tema 30 settembre 2022 Show Studi - Giustizia Protezione dei dati personali AUDIO ITALIANO ENGLISH
La nuova normativa sulla protezione dei dati personali risulta dalle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (c.d. GDPR), nonché dalle disposizioni del Codice della privacy così come riformato, nella XVIII legislatura, dal d.lgs. n. 101/2018, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del GDPR. Ulteriori modifiche al Codice sono state successivamente apportate attraverso il decreto-legge n. 139 del 2021 convertito, con modificazioni, dalla legge n. 205 del 2021. Il decreto legislativo n. 101 del 2018 è andato ad aggiungersi al decreto legislativo n. 51 del 2018, con il quale l'ordinamento italiano ha attuato la direttiva 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, completando il recepimento del c.d. pacchetto protezione dati dell'Unione europea. Lo sviluppo dell'intelligenza artificiale e dei big data ha inoltre stimolato ulteriori interventi normativi a livello sovranazionale, al fine di assicurare il diritto alla protezione dei dati personali (e non). Infine, numerosi sono stati gli interventi normativi volti a fronteggiare l'emergenza epidemiologica da Covid-19 che incidono sulle tematiche inerenti alla protezione dei dati personali, alcuni dei quali sono rimasti in vigore anche dopo la cessazione dello stato di emergenza. apri tutti i paragrafi
Il cd. pacchetto protezione dati identifica gli atti normativi di matrice europea relativi al trattamento, la protezione e la libera circolazione dei dati personali, e volti a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell'Unione europea. L'attuale contesto economico-sociale richiede una maggiore attenzione alla tutela della sicurezza dei cittadini e della circolazione (anche transfrontaliera) dei loro dati personali, in un'ottica di bilanciamento con il principio di libera circolazione all'interno dell'UE. Il nuovo apparato normativo, dunque, mira ad intensificare e innalzare il livello di sicurezza di ciascun cittadino europeo in materia di trattamento dati personali. Il "pacchetto protezione dati" è composto da distinti atti normativi: • il Regolamento 2016/679 UE, concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46. Il Regolamento UE, entrato in vigore il 25 maggio 2016, reca una disciplina direttamente esecutiva nell'ordinamento degli Stati membri a partire dal 25 maggio 2018. • la Direttiva 2016/680/UE relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. Inoltre, nel gennaio del 2017 la Commissione europea ha avviato la revisione della disciplina in materia di tutela della riservatezza delle comunicazioni elettroniche, sia per allinearla agli standard di protezione stabiliti nel pacchetto protezione dati, sia per aggiornarla e renderla tecnologicamente neutra rispetto alla continua evoluzione delle tecnologie in materia di comunicazione e informazione. In particolare, la Commissione europea ha presentato una proposta di regolamento COM(2017)10 con l'obiettivo di sostituire la direttiva 2002/58/CE (cosiddetta e-privacy) con una normativa direttamente applicabile che garantisca i medesimi livelli di protezione per tutti i cittadini UE utenti delle comunicazioni elettroniche e di certezza giuridica per le imprese fornitrici di servizi in tale settore. Con riguardo alle principali novità introdotte dal Regolamento 2016/679 UE volte a dare vita ad un quadro più solido e coerente in materia di privacy si segnalano:
Per quanto concerne la Direttiva (UE) 2016/680, essa ha natura di lex specialis rispetto al regolamento generale sulla protezione dei dati, di cui declina princìpi e obblighi con riguardo allo specifico contesto di attività e ai poteri delle autorità di polizia e giudiziarie. I dati costituiscono inoltre una risorsa determinante per l'intelligenza artificiale. Da essi dipendono infatti le possibilità di funzionamento del sistema, poiché rappresentano gli input da cui gli algoritmi riescono a trarre risultati. Anche sul piano normativo i due temi sono collegati. L'attenzione sui dati è però molto più risalente nel tempo sia in ambito europeo che in quello nazionale ed è sicuramente cresciuta con lo sviluppo dei computer e di internet. Questo sviluppo delle nuove tecnologie ha posto l'esigenza di introdurre a livello dell'Unione europea una normativa finalizzata ad assicurare la protezione non soltanto dei dati personali ma anche dei dati non personali. In questo ambito, per completezza si segnala l'adozione dei seguenti atti dell'Unione europea in materia di dati non personali:
Dopo l'emanazione del Regolamento 2016/679 e del Regolamento 2018/1087, l'Unione europea ha continuato ad emanare atti giuridici relativi alla gestione dei dati. Sono quattro i più rilevanti:
Per ogni ulteriore approfondimento sul tema della protezione dei dati (personali e non) in materia di intelligenza artificiale e big data, si rimanda all'apposito dossier di documentazione "Intelligenza artificiale, dati e big data: profili tecnici e sviluppi normativi" predisposto nella XVIII legislatura. ultimo aggiornamento: 29 settembre 2022
Al fine di provvedere all'adeguamento del quadro normativo interno al Regolamento 2016/679 UE, la legge n. 163 del 2017 (art. 13), ha delegato il Governo ad adottare uno o più decreti legislativi volti ad abrogare espressamente le disposizioni del Codice della privacy incompatibili con quelle del regolamento (UE); a modificare il Codice limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento; a coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni adottate in sede europea; ad adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse. In attuazione della predetta delega il Governo ha emanato il decreto legislativo n. 101 del 2018. La nuova normativa sulla protezione dei dati personali risulta quindi dalle norme del Regolamento UE, direttamente applicabili, nonché dalle residue disposizioni del Codice della privacy così come riformato dal d.lgs. n. 101/2018. Il decreto legislativo contiene un corpus di norme complesso che è intervenuto con abrogazioni e modificazioni sulla quasi totalità dei 186 articoli del codice della privacy previgente. In particolare, gli articoli 1 e 2 del provvedimento hanno modificato la Parte I del Codice della privacy dedicata alle disposizioni generali. I precedenti 46 articoli che componevano la Parte I sono stati ridotti a 16: le disposizioni generali sul trattamento dei dati personali sono infatti ora prevalentemente contenute nel Regolamento. Sono state introdotte nella I parte del Codice 14 nuove disposizioni (articoli da 2-bis a 2-quinquiesdecies) che integrano quanto disposto dal Regolamento in materia di fondamento giuridico del trattamento, limitazioni ai diritti degli interessati, titolare e responsabile del trattamento, regole deontologiche e categorie particolari di dati. Tra le novità più significative:
Oggetto di modifica è stata anche la Parte II del Codice della privacy, dedicata al trattamento dei dati personali negli specifici settori, in esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articoli da 3 a 12) In tali settori il Regolamento consente agli Stati di prevedere una disciplina del trattamento dati che, nel bilanciare i diritti dell'interessato con un interesse pubblico al trattamento, individui misure più specifiche e stringenti. A tal fine, gli articoli da 4 a 12 intervengono sui vari titoli del Codice, adeguando la relativa disciplina alle disposizioni del Regolamento e alle modifiche apportate dallo schema alla prima parte del Codice. Si tratta in particolare dei trattamenti: per fini di sicurezza nazionale o difesa (articolo 4 dello schema); in ambito pubblico (articolo 5 dello schema); in ambito sanitario (articolo 6 dello schema); per finalità di istruzione (articolo 7); a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (articolo 8) nell'ambito del rapporto di lavoro (articolo 9) relativi alla banca dati dei sinistri (articolo 10); relativi alle comunicazioni elettroniche (articolo 11); nell'ambito dell'attività giornalistica e della manifestazione del pensiero (articolo 12). Significative modifiche sono intervenute sulla Parte III del Codicedella privacy, relativa alla tutela (amministrativa e giurisdizionale) dell'interessato, quella relativa al Garante nonché la disciplina sanzionatoria per le violazioni della normativa in materia di dati personali (articoli da 13 a 16). In particolare:
Ulteriori disposizioni (articoli da 17 a 27 dello schema) non novellano il Codice della privacy ma:
Per una disamina della normativa attuativa si rimanda all'apposita sezione del sito del Garante, nonché all'apposita guida relativa all'applicazione del GDPR predisposta dal Garante. ultimo aggiornamento: 29 settembre 2022
L'articolo 9 del decreto-legge n. 139 del 2021 ha apportato modifiche a diverse disposizioni in materia di protezione dei dati personali. In particolare, la disposizione ha novellato il c.d. Codice della privacy (d.lgs. n. 196 del 2003):
In particolare, in materia di revenge porn, l'articolo 33-bis del Regolamento del Garante n. 1/2019 prevede che le segnalazioni di cui all'art. 144-bis del Codice, corredate delle registrazioni audio, immagini o video o altri documenti informatici a contenuto sessualmente esplicito, a sostegno delle stesse, siano presentate al Garante esclusivamente attraverso il modello, compilabile on-line, pubblicato nell'apposita sezione del sito web istituzionale. Per ogni ulteriore dettaglio in materia di revenge porn e pornografia non consensuale si rimanda alla scheda informativa predisposta dal Garante. Ulteriori modifiche sono state apportate:
Il comma 3 ha invece modificato il d. lgs. n. 51 del 2018, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, al fine di:
Il comma 7 ha ridotto a 30 giorni il termine per i pareri che il Garante renda su atti riconducibili al Piano nazionale di ripresa e resilienza (PNRR), al Piano nazionale per gli investimenti complementari ed al Piano nazionale integrato per l'energia e il clima 2030 e prevede che quel termine sia improrogabile (ed una volta decorso, si può comunque procedere, pur in assenza di parere). Il comma 8 è intervenuto sugli articoli 1 e 2 della legge n. 5 del 2018, al fine di prevedere che i diritti dell'utente iscritto al registro pubblico delle opposizioni, nonché gli obblighi in capo agli operatori di call center operino indipendentemente dalle modalità in cui il trattamento delle numerazioni è stato effettuato, ovvero con o senza operatore con l'impiego del telefono, ma anche in via più generale mediante sistemi automatizzati di chiamata senza l'intervento di un operatore. I commi da 9 a 12 prevedono una sospensione (eccezion fatta per la prevenzione e la repressione dei reati) della installazione e utilizzazione di impianti di videosorveglianza con sistemi di riconoscimento facciale operanti attraverso l'uso dei dati biometrici in luoghi pubblici o aperti al pubblico, da parte di autorità pubbliche o soggetti privati. Tale moratoria è prevista "fino all'entrata in vigore di una disciplina legislativa della materia", e comunque non oltre il 31 dicembre 2023. La violazione della moratoria comporta l'applicazione di sanzioni amministrative pecuniarie. ultimo aggiornamento: 28 settembre 2022
La Direttiva 2016/680,che regola il trattamento dei dati personali per finalità di prevenzione e repressione di reati, esecuzione di sanzioni penali, salvaguardia contro le minacce alla sicurezza pubblica e prevenzione delle stesse, da parte sia dell'autorità giudiziaria, sia delle forze di polizia, è stata recepita nell'ordinamento interno con il decreto legislativo n. 51 del 2018(attuativo della delega contenuta negli artt. 1 e 11 della legge n. 163 del 2017, legge di delegazione europea 2016-2017). Il D.lgs. n. 51 del 2018 è un testo unitario, dedicato alla complessiva disciplina del trattamento di dati personali in ambito penale, e contiene principi generali di regolamentazione della materia e disposizioni di dettaglio nei vari settori in cui si può articolare il trattamento dei dati personali. La nuova normativa supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia. In particolare, il testo prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o anonimizzati una volta decorso tale termine e introduce una nuova disciplina riguardo alla differenziazione tra categorie di dati e di interessati, in ragione della loro specifica posizione processuale. Inoltre, riguardo ai diritti dell'interessato (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento), il testo prevede che rispetto ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, l'esercizio di tali diritti è regolato dalle disposizioni normative che disciplinano tali atti e procedimenti. In ambito giudiziario, la tutela degli interessati è quindi assicurata, per le parti, dalle garanzie che riconoscono i diritti di difesa all'interno del procedimento penale, anche con riguardo ai dati personali necessariamente oggetto di trattamento, assicurando quindi la possibilità di limitare l'esercizio dei diritti dell'interessato, conformemente alle esigenze di prevenzione, di indagine e processuali. Per garantire i diritti in ambito giudiziario anche con riferimento ai terzi, si è previsto uno speciale procedimento attraverso il quale qualsiasi interessato, durante il procedimento penale o dopo la sua definizione, può chiedere la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano. In materia di sicurezza del trattamento, si prevede come obbligatoria anche per l'autorità giudiziaria la nomina del responsabile della protezione dati, in ragione dell'ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale. Per quanto riguarda i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, si stabilisce che esso sia consentito solo nei confronti delle autorità competenti e per le finalità di pubblica sicurezza oggetto della direttiva e in presenza di specifiche condizioni, tra cui l'adozione, da parte della Commissione dell'Unione europea, di una decisione di adeguatezza o, in mancanza, vi siano garanzie adeguate. Il decreto individua nel Garante nazionale l'autorità deputata a vigilare sul rispetto delle norme, in funzione della tutela dei diritti e delle libertà fondamentali delle persone fisiche, coinvolte dalle attività di trattamento di dati personali, escludendo il potere di controllo del Garante in ordine al trattamento svolto dall'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, comprese quelle del pubblico ministero. Infine, per quanto riguarda la violazione delle nuove norme, il testo prevede sanzioni amministrative (che nei casi più gravi possono estendersi da 50.000 a 150.000 euro) per le violazioni inerenti alle modalità del trattamento e introduce sanzioni penali per il trattamento operato con finalità illegittime. Con riguardo a queste ultime è punito, salvo che il fatto non costituisca più grave reato, il trattamento illecito di dati finalizzato al profitto o al danno a terzi con la reclusione da 6 a 18 mesi o - in caso di diffusione dei dati - da 6 a 24 mesi. Inoltre, sempre che il fatto non costituisca più gravo reato, è punito con la reclusione da uno a tre anni chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della specifica normativa su particolari categorie di dati (i c.d. dati sensibili) o in violazione del divieto di profilazione finalizzata alla discriminazione di persone fisiche sulla base delle suddette categorie particolari di dati personali, se dal fatto deriva nocumento. Inoltre si punisce la falsità nelle dichiarazioni e notificazioni al Garante, riproducendo anche nelle sanzioni (reclusione da 6 mesi a 3 anni) Anche in questo caso si tratta di un reato comune potendo essere commesso da chiunque ma non è richiesto alcun dolo specifico essendo sufficiente la coscienza e la volontà di dichiarare o attestare falsamente notizie o circostanze o produrre atti o documenti falsi. Il novero delle condotte per cui è configurabile questo reato, pertanto, è assai ampio includendovi tutte quelle condotte che possono influire l'attività del Garante attraverso la comunicazione di notizie o circostanze non vere. Infine è sanzionata l'inosservanza del blocco o del divieto del trattamento disposto dal Garante (reclusione da 3 mesi a 2 anni). ultimo aggiornamento: 13 giugno 2018
La riforma del processo penale è uno degli obiettivi concordati con l'Unione europea per accedere alle risorse del Piano nazionale di ripresa e resilienza (PNRR). In merito, nella XVIII legislatura il Parlamento ha approvato la legge n. 134 del 2021, che delega il Governo ad operare una significativa riforma del codice di procedura penale con l'obiettivo di accelerare il processo penale anche attraverso una sua deflazione e la sua digitalizzazione. In data 28 settembre 2022, il Governo ha adottato, tra gli altri, lo schema di decreto legislativo di attuazione della citata legge delega (A.G. n. 414), sul quale ha espresso il proprio parere in relazione a "talune disposizioni [che] rivestono particolare interesse in termini di protezione dati, in ragione della proposta digitalizzazione di alcuni adempimenti procedimentali o, comunque, di specifici trattamenti di dati personali correlati alle attività disciplinate dallo schema di decreto". In particolare, il Garante si è soffermato sulle disposizioni del decreto relative ai seguenti punti, ritenuti particolarmente meritevoli sotto il profilo della protezione dei dati personali:
Con riguardo a quest'ultimo punto, si segnala che l'articolo 64-ter del decreto legislativo introduce una disciplina del diritto all'oblio degli imputati e degli indagati. In particolare, si prevede che l'imputato destinatario di una sentenza di proscioglimento o di non luogo a procedere e la persona sottoposta alle indagini destinataria di un provvedimento di archiviazione possano richiedere che sia preclusa l'indicizzazione o che sia disposta la deindicizzazione, sulla rete internet, dei dati personali riportati nella sentenza o nel provvedimento, ai sensi e nei limiti dell'articolo 17 del GDPR. Nel caso di richiesta volta a precludere l'indicizzazione, la cancelleria del giudice che ha emesso il provvedimento appone e sottoscrive la seguente annotazione, recante sempre l'indicazione degli estremi del presente articolo: «Ai sensi e nei limiti dell'articolo 17 del Regolamento del Parlamento europeo del 27 aprile 2016, n. 679, è preclusa l'indicizzazione dei dati personali dell'interessato, riportati nel provvedimento». Nel caso di richiesta volta ad ottenere la deindicizzazione, la cancelleria del giudice che ha emesso il provvedimento appone e sottoscrive la seguente annotazione, recante sempre l'indicazione degli estremi del presente articolo: «Il presente provvedimento costituisce titolo per ottenere, ai sensi e nei limiti dell'articolo 17 del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, un provvedimento di sottrazione dell'indicizzazione, da parte dei motori di ricerca generalisti, di contenuti relativi al procedimento penale, rispetto a ricerche condotte a partire dal nominativo dell'istante». Inoltre, ai sensi dell'articolo 65, si segnala che i centri per la giustizia riparativa sono titolari del trattamento dei dati personali di cui al GDPR anche di quelli c.d. sensibili di cui agli artt. 9 e 10, che avviene nel rispetto del citato regolamento e del Codice di cui al d.lgs. n. 196 del 2003. L'ambito del trattamento dei suddetti dati è delimitato con regolamento del Ministro della giustizia, sentito il Garante per la protezione dei dati personali. ultimo aggiornamento: 30 settembre 2022
Tra le principali misure in materia di dati personali in vigore anche dopo la data di cessazione dello stato di emergenza da Covid-19, si segnalano le seguenti:
[1] Il termine è prorogato al 31 dicembre 2022 dall'art. 10 e dall'allegato A n. 3 al decreto-legge n. 24 del 2022. In precedenza il termine era stato fissato al 31 marzo 2022 dall'art. 16 e dall'Allegato A n. 3 del decreto-legge n. 221 del 2021 e, ancor prima, il termine era stato prorogato fino al 31 dicembre 2021 dall'art. 6 e dall'allegato A, n. 1, del decreto-legge n. 105 del 2021. Il termine era stato fissato al 31 luglio 2021 dall'art. 11 e dall'Allegato del decreto-legge n. 52 del 2021. In precedenza il termine era stato posto al 30 aprile 2021 dall'art. 19 e dall'Allegato n. 1 del decreto-legge n. 183 del 2020 e, ancora prima, al 31 dicembre 2020 dall'art. 1, co. 3, lett. b) – allegato n. 12 del decreto-legge n. 125 del 2020. Analoga disposizione è stata in vigore fino al 15 ottobre 2020 per effetto del decreto-legge n. 83 del 2020 che, a sua volta, prorogava i termini previsti dall'art. 17-bis, commi 1 e 6, del decreto-legge n. 18 del 2020. [2] L'art. 2 del decreto-legge n. 125 del 2020 modifica l'art. 6 del decreto-legge n. 28 del 2020. Si dà conto del testo coordinato. [3] Il termine è stato prorogato da ultimo al 31 dicembre 2022 dall'art. 15 del D.L. n. 221 del 2021. Per la disamina dei provvedimenti adottati adottati dal Garante nazionale, dal Comitato europeo per la protezione dei dati - EDPB e da altre istituzioni europee in materia di Covid-19 e protezione dei dati personali si rimanda all'apposita sezione del sito del Garante Privacy. ultimo aggiornamento: 30 settembre 2022 dossier
Che cos'è il GDPR e che cosa prevede?L'acronimo GDPR sta per General Data Protection Regulation, il regolamento è nato in Europa per introdurre nuove regole in materia di protezione delle persone fisiche relativamente al trattamento dei dati personali e alla libera circolazione degli stessi.
Qual è la differenza tra diritto alla privacy e diritto alla protezione dei dati personali?Tanto che usiamo il termine privacy quando vogliamo rappresentare uno spazio personale che gli sconosciuti non possono oltrepassare. La protezione dei dati personali, invece, è un sistema di trattamento degli stessi che identifica direttamente o indirettamente una persona.
Quali sono le misure di sicurezza del GDPR?L'utilizzo di protocolli di cifratura, come il protocollo TLS e la cifratura end-to-end delle email in trasmissione costituisce, quindi, una misura di sicurezza adeguata ai sensi dell'articolo 32 del GDPR. Quando un dato, a seguito del trattamento attivo, deve essere conservato, deve essere adeguatamente protetto.
Quali sono i dati personali da proteggere?l'origine razziale o etnica
le opinioni politiche, le convinzioni religiose o filosofiche. l'appartenenza sindacale. i dati genetici e i dati biometrici intesi a identificare in modo univoco una persona fisica. i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
|