Un tema sul quale c’è un dibattito in corso ormai da diversi anni, che cattura l’attenzione di giuristi e appassionati in materia, ma anche dell’opinione pubblica, è senza dubbio quello della privacy, e in particolar modo della protezione e del trattamento dei dati personali.
Cosa dice il codice privacy aggiornato
La protezione e il trattamento dei dati personali, come detto, sono parte di una delle tematiche che maggiormente conquista l’interesse dei cittadini italiani ed europei, In un’epoca come la nostra, fortemente caratterizzata da una spinta ‘social’, si sente sempre più la necessità di informarsi a riguardo della legislazione per quanto riguarda i dati personali.
Le ultime disposizioni in materia sono state dettate dal D.Lgs 101/2018, che ha avuto il principale compito di recepire normativamente il GDPR, ossia il regolamento generale sulla protezione dei dati 679/2016, un regolamento dell’Unione Europea entrato in vigore il 25 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018. Il D.Lgs 101/2018, sebbene rappresenti l’ultimo aggiornamento normativo sull’argomento, non ha completamente abrogato il precedente D.Lgs 196/2003, che rimane in vigore nella legislazione italiana, grazie al decreto legislativo 101/2018.
Codice privacy trattamento dati personali e dati sensibili: cosa dice
Ma cosa dice il codice privacy aggiornato riguardo il trattamento dei dati personali e dei dati sensibili? Partiamo innanzitutto dalla normativa precedente, per poi illustrare cosa cambia con il D.Lgs 101/2018 di cui parlavamo in precedenza.
La materia della privacy è stata essenzialmente disciplinata con il D.Lgs 196/2003, che ha completamente riordinato la disciplina, rappresentando quello che può essere considerato un vero e proprio caposaldo dell’argomento. La particolare rilevanza di questo decreto legislativo ha portato i giuristi a nominarlo “Codice in materia di protezione dei dati personali”, ma anche “Codice della privacy”, o anche “Testo unico sulla privacy”, perché contenente tutta la normativa vigente in materia accumulatasi dal 1996.
Si tratta di un provvedimento abrogativo della precedente legge in materia, appunto la 675 del 1996, introdotta per adeguare la legislazione italiana alle disposizioni dettate dagli Accordi di Schengen, concretizzati nella Direttiva comunitaria 95/46. Ad essa fu affidato il compito di disciplinare la Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, argomento trattato anche da ulteriori leggi che vi si sono affiancate, chiarendo e dettagliando le modalità di trattamento dati.
Come detto in precedenza, tuttavia, fu con il D.Lgs 196/2003 che si stabilì che la gestione di dati personali o sensibili da parte di privati o enti pubblici dovesse avvenire nel rispetto dei diritti e delle libertà della persona. Questo in virtù anche del principio di necessità, introdotto da questa normativa, che impone come i sistemi informativi debbano ridurre al minimo l’impiego dei dati personali, favorendo l’ipotesi di un utilizzo di dati anonimi. Tra i principali meriti del decreto legislativo 196 del 2003, vi fu quello di disciplinare varie figure, di fornire alcune definizioni, di stabilire alcuni principi fondamentali. In particolar modo, vennero fornite precise definizioni di trattamento, dati personali, dati sensibili, dati identificativi, ma anche di titolare del trattamento di dati personali, di responsabile del trattamento di dati personali, e altro ancora. Il D.Lgs in questione, inoltre, stabilì di conseguenza le sanzioni civili, penali e amministrative da applicare a coloro i quali violassero la normativa.
Regolamento generale sulla protezione dei dati GDPR: cosa dice
Il decreto legislativo 196 del 2003 è stato (ed è tuttora) una vera e propria guida in materia di privacy per almeno tredici anni. È infatti nel 2016 che il regolamento europeo 679, emanato dal Parlamento Europeo, è entrato in Gazzetta Ufficiale.
Questo disciplina la protezione delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di questi ultimi, rappresentando un’importante svolta in materia di privacy. Fu definito GDPR, acronimo dall’inglese General Data Protection Regulation, e si propose come obiettivo precipuo il rafforzamento della protezione dei dati personali dei cittadini comunitari.
Se questo è entrato in vigore il 24 maggio 2016, il limite massimo per le aziende degli Stati membri dell’UE affinché si adeguassero ad esso è stato fissato in due anni, ossia al 25 maggio 2018. Pur non necessitando di un obbligatorio recepimento da parte degli Stati dell'Unione, ad oggi viene attuato allo stesso modo in tutti gli Stati dell'Unione senza margini di libertà nell'adattamento, al fine di conseguire un’armonizzazione definitiva della regolamentazione in materia.
Esso ha introdotto alcune regole per quanto riguarda l’informativa e il consenso al trattamento dei dati personali, in particolar modo per quello automatizzato, stabilendo criteri per il trasferimento dei dati tra vari Paesi e violazioni della normativa per quanto riguarda questi ultimi.
Legge sulla privacy, cosa cambia con il D.Lgs 101 del 2018: principali novità
Il principale significato di scrivere e approvare un decreto legislativo come il 101/2018 è proprio quello di effettuare un adeguamento della normativa italiana in materia di privacy, e un recepimento definitivo e completo del GDPR di cui abbiamo discusso sopra. Un’apposita commissione si è riunita per tutto il 2018, anno di fondamentale importanza, tanto da essere stata denominato da alcuni giornali come “L’anno della privacy”.
Tante le novità introdotte dal D.Lgs 101/2018. Di queste, possiamo certamente distinguerne alcune principali. Ad esempio, il fatto che vengano fornite delle finalità specifiche per ciascuna tipologia di dati, al fine di renderne legittimo il trasferimento. Inoltre, il rafforzamento del divieto di pubblicazione dei dati dei minori, la sanzione generale della inutilizzabilità dei dati, e nuovi compiti affidati alla figura del Garante.
Con il decreto legislativo 101 del 2018 vengono inasprite le sanzioni penali, che vanno da un minimo di tre mesi a un massimo di sei anni, vengono disciplinate le sanzioni amministrative (distinte in sanzioni di minore e maggiore entità), e viene stabilito che il minore che abbia compiuto 14 anni di età possa iscriversi liberamente sui social network e utilizzare i servizi di messaggistica istantanea.
Il Data Protection Officer
Tra le figure disciplinate dall’attuale normativa, e in particolar modo dal GDPR, vi è il Data Protection Officer, espressione anglofona traducibile con l’italiano Responsabile della protezione dei dati. Si tratta di una figura di istituzione relativamente recente, obbligatoria secondo le condizioni e i termini stabiliti dalla legge, esperta nella protezione dei dati e in materia di privacy. Il Data Protection Officer, presente in altre istituzioni e in altri organismi sotto altre denominazioni, è una figura definita, che assolve dei compiti ben precisi.
Data Protection Officer: chi è, cosa fa
Il Data Protection Officer possiede un’approfondita conoscenza della normativa sulla gestione dei dati personali nel paese in cui opera, nonché di quella comunitaria, e delle casistiche previste dalla giurisprudenza in materia. Tra i principali compiti di questo soggetto vi è quello di informare e consigliare il titolare o il responsabile del trattamento da lui preposto per quanto riguarda obblighi da assolvere e normative locali per quanto riguarda il trattamento dei dati personali. La sua figura è altresì preposta al controllo che le leggi in materia trovino una concreta e corretta applicazione, nonché al contatto continuo e diretto con il Garante della privacy.
La figura del Data Protection Officer è obbligatoria per legge se le attività dell’azienda o organizzazione in questione consistono nel monitoraggio regolare e sistematico degli interessati su larga scala, nel trattamento di dati sensibili su larga scala, e quando questo viene effettuato da un’autorità pubblica.
Data Protection Officer: requisiti e formazione
Nonostante la legge non preveda dei requisiti fondamentali per diventare Data Protection Officer, chi ricopre questa figura deve avere competenze e conoscenze intimamente legate al mondo della giurisprudenza, e in particolar modo alla protezione e al trattamento dei dati personali. La conoscenza della normativa deve essere di tipo specialistico, in modo che questa venga applicata ai singoli casi.
La figura del Data Protection Officer è tra le varie professioni legate al mondo della privacy per la quale è stato pensato il Master per Giuristi d’Impresa della Business School Alma Laboris. Nel mondo del lavoro attuale è sempre più richiesta una figura strategica come quella del giurista d’impresa, caratterizzata da spiccate competenze manageriali, fondendo le figure del giurista e del manager, per un peso estremamente importante all’interno dei processi aziendali.
La Faculty del Master è formata da professionisti del settore altamente qualificati, che conferiranno al partecipante conoscenze teoriche e competenze da applicare ai correlati casi pratici. Un apposito modulo didattico è dedicato al codice privacy e al regolamento europeo sulla protezione dei dati, nel quale vengono trattati temi di grande rilevanza come l’ambito di applicazione territoriale e materiale della normativa, principi giuridici, tipologie di dati, soggetti coinvolti, diritti dell’interessato, e la stessa figura del Data Protection Officer. Il costo del Master per Giuristi d’Impresa è variabile in quanto soggetto ad agevolazioni in caso di iscrizione anticipata del partecipante.
