Privacy

Il Giurista Statunitense Louis Brandeis definì, nel 1890, la Privacy come “The right to be let alone”, ovvero il diritto di ogni cittadino ad essere lasciato in pace.

Di cosa si tratta

Da questa prima definizione sino ai nostri giorni, l’evoluzione normativa internazionale ha portato significativi cambiamenti nella regolamentazione in materia privacy, senza però mai snaturare il concetto fondamentale che rimane alla base della sua filosofia.

Le finalità del D.lgs. 196/03, Codice in materia di protezione dei dati personali, in vigore dal 1 gennaio 2004, consistono nel riconoscimento del diritto del singolo sui propri dati personali e, conseguentemente, nella disciplina delle diverse operazioni di gestione (tecnicamente “trattamento”) dei dati, riguardanti la raccolta, l’elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi.

Il diritto sui propri dati è differente dal diritto alla riservatezza, in quanto non riguarda solamente informazioni inerenti la propria vita privata, ma si estende in generale a qualunque informazione relativa ad una persona, anche se non coperta da riserbo (sono dati personali ad esempio il nome o l’indirizzo della propria abitazione).

Lo scopo della legge non è quello di impedire il trattamento dei dati, ma di evitare che questo avvenisse contro la volontà dell’avente diritto, ovvero secondo modalità pregiudizievoli. Infatti il testo unico definiva i diritti degli interessati, la modalità di raccolta e i requisiti dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e sanzioni in caso di danni.

Il 25 maggio del 2018 è entrato in vigore il “Regolamento Generale sulla Protezione dei dati” (GDPR), ufficialmente Regolamento Europeo 679/2016, in materia di trattamento di dati personali e di privacy.

Di conseguenza, il 19 settembre 2018 è entrato in vigore il Decreto legislativo 10 agosto 2018, n. 101 per adeguare la normativa nazionale secondo il nuovo Regolamento.

Il Nuovo Regolamento GDPR ha efficacia per tutti i trattamenti di dati che vengono effettuati all’interno dell’Unione Europea e nei casi in cui l’interessato sia cittadino europeo.

Le principali novità riguardano:

PRINCIPIO DELL’ACCOUNTABILITY

Il Regolamento pone l’accento sulla “responsabilizzazione” di titolari e responsabili, ovvero sull’adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l’applicazione del regolamento. Viene, pertanto, affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali. 

DATA PROTECTION BY DEFAULT E BY DESIGN : con tale criterio si prevede che il trattamento dei dati sia “pensato” fin dall’inizio come idoneo a garantire la tutela dei diritti degli interessati, tenendo conto del contesto complessivo in cui si colloca e dei rischi e dei diritti degli interessati. Viene, pertanto, richiesta  un’analisi preventiva ed un impegno applicativo da parte dei titolari che devono  sostanziarsi in una serie di attività specifiche e dimostrabili. 

REGISTRO DEI TRATTAMENTI: strumento fondamentale sia per la supervisione da parte del Garante che per disporre di un quadro aggiornato dei trattamenti all’interno dell’azienda, indispensabile per ogni valutazione e analisi del rischio. La tenuta del registro dei trattamenti non costituisce un adempimento formale ma è parte integrante di un sistema di corretta gestione dei dati personali. 

MISURE DI SICUREZZA: già presenti nel Codice della Privacy (art.33) tra gli obblighi generalizzati di adozione di misure “minime”, le “nuove” misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” 

DATA PROTECTION OFFICER, OVVERO, RESPONSABILE DELLA PROTEZIONE DEI DATIfigura al centro di questo nuovo quadro giuridico in molti ambiti, che saranno chiamati a facilitare l’osservanza delle disposizioni del GDPR La sua designazione è obbligatoria in alcuni casi specifici; il regolamento ne tratteggia le caratteristiche soggettived oggettive richiedendogli indipendenza, autorevolezza, competenze manageriali ed autonomia. 

DIRITTI DEGLI INTERESSATIsono stabiliti nello specifico i singoli diritti degli interessati sui propri dati ed il loro utilizzo ed agli stessi sono specificamente riconosciuti il diritto di accesso, il diritto di cancellazione (diritto all’oblio), il diritto di limitazione del trattamento, e il diritto alla portabilità dei dati. 

DATA BREACH: consiste in una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’Autorità di controllo competente senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

Il servizio del Gruppo Remark

Nemmeno in questo caso contraddice la propria natura affrontando la normativa in oggetto in maniera dinamica e professionale attraverso un servizio di assistenza outsourcing.

  • Attività di aggiornamento del documento programmatico sulla sicurezza entro il 31 marzo di ogni anno;
  • Attività di aggiornamento ogni qual volta vi siano modifiche normative e/o mutamenti aziendali;
  • Assistenza in caso di richieste esterne di accesso ai dati personali;
  • Segnalazione dei più significativi provvedimenti giurisprudenziali e, in genere, monitoraggio dell’evoluzione giurisprudenziale;
  • Consultazioni telefoniche;
  • Assistenza straordinaria in caso di sanzioni comminate dall’Autorità Garante, relative al trattamento dei dati personali.

Sanzioni

Il sistema sanzionatorio introdotto dal GDPR si basa esclusivamente su sanzioni amministrative pecuniarie. L’apparato introdotto dal Regolamento suddivide le violazioni in due gruppi, coincidenti con illeciti più o meno gravi. In riferimento a tali gruppi sono individuati esclusivamente i tetti sanzionatori massimi, ovvero per le violazioni più lievi 10 milioni di euro o il 2% del fatturato annuo mondiale di gruppo; per le sanzioni più gravi 20 milioni di euro o il 4% del fatturato annuo mondiale di gruppo. Tra i due criteri si apolica la cifra che risulta più alta. 

Riferimenti Normativi

La legislazione sulla privacy in Italia è attualmente contenuta nella Costituzione (articoli 15 e 21), nel Codice penale (Capo III – Sezione IV) e nel Decreto legislativo 30 giugno 2003, n. 196, intitolato Codice in materia di protezione dei dati personali e noto anche come Testo unico sulla privacy. Il D.Lgs 196/2003 abroga la precedente legge 675/96, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, che era stata introdotta per rispettare gli Accordi di Schengen ed era entrata in vigore nel maggio 1997. Con il tempo a tale norma si erano affiancate ulteriori diverse disposizioni, riguardanti singoli specifici aspetti del trattamento dei dati, che sono state riassunte nel Testo Unico vigente, entrato in vigore il 1º gennaio 2004. Sull’applicazione della normativa vigila l’Autorità Garante per la protezione dei dati personali, istituita dalla L. 675/1996 e confermata dal Testo Unico del 2003.

Il D.Lgs. 101/2018 (cosiddetto “decreto privacy”) che recepisce formalmente il GDPR nella normativa italiana, in vigore dal 19 settembre 2018, da alcuni definito nuova privacy, ha novellato profondamente il codice 196 che, comunque, è in corso di validità per gli specifici articoli non esplicitamente abrogati dal detto decreto. Infatti, il comma 6 dell’art. 22 recita:

“Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 e a quelle introdotte o modificate dal presente decreto, in quanto compatibili.”

 

Contattaci

Condividi su: