DIRITTO DELL’ECONOMIA DIGITALE I
REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI (GDPR “general data
protection regulation”)
Regolamento elaborato in quanto ci si rende conto dell'inadeguatezza della disciplina europea in
campo di protezione dei dati personali si è avviato un processo di revisione della normativa
→
vigente che ha avuto inizio con una proposta della Commissione Europea del 2012.
Regolamento 2016/679 UE (GDPR): atto “self executing” > atto che si applica direttamente negli
stati membri senza richiedere disposizioni di attuazione
ha sostituito la Direttiva 95/46/CE disegnando un quadro normativo applicabile in ciascun
❖ direttiva
Stato membro focus sui diritti del titolare dei dati > fissava con rigidità una
→ regolamento
serie di obblighi per i titolari, mentre il attribuisce ai titolari una maggiore
flessibilità nel trattamento dei dati in quanto segue un principio del rischio: titolare deve
scegliere le misure adeguate in base al rischio che riguarda il trattamento dei dati
è divenuto applicabile nel 2018
❖ accountability
si basa sul principio di ossia di responsabilizzazione del titolare che
❖ effettua il trattamento dei dati quest’ultimo dovrà dimostrare di aver posto in essere
→
tutte le misure idonee a contrastare il verificarsi di rischi relativi al trattamento dei dati >
GDPR rispetto alla direttiva prende atto che il trattamento dei dati avvengono su larga
scale in modo costante e continuo e in quanto tale ci possono essere rischi
GDPR nel nostro ordinamento è stato ripreso da un decreto legislativo: D.lgs.10 Agosto 2018
n.101 «Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE)
2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone
fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga
la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)»:
- Non ha cancellato il Codice della Privacy ma ha abrogato gli articoli non conformi ed
ormai superati
- Ha adeguato la normativa nazionale
2 livelli primo posto GDPR ossia fonte sovranazionale a cui tutti gli stati membri devono
→
uniformarsi e poi abbiamo il codice della privacy modificato alla luce delle norme contentue nel
GDPR
Principali novità
1. Si introducono regole più chiare su informativa e consenso
2. Si stabiliscono i limiti al trattamento automatizzato dei dati personali
3. Si pongono le basi per l’esercizio di nuovi diritti
4. Si stabiliscono criteri rigorosi per il trasferimento dei dati al di fuori dell’UE
(data breach)
5. Si fissano norme rigorose per i casi di violazione dei dati
in passato > diritto di riservatezza e alla privacy erano sinonimi; poi > art 1 ha codificato la
differenza tra i 2: da un lato vuole tutelare il titolare che da consenso al trattamento dei propri
dati, dall’altra vuole regolamentare la libera circolazione dei dati
diritto riservatezza > diritto di essere lasciato solo, diritto del singolo a tutelare le vicende
❏ della propria vita privata 1
diritto di privacy > diritto alla protezione dei dati personali e coincide con diritto di
❏ controllare la circolazione dei dati che riguardano la nostra persona
il nostro codice già aveva dato risalto a questa distinzione
→
Chi è tenuto ad adeguarsi?
- Tutti i soggetti pubblici e privati che effettuano il trattamento dei dati personali archiviati
in forma elettronica e/o cartacea: aziende, avvocati, commercialisti, istituzioni scolastiche,
comuni e tutti coloro che trattano dati personali, anche mediante l’ausilio di strumenti
elettronici
- Restano escluse le attività di sfruttamento dei dati personali di tipo non professionale o
domestico (uso di un social network per finalità esclusivamente personali)
- Vi rientrerebbe l’amministrazione di una fan page (l’ha detto la Corte di Giustizia) e tutte
le attività svolte da chi gestisce piattaforme di comunicazione (Considerando 18 GDPR = il
considerando è una premessa che fa il consiglio dell’UE per giustificare quanto scritto
nelle norme spesso ne anticipano e completano il contenuto delle norme)
→
Principali novità introdotte dal GPDR:
Rafforzamento della responsabilità del titolare ovvero del responsabile del trattamento
➢ (accountability). Titolare ≠ responsabile del trattamento. Il titolare del trattamento dovrà
applicare misure efficaci per garantire che la nuova disciplina contenuta nel regolamento
sia rispettata e dimostrare che le tecniche che ha adottato sono conformi a quanto
prescritto nel GDPR privacy by
Pubbliche amministrazioni (Stato) o imprese devono rispettare i principi di
➢ design privacy by default
e : ogni nuova attività (di trattamento) deve essere
progettata/pensata sin dal principio in modo tale da essere rispettosa della nuova
disciplina (delle norme contenute nel regolamento) garantendo una tutela di default →
questi 2 principi implicano che il titolare del trattamento dovrà attuare misure tali per cui
si limitino i rischi legati ai dati (perdita, alterazione dei dati)
Viene introdotto l’obbligo di nominare un Data protection officer (Dpo) responsabile
➢ della protezione dei dati personali (questo sogg fa da tramite tra autorità garante per la
protezione dei dati personali e il titolare del trattamento). Serve per tutti i soggetti pubblici
e per tutte le imprese (private) che trattino grandi moli di dati o svolgano attività di
profilazione o trattino dati giudiziari (relativi a condanne penali) o sensibili (salute e
tendenze sessuali) Dpo dovrà essere un professionista, un soggetto competente
→
soprattutto con riferimento alle norme del DPGR
Si stabilisce il diritto degli interessati alla “portabilità del dato” (data take away = portar
➢ via il dato) es. trasferimento dei propri dati da un social network ad un altro
→
Si introduce lo sportello unico (One –stop- shop): le imprese con diversi stabilimenti in
➢ Europa possono stabilire lo stabilimento principale e dialogare con una sola Autorità
garante nazionale in passato tutte le multinazionali con più stabilimenti erano costrette
→
a dialogare con i garanti di tutti i paesi in cui avevano sede i propri stabilimenti
Potenziamento dell’apparato sanzionatorio con inasprimento delle sanzioni
➢ amministrative in caso di violazione delle norme del Regolamento 2
PRINCIPALI DEFINIZIONI (sono state influenzate dalla Direttiva 95/46/CE):
Dato personale (art. 4, n.1): identificata
qualsiasi informazione riguardante una persona fisica (ben individuata) o
● identificabile (interessato = prestato il consenso al trattamento di informazioni che lo
riguardano): nome, cognome, immagine di una persona, codice fiscale
E’ identificabile la persona fisica che può essere identificata direttamente o indirettamente (es.
attraverso il codice fiscale)
insieme delle informazioni relative ad una persona fisica come gli identificativi prodotti da
➢ dispositivi on line (indirizzo IP, cookies)
dati che pur sottoposti a pseudonimizzazione possono essere oggetto di combinazione
➢ con ulteriori informazioni in modo da renderne possibile l’identificazione del soggetto.
La pseudonimizzazione è un'operazione che comporta che i dati personali relativi ad un
sogg vengano trattati in modo che gli stessi dati non possano più essere attribuiti a quel
determinato sogg senza andare a prendere delle info aggiuntive, info che dovranno
essere conservate separatamente l’utente non può essere immediatamente
→
identificato, ma solo andando a prendere altri dati che sono stati conservati
l’anonimato
separatamente. Si usa per garantire della persona
SOTTO CATEGORIE DI DATO PERSONALE:
Dati comuni: consentono in vario modo l’identificazione e tracciamento della persona
➢ (nome, codice fiscale, indirizzo, numero di telefono, indirizzo e-mail)
Dati sensibili rilevano particolari info sulla persona
→
➢ Dati super sensibili: riguardano lo stato di salute e la vita sessuale dell’individuo
➢ Dati giudiziari: rivelano la qualità di imputato o indagato del soggetto nonché tutte le
➢ informazioni in materia di casellario giudiziale (rubrica in cui sono contenuti tutti i reati
commessi da un soggetto) e di anagrafe delle sanzioni amministrative dipendenti da reati
Dati sensibili (art.9):
Informazioni che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni
★ religiose o filosofiche o l'appartenenza sindacale cui si aggiungono dati genetici, dati
biometrici idonei ad identificare in modo univoco una persona fisica, dati relativi alla
salute o alla vita sessuale o all’orientamento sessuale della persona
Si parla di dati sensibili per contrapporli ai dati comuni. Questo perché il trattamento di
★ questi dati è sottoposto a cautele aggiuntive rispetto al trattamento dei dati comuni (il
consenso al trattamento dei dati sensibili da parte dell’interessato deve essere esplicito e
fornito per uno o più finalità specifiche)
Trattamento
: definizione contenuta nell’articolo 4 del regolamento = qualsiasi operazione o
insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicati a dati
personali o insiemi di dati personali e consistente in:
1. raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento
modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, messa a
disposizione
2. raffronto tra i dati, interconnessione (mettere dati in confronto gli uni con gli altri),
limitazione
3. distruzione o cancellazione 3
4. profilazione (insieme delle attività di raccolta ed elaborazione dei dati inerenti gli utenti di
un servizio al fine di suddividerli in gruppi a seconda del loro comportamento)
la definizione di trattamento è onnicomprensiva in quanto descrive tutte le attività che
→
possono essere riconducibili con i dati personale
Titolare del trattamento:
- Può considerarsi a tutti gli effetti il dominus (proprietario) del trattamento dei dati
personali, è la controparte dell'interessato cui si riferiscono i dati personali
- “persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o
egli ha un
insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali” →
potere di controllo sui dati e questo può derivare o dal fatto che la legge che un
determinato soggetto sia il titolare del trattamento (formalmente), oppure il controllo sui
dati personali può essere assegnato implicitamente
Nel GDPR il titolare del trattamento è una figura importantissima, nel nostro ordinamento questa
figura non è sconosciuta in quanto già prevista nel codice della privacy l’importanza del
→
titolare comporta che quest’ultimo deve attuare tutte le misure che siano in grado di garantire
che il trattamento avvenga in conformità delle norme del GDPR e in virtù del principio della
responsabilizzazione. Queste misure in concreto in cosa consistono? I dati devono essere
legittimamente conservata conformemente alle norme di legge. Inoltre il titolare deve attuare
procedure che mettano in sicurezza dei dati, deve agire nel rispetto dei requisiti di autorizzazione
preventiva dell’autorità di controllo e deve definire tutte le info che devono essere fornite
all’interessato ha responsabilità gravosa
→
Dalla def di titolare del trattamento può verificarsi una situazione di contitolarità al trattamento
dei dati persona,i. Questa situazione di contitolarità è oggetto di una norma contenuta nell'art 26:
questa norma prevede la situazione dove 2 o più titolari prevedano insieme mezzi di trattamento;
essi devono determinare in modo chiaro nei confronti dell'interessato e del garante le rispettive
responsabilità.
es. fanpage su facebook i titolari sono il gestore di facebook e il gestore della fanpage
→
posso rivolgermi indifferentemente a ciascun contitolare del trattamento
→ in virtù del principio di responsabilizzazione, il titolare deve adottare misure per salvaguardare i
→
dati secondo le norme del regolamento = privacy by design
- indicato formalmente o implicitamente
figura già stata prevista nel codice della privacy > importanza resa maggiore con il GDPR
es. datore di lavoro rispetto ai dati del lavoratore; l'università rispetto ai dati degli studenti
Responsabile del trattamento
: “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro
(art 4).
organismo che tratta dati personali per conto del titolare del trattamento”
Il responsabile deve svolgere il proprio mandato (incarico) nell'interesse e per conto del titolare: è
necessario un atto di delega da parte del titolare. Sarà necessario un atto di delega da parte del
contratto
titolare ossia un che vincola il responsabile al titolare e individua la durata, natura,
finalità del trattamento e le categorie di interessati definiti tutti gli aspetti fondamentali del
→
Ad es: studio professionale che svolge in outsourcing servizi contabili e di gestione
trattamento.
paghe potrà svolgere il trattamento dei dati personali di dipendenti di un datore di lavoro ma allo
stesso tempo agire come titolare del trattamento dei dati dei propri dipendenti 4
PRINCIPI GENERALI PER IL TRATTAMENTO DEI DATI PERSONALI (ART.5 del GDPR)
Liceità, correttezza e trasparenza trattamento deve essere lecito ossia conforme alle
→
❏ norme di legge contenute nel regolamento, deve essere corretto e trasparente (devono
essere chiare le modalità con cui i dati sono raccolti e utilizzati)
Limitazione delle finalità (determinate, esplicite e legittime) i dati devono essere
→
❏ raccolti per finalità determinate esplicite = conformi alla legge e legittime dati devono
→
essere trattati anche successivamente a quando il trattamento ha avuto inizio in modo
che non ci sia incompatibilità con tali finalità = dati raccolti non devono essere superflui
Minimizzazione dei dati (adeguatezza pertinenza e limitazione rispetto alle finalità) i
→
❏ dati devono essere adeguati al trattamento, pertinenti e limitati per il perseguimento delle
finalità per i quali sono stati raccolti
Da cui deriva:
Esattezza (aggiornamento) dati devono essere esatti, devono essere oggetto di un
→
❏ costante aggiornamento. Nel caso in cui non siano esatti se non si riescono a rettificare in
modo tempestivo, dovranno essere eliminati.
Limitazione della conservazione (per il lasso di tempo non superiore al conseguimento
❏ della finalità per i quali sono trattati) dati devono essere conservati per il tempo
→
necessario al raggiungimento della finalità per cui sono stati raccolti
Integrità e riservatezza dati devono essere trattati in modo da garantire sicurezza
→
❏ all’interessato e protegge i dati da trattamenti non autorizzati o illeciti o da perdite o
distruzione
Tali principi devono essere rispettati dal titolare del trattamento (accountability) che
❏ deve dare prova in ogni momento dell'adempimento di tali principi
CONSENSO DELL'INTERESSATO
: massima espressione dell'elemento volontaristico e del
potere dispositivo dell'interessato sui propri dati manifestazione di volontà con cui individuo
→
acconsente al trattamento dei suoi dati
CONSENSO
: qualsiasi manifestazione di volontà libera, specifica, informata, inequivocabile
dell'interessato, con cui lo stesso manifesta il proprio assenso, mediante dichiarazione o azione
positiva inequivocabile (che non faccia sorgere dubbi), a che I dati personali che lo riguardano
siano oggetto di trattamento. Il GDPR rafforza le condizioni per l'espressione del consenso in
modo da garantire la consapevolezza dell'interessato. Il GDPR ha definito il consenso, ma non è
stato disciplinato in maniera compiuta = critica fatta al GDPR
Il consenso deve essere:
- libero (interessato nel momento in cui presta consenso non deve essere obbligato, non
deve essere oggetto di alcun pregiudizio. L'interessato deve avere controllo dei propri dati
personali. Il consenso è libero quando non è condizionato, ma scevro ossia svincolato da
condizionamenti. Un consenso è condizionato se avviene sotto ricatto ad esempio),
informato (deve attribuire all’interessato una effettiva consapevolezza di ciò che sta
firmando e garantire il controllo del contratto all’interessato) e specifico (diretto solo a
determinati ambiti) fornito sulla base di un'informativa adeguata ed esaustiva che il
titolare deve consegnare all'interessato
- esplicito quando riguarda particolari categorie di dati (sensibili)
CONSENSO DELL'INTERESSATO
: lo analizziamo dal punto di vista del titolare = massima
espressione dell'elemento volontaristico e del potere dispositivo dell'interessato sui propri dati 5
il titolare del trattamento deve dimostrare che l'interessato ha prestato il proprio
➢ consenso
se il consenso è prestato nel contesto di una dichiarazione scritta, esso deve essere
➢ chiaramente distinto rispetto alle altre eventuali dichiarazioni rese dall'interessato su altre
materie deve essere chiaro che interessato presta consenso quando si vanno a firmare
→
moduli particolarmente ricchi sotto il profilo contenutistico
l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento
➢ prima di esprimere il consenso, l’interessato deve essere informato della facoltà di
➢ revocarlo in seguito, senza pregiudicare la liceità del trattamento effettuato prima della
revoca (an
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
Scarica il documento per vederlo tutto.
-
regolamento contrattuale
-
Regolamento di competenza
-
Regolamento di competenza
-
Il regolamento contrattuale