Cos’è la privacy?
Il termine privacy (reso in italiano anche con riservatezza o privatezza) indica il diritto alla riservatezza della vita privata di una persona. Il diritto alla privacy è quindi inteso anche come il diritto a ricevere un legittimo trattamento di tutti quei dati che siano idonei a dare informazioni inerenti alla propria persona. I dati personali, infatti, possono essere idonei a rivelare aspetti anche particolarmente delicati di ogni persona. Per questo motivo, la legge assicura che i dati personali siano trattati con modalità idonee a tutelare la riservatezza del soggetto, cercando di prevenire comportamenti illegittimi a danno del titolare.
Cos’è il trattamento di dati personali?
Per trattamento dei dati personali, secondo la legge italiana, si intende qualunque operazione, effettuata anche senza l'ausilio di strumenti elettronici, concernente la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.
Cos’è il GDPR?
Il Regolamento Generale sulla Protezione dei Dati (in inglese General Data ProtectionRegulation, anche con la sigla inglese GDPR), è un regolamento dell'Unione Europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell'Unione Europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.
Con questo Regolamento, la Commissione europea si propone l'obiettivo di rafforzare la protezione dei dati personali dei cittadini dell'Unione europea e dei residenti nell'Unione europea, sia all'interno che all'esterno dei confini dell'Unione europea (UE), restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l'UE.
Il testo affronta anche il tema dell'esportazione di dati personali al di fuori dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall'Unione europea) che trattano dati di residenti nell'Unione europea ad osservare e adempiere agli obblighi previsti. Dalla sua entrata in vigore, il GDPR ha sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva 95/46/CE) e, in Italia, ha abrogato gli articoli del codice per la protezione dei dati personali (d.lgs. n. 196/2003) con esso incompatibili.
Qual è lo scopo della legge sulla privacy?
Lo scopo della legge sulla privacy è di tutelare la riservatezza della persona tramite la protezione dei suoi dati. Il legislatore ha dettato delle norme che tutti coloro che trattano dati personali di altri soggetti sono tenuti a rispettare.
Chi garantisce la sicurezza dei dati e del loro trattamento?
La sicurezza dei dati raccolti è garantita dal titolare del trattamento e dal responsabile del trattamento chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. A tal fine il titolare e il responsabile del trattamento garantiscono che chiunque acceda ai dati raccolti lo faccia nel rispetto dei poteri da loro conferiti e dopo essere stato appositamente istruito.
Cosa sono i dati personali?
I dati personali sono qualsiasi informazione riguardante una persona fisica identificata o identificabile. In altre parole, qualsiasi informazione che riguarda chiaramente una determinata persona. I dati personali si dividono in quattro categorie:
- dati sensibili: quelli idonei a rivelare "l'origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" di una persona; i dati relativi alla salute e alla vita sessuale sono anche detti "supersensibili" in quanto sono gli unici per i quali non sussiste alcuna esenzione che ne consente l'uso in assenza di un consenso;
- dati semisensibili: categoria nella quale rientrano dati personali il cui trattamento può arrecare danni al titolare, come i dati relativi alle liste di sospettati di frode, i nominativi inseriti nelle centrali rischi, i dati relativi alla situazione finanziaria;
- dati comuni: sono tutte quelle informazioni, come nome, cognome, partita I.V.A., codice fiscale, indirizzo (compreso quello di posta elettronica), numeri di telefono, numero patente, che consentono di individuare una persona fisica o giuridica, sia essa anche un ente od associazione;
- dati giudiziari: sono quelle informazioni idonee a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti.
Chi sono i soggetti coinvolti nel trattamento dei dati?
Nell’ambito del trattamento dei dati si individuano quattro soggetti:
- titolare: la persona fisica, giuridica, ente, associazione o amministrazione, cui competono le decisioni in merito alle finalità e alle modalità del trattamento dei dati personali e agli strumenti utilizzati. È chi dà inizio al trattamento, e può esserci anche più di un titolare. In particolare, ha l’obbligo di notificazione all’autorità garante per la privacy (obbligo che sussiste nei soli casi in cui il trattamento sia in grado di recare pregiudizio ai diritti e alle libertà dell’interessato), consentendo in tal modo un controllo sul trattamento, e l’obbligo di informativa all’interessato (l’informativa è sempre dovuta anche quando il consenso dell’interessato non è richiesto, o quando quest’ultimo sia tenuto a fornire necessariamente i propri dati in base ad un obbligo di legge). Il titolare deve, inoltre, predisporre le misure di sicurezza per evitare una perdita o distruzione dei dati, ma anche per evitare il furto dei medesimi, nel caso l’interessato subisca un danno il titolare è responsabile civilmente; il titolare ha l’obbligo di seguire le fasi del trattamento, e non se ne può disinteressare delegandolo in toto;
- responsabile, la persona fisica, giuridica, ente, associazione o amministrazione preposta al trattamento dei dati dal titolare del trattamento, il quale titolare fissa anche i limiti dei suoi poteri. La nomina è facoltativa;
- incaricato, la persona fisica autorizzata dal titolare o dal responsabile a compiere materialmente il trattamento;
- interessato, la persona fisica cui si riferiscono i dati stessi.
Cosa è il diritto alla protezione dei dati personali?
Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo che gli consente il diritto di accedere ai propri dati gestiti da terzi; il diritto alla rettifica, alla cancellazione, alla limitazione del trattamento, alla portabilità dei dati personali; il diritto di opposizione.Cos’è il diritto di accedere ai propri dati?
L'interessato ha il diritto di chiedere al titolare del trattamento (soggetto pubblico, impresa, associazione, partito, persona fisica, eccetera) se è in corso o meno un trattamento di dati personali che lo riguardano e, qualora il trattamento sia confermato:
- di ottenere una copia di tali dati;
- di essere informato su:
- a) le finalità del trattamento;
- b) le categorie di dati personali trattate;
- c) i destinatari dei dati;
- d) il periodo di conservazione dei dati personali;
- e) quale sia l'origine dei dati personali trattati;
- f) gli estremi identificativi di chi tratta i dati (titolare, responsabile, rappresentante designato nel territorio dello Stato italiano, destinatari);
- g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione;
- h) i diritti previsti dal Regolamento.
Cos’è il diritto alla rettifica, alla cancellazione, alla limitazione del trattamento, alla portabilità dei dati personali?
L'interessato può richiedere a chi sta trattando i suoi dati personali che questi siano:
- a) rettificati (perché inesatti o non aggiornati), eventualmente integrando informazioni incomplete
- b) cancellati, se:
- i dati non sono più necessari ai fini del perseguimento delle finalità per le quali sono stati raccolti o trattati;
- l'interessato revoca il consenso o si oppone al trattamento; oppure
- i dati sono trattati illecitamente o devono essere cancellati per adempiere a un obbligo legale;
- e se non vi sono altri trattamenti per i quali i dati sono considerati necessari (libertà di espressione e informazione, svolgimento di compiti nel pubblico interesse, trattamenti connessi alla sanità pubblica, ecc.).
- c) limitati nel relativo trattamento, se:
- i dati non sono esatti o sono trattati illecitamente e l'interessato si oppone alla loro cancellazione;
- nonostante il titolare non ne abbia più bisogno ai fini del trattamento, i dati sono necessari all'interessato per fare valere un diritto in sede giudiziaria;
- d) trasferiti ad un altro titolare (c.d. diritto alla portabilità), se il trattamento si basa sul consenso o su un contratto stipulato con l’interessato e viene effettuato con mezzi automatizzati.
Cos’è il diritto di opposizione?
È possibile opporsi al trattamento dei propri dati personali:
- a) per motivi connessi alla situazione particolare dell’interessato, da specificare nella richiesta;
- b) (senza necessità di motivare l’opposizione) quando i dati sono trattati per finalità di marketing diretto.
Cos’è l’informativa sul trattamento dei dati?
L’informativa sul trattamento dei dati è la comunicazione con la quale il titolare (ai sensi dell’art 13 del Codice) informa l'interessato del trattamento svolto e può essere fornita oralmente o per iscritto. Il Titolare pertanto illustra ai soggetti ai quali i dati raccolti si riferiscono (interessati):
- le finalità e le modalità del trattamento svolto,
- la natura obbligatoria o facoltativa del conferimento dei dati,
- le conseguenze dell'eventuale rifiuto del conferimento,
- l'ambito di comunicazione e diffusione dei dati,
- l'eventuale trasferimento dei dati all'estero,
- i diritti dell'interessato,
- l'indicazione del Titolare,
- l'indicazione del Responsabile individuato o di quello designato per l'esercizio dei diritti dell'interessato,
- l'indicazione degli Incaricati che compiono le operazioni di trattamento (ovviamente non è necessario indicare i nomi e i cognomi dei singoli ma sarà sufficiente indicare l'area di appartenenza).
Tutte queste informazioni devono essere contenute nell'informativa che va resa all'interessato al momento della raccolta dei suoi dati e, in caso di raccolta di dati presso terzi, non oltre la registrazione dei dati o la prima comunicazione degli stessi a terzi.
Cos’è il trattamento dei dati da parte del datore di lavoro?
Il consenso per il trattamento dei dati sensibili dei dipendenti (o parasubordinati o collaboratori in varia forma) nell'ambito del rapporto di lavoro, quando le finalità di questi trattamenti sono la gestione del rapporto e gli altri adempimenti previsti dalla legge, non è necessario limitatamente ai dati riguardanti l'adesione ad associazioni di tipo sindacale; negli altri casi (stato di salute, religione, eccetera) il consenso è invece necessario.
Come viene effettuato il trattamento dei dati con strumenti elettronici?
Il trattamento di dati personali effettuato con strumenti elettronici è consentito solo se sono adottate le seguenti misure minime:
- autenticazione informatica;
- adozione di procedure di gestione delle credenziali di autenticazione;
- utilizzazione di un sistema di autorizzazione;
- aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
- protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
- adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi;
- adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.