Tutela della privacy (2)

La tutela della privacy e il trattamento dei dati personali

Il diritto alla protezione dei dati personali è riconosciuto dal Codice della privacy (96/2003), integrato dalle disposizioni del Regolamento UE n. 679/2016, che ha creato un complesso normativo comune a tutti i Paesi dell'UE. I dati personali di un soggetto sono tutte le notizie che lo rendono facilmente identificabile, facendone conoscere abitudini, condizioni personali, stili di vita, relazioni personali e familiari, condizioni economiche e di salute. Alcuni di questi dati sono particolarmente importanti e, se divulgati, possono danneggiare l'immagine, la dignità e la libertà del soggetto. I dati personali possono essere classificati in:
● identificativi del soggetto (nome, cognome, immagine, voce)
● sensibili (origine razziale, alle opinioni politiche, religione, orientamento sessuale, stato di salute)
● giudiziari (provvedimenti o procedimenti a carico del soggetto, processi, condanne).
Chiunque detenga dati personali di un soggetto ha l'obbligo di evitare che una loro diffusione possa nuocere ai soggetti interessati. È inoltre prevista la tenuta del registro delle attività di trattamento. Il trattamento dei dati consiste nelle attività di raccolta, registrazione, conservazione, comunicazione, cancellazione, distruzione, diffusione dei dati personali. L'interessato è la persona fisica, giuridica, ente o associazione cui si riferiscono i dati personali. Egli può ottenere informazioni circa l'acquisizione dei dati, chiedere che vengano cancellati, opporsi al loro trattamento o diffusione o chiederne l'aggiornamento.
Il trattamento dei dati deve avvenire nel rispetto di alcuni principi fondamentali:
● liceità del trattamento: operazioni conformi alla legge;
● trasparenza: fornire all'interessato alcune informazioni fondamentali (finalità del trattamento, identità del responsabile,
periodo di conservazione dei dati), per iscritto, in forma elettronica e in modo comprensibile e chiaro
● limitazione delle finalità: i dati personali possono essere raccolti solo per finalità legittime e in modo esplicito
● minimizzazione dei dati: adeguati e limitati alle finalità per cui sono trattati
● esattezza: esatti e aggiornati nei casi in cui non risultino più veritieri
● limitazione della conservazione: conservati per il periodo di tempo necessario alla realizzazione delle finalità del
trattamento;
● Integrità e riservatezza: trattati garantendone la sicurezza;
● responsabilizzazione: dimostrare l'adozione delle misure necessarie previste dalla normativa.
Il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che determina le finalità e i mezzi del trattamento dei dati personali.
Il privato che effettua un trattamento di dati per fini personali non è titolare del trattamento, lo diventa se li divulga e li rende accessibili. Il responsabile del trattamento è la persona fisica o giuridica, la Pubblica amministrazione e qualsiasi altro ente, associazione od organismo, che tratta i dati personali per conto del titolare. Il titolare e il responsabile del trattamento devono adottare tutte le misure tecniche e organizzative adeguate per garantire la protezione dei dati personali e la tutela dei diritti dell'interessato, assicurandogli un adeguato livello di sicurezza. Tramite test periodici come la cifratura dei dati (rende i dati inaccessibili e illeggibili) e i sistemi di sicurezza. Il titolare del trattamento dei dati ha l'obbligo di notificare al Garante per la protezione dei dati personali tutte le violazioni di cui venga a conoscenza se ritiene che possano derivarne rischi per i diritti e le libertà degli interessati.
Il responsabile della protezione dei dati personali ha il compito di supportare e consigliare il titolare o il responsabile del trattamento circa gli obblighi in materia di trattamento dei dati personali e di verificarne l'applicazione. È necessario quando il trattamento dei dati personali viene effettuato da un'autorità pubblica, nel caso in cui il trattamento richieda il monitoraggio sistematico delle persone fisiche cui si riferiscono i dati personali. Il ruolo di responsabile della protezione dei dati personali può essere ricoperto da un dipendente del titolare o del responsabile mediante uno specifico atto di designazione, oppure può essere affidato a un soggetto esterno con il quale viene stipulato un contratto di fornitura di servizio. Il responsabile della protezione dei dati personali ha funzione di vigilare sull'osservanza della normativa; fornire pareri sui rischi derivanti dalle operazioni di trattamento dei dati per i diritti e le libertà dell'interessato; fungere da intermediario con le autorità di controllo.

Diritti dell’interessato

● diritto all’ informativa: diritto di ricevere alcune informazioni dal titolare del trattamento prima che il trattamento abbia
inizio: recapiti per contattare il responsabile per la protezione dei dati personali; base giuridica del trattamento e le sue finalità; destinatari o categorie di destinatari, cioè chi riceve comunicazione dei dati personali; modalità del trasferimento in altri paesi. É data in forma scritta, anche oralmente, purché sia comprensibile e trasparente per l'interessato. Con linguaggio chiaro e semplice.
● diritto di accesso: diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano e di un loro trattamento in corso; può accedere ai propri dati e informazioni come la finalità del trattamento, i soggetti cui i dati sono stati comunicati, il periodo della conservazione, il diritto di reclamo all'autorità di controllo. L'interessato ha anche diritto alla rettifica dei dati personali inesatti, e all'integrazione di quelli incompleti.
● diritto all'oblio: diritto alla cancellazione dei dati, solo se: i dati personali non sono più necessari per il raggiungimento delle finalità del trattamento; i dati personali sono stati trattati illecitamente; l'interessato revoca il consenso al trattamento; è necessaria per adempiere un obbligo di legge. Il diritto all'oblio può essere limitato solo per garantire l'esercizio della libertà di espressione; per tutelare un interesse generale; quando i dati, dopo essere stati resi anonimi, sono utilizzati per finalità di ricerche storiche, statistiche o scientifiche.
● diritto alla portabilità: trasferire i propri dati personali da un titolare del trattamento a un altro. Riceve i dati in formato strutturato e leggibile e di può trasmetterli a un altro titolare.
● diritto di opposizione: diritto di opporsi in qualunque momento al trattamento dei dati, colui che si occupa del trattamento non deve proseguire, se non per motivi inderogabili che prevalgono sui diritti e le libertà dell'interessato.
● diritto di limitazione del trattamento: quando viene contestata l'esattezza dei dati, durante il periodo necessario per verificarla; quando il trattamento è illecito e l'interessato, anziché chiedere la cancellazione dei dati, richiede soltanto che ne sia limitato l'utilizzo.

II D.Lgs. n. 101/2018 ha introdotto nella normativa nazionale:
• l'età minima per esprimere il consenso al trattamento dei propri dati personali, in relazione all'offerta diretta di servizi informatici e telematici è fissata a 14 anni; per i minori di tale età il consenso é dato dai genitori;
• i dati genetici, biometrici e relativi alla salute, possono essere trattati senza il consenso dell'interessato, ma solo in presenza di alcune condizioni espressamente previste;
• i diritti relativi ai dati personali delle persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari di tutela;
• chiunque arrechi danno all'interessato attraverso il trattamento illecito dei dati, al fine di trarne profitto, è punito con la reclusione da 6 mesi a 1 anno e 6 mesi; la pena può essere estesa fino a 3 anni in caso di trasferimento dei dati personali verso un Paese terzo o un'organizzazione internazionale.

Le autorità di controllo devono controllare che il trattamento dei dati personali avvenga tutelando i diritti dei soggetti interessati. In Italia c’è il Garante per la protezione dei dati personali (Garante per la privacy), un'autorità amministrativa indipendente (i membri non devono subire pressioni e condizionamenti esterni) istituita dalla Legge n. 675/1996 e disciplinata dal D.Lgs. n. 196/2003; composta da 4 membri eletti dal Parlamento, in carica per 7 anni non rinnovabili.

Compiti

● controllare che i trattamenti dei dati personali rispettino leggi e regolamenti, prescrivendo, eventualmente, ai titolari o ai responsabili dei trattamenti come svolgere correttamente il trattamento;
● esaminare reclami e segnalazioni;
● vietare o bloccare il trattamento dei dati personali che possano rappresentare un rilevante pregiudizio per l'interessato.

Poteri

● indagine, nei confronti del titolare e del responsabile del trattamento dei dati personali a cui il Garante può richiedere informazioni e contestare presunte violazioni della normativa;
● autorizzativi, quando il trattamento un'autorizzazione preliminare da parte dell'autorità di controllo
● consultivi, quando il Garante rilascia pareri al Parlamento, al Governo o ad altre istituzioni su questioni riguardanti la
protezione dei dati personali.
L'interessato, qualora ritenga che il trattamento sia avvenuto in violazione della normativa e dei suoi diritti, può proporre reclamo all'autorità di controllo o avviare un ricorso giurisdizionale contro il titolare o il responsabile del trattamento dei dati personali. Se la violazione provoca un danno materiale o morale, devono risarcire l'interessato. Inoltre, per le violazioni della normativa, le autorità di controllo possono infliggere una sanzione amministrativa pecuniaria. L'interessato ha il diritto di proporre un ricorso giurisdizionale anche contro le decisioni dell'autorità di controllo che lo riguardino direttamente.