conformità.

Le Basi Giuridiche del Trattamento: Il Consenso e Altre Condizioni di Liceità

La liceità del trattamento è un requisito fondamentale fissato dall'art. 6 del Regolamento. Tra le diverse basi giuridiche che lo legittimano, il consenso dell'interessato riveste un ruolo centrale.

Il Consenso dell'Interessato: Definizione e Requisiti

L'art. 4 del Regolamento definisce il consenso come:

«qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento».

Presupposto indefettibile è che chi conferisce il consenso abbia la capacità di agire per farlo.

Perché il consenso sia valido deve essere:

Consenso e categorie di dati

Il combinato disposto del Regolamento e del Codice della privacy riformato stabilisce che:

Diritti dell'Interessato

Il Regolamento (UE) 2016/679 attribuisce agli interessati, negli artt. da 15 a 22, un'ampia serie di diritti esercitabili direttamente nei confronti del titolare del trattamento.

Titolare e Responsabile del Trattamento

La normativa delinea con precisione due figure chiave nella catena del trattamento, attribuendo loro ruoli e responsabilità ben distinti.

Il Titolare del Trattamento

Il titolare del trattamento è il soggetto che decide perché e come i dati vengono trattati (art. 4, n. 7 Reg.). Non è chi materialmente gestisce i dati, bensì chi ne determina le finalità e i mezzi, rispondendo giuridicamente dell'adempimento degli obblighi normativi, inclusa la notifica al Garante nei casi previsti. Egli è tenuto fin dalla fase progettuale ad adottare misure tecniche e organizzative adeguate (data protection by design e by default) e a dimostrarne l'efficacia. Deve inoltre garantire che i dati non siano persi, alterati, distrutti o trattati illecitamente.

Quando due o più titolari determinano congiuntamente finalità e mezzi del trattamento, sono contitolari (art. 26 Reg.) e devono stabilire tramite accordo interno le rispettive responsabilità, con particolare attenzione ai diritti dell'interessato e alle modalità di comunicazione delle informazioni.

Il Responsabile del Trattamento

Il responsabile del trattamento (data processor) è il soggetto che elabora i dati per conto del titolare, su sue istruzioni. Deve fornire garanzie sufficienti a assicurare il pieno rispetto della normativa e la tutela dei diritti degli interessati. Il rapporto tra titolare e responsabile va regolato da un contratto scritto o altro atto giuridico che indichi materia, durata, natura e finalità del trattamento, tipo di dati e categorie di interessati, obblighi e diritti del titolare. Il responsabile non può sub-affidare il trattamento a un altro soggetto senza previa autorizzazione scritta del titolare.

Il Registro delle Attività di Trattamento

Titolari e responsabili sono obbligati a tenere un registro delle attività di trattamento svolte sotto la propria responsabilità (art. 30 Reg.), in forma scritta anche elettronica, da esibire su richiesta al Garante. È lo strumento che consente di fare il punto sui trattamenti in essere, individuare eventuali rischi per i diritti e le libertà degli interessati e dimostrare la conformità alla normativa. Per le organizzazioni con meno di 250 dipendenti l'obbligo è escluso, salvo che il trattamento comporti rischi per gli interessati, non sia occasionale o riguardi categorie particolari di dati o dati relativi a condanne penali e reati.

Il DPO (Data Protection Officer)

Il Responsabile della Protezione dei Dati (DPO — Data Protection Officer) è la figura professionale, disciplinata dall'art. 37 del Regolamento, incaricata di assistere il titolare o il responsabile nell'osservanza della normativa sulla protezione dei dati. Deve possedere competenze giuridiche, informatiche e gestionali specialistiche.

Quando è Obbligatorio

La designazione è obbligatoria in tre situazioni:

Compiti specifici del DPO

Garanzie di indipendenza del DPO

Il Regolamento garantisce l'indipendenza del DPO stabilendo che:

L'Autorità di controllo: Garante per la protezione dei dati personali

Il Garante per la protezione dei dati personali è l'autorità amministrativa indipendente italiana preposta a vigilare sull'applicazione della normativa in materia. È individuato dall'art. 153 del Codice della privacy (introdotto dal D.Lgs. 101/2018). Gli artt. 51 e seguenti del Regolamento disciplinano le autorità di controllo degli Stati membri, attribuendo loro poteri istruttori, correttivi, autorizzativi e consultivi.

Composizione e durata del mandato

Il Garante è composto da quattro membri: due eletti dalla Camera dei deputati e due dal Senato della Repubblica. Il mandato dura sette anni e non è rinnovabile, a garanzia di autonomia e imparzialità.

Poteri correttivi e sanzionatori

Il Garante dispone di ampi poteri applicativi:

Funzione consultiva

Il Garante svolge anche funzione consultiva, esprimendo pareri su proposte legislative o regolamentari in materia di protezione dei dati e adottando linee guida non vincolanti sulle misure tecniche e organizzative di attuazione del Regolamento (art. 154-bis del Codice della privacy).

Misure di sicurezza e Data Breach

Titolari e responsabili sono tenuti ad adottare misure tecniche e organizzative proporzionate al rischio, volte a garantire riservatezza, integrità, disponibilità e resilienza dei sistemi di trattamento, nonché a testarne e verificarne regolarmente l'efficacia.

In caso di violazione dei dati personali (data breach), la normativa impone obblighi specifici:

Trasferimento dati verso paesi terzi

Il trasferimento di dati personali verso paesi al di fuori dell'Unione Europea o dello Spazio Economico Europeo è consentito solo in presenza di garanzie adeguate. I principali strumenti sono:

Trappole tipiche da quiz a risposta multipla

Per affrontare con successo i quesiti sulla protezione dei dati occorre padroneggiare alcune distinzioni chiave:

← Tutti i riassunti per questo concorso