Oltre al Regolamento (UE) 679/2016 e al Codice italiano ci sono diverse fonti in materia di protezione dei dati personali, vediamo quali

 

Che cosa si intende con “dati personali”?

Prima di vedere quali sono le fonti in materia di protezione dei dati personali, cerchiamo di capire a cosa ci si riferisce quando si parla di “dati personali”.

Così come indicato nel Regolamento (UE) 679/2016 (c.d. GDPR[1]), con il termine dati personali s’intende:

“qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Si tratta, quindi, di dati quali, ad esempio, il nome, il cognome, il codice fiscale, l’indirizzo IP, i riferimenti bancari, l’indirizzo di residenza, i dati che consentono la geolocalizzazione o relativi alle comunicazioni elettroniche.

Assumono poi particolare rilevanza e necessitano di una maggiore tutela i dati personali:

  • c.d. particolari, ossia quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale, i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
  • c.d. giudiziari, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato e quelli relativi alle condanne penali e ai reati o a misure di sicurezza.

 

Fonti in materia di protezione dei dati personali: evoluzione europea e nazionale

Nel nostro ordinamento non vi è una norma costituzionale che si occupa di tutelare il c.d. diritto alla privacy.

Numerose sono state le interpretazioni fornite negli anni e i tentativi di riconoscere un suo fondamento in alcuni articoli della Carta Costituzionale[2]; ciò che è certo, è che si tratti di un diritto essenziale della persona, riconducibile a quei diritti inviolabili tutelati dall’art. 2 della Costituzione.

Anche a livello europeo è considerato un diritto fondamentate: l’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e l’articolo 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea “c.d. TFUE” stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

La prima direttiva europea (c.d. Data Protection Directive) che si è occupata di regolare il trattamento dei dati personali risale al 1995, in seguito, nel 2002, alla luce delle mutate esigenze del tempo, la direttiva sull’e-Privacy, ha adeguato le norme a tutela della privacy.

La rapida evoluzione tecnologica e la globalizzazione hanno poi comportato nuove sfide per la protezione dei dati personali.

Era quindi necessario che fosse individuato un adeguato livello di protezione dei dati personali in tutti gli Stati membri, tramite il rafforzamento e la disciplina dei diritti degli interessati e degli obblighi di chi effettua il trattamento dei dati personali, nonché l’attribuzione di poteri per controllare e assicurare il rispetto delle norme e oltre che di sanzioni per le violazioni.

L’adozione del Regolamento (UE) 679/2016 (c.d. GDPR), divenuto efficace in tutti gli Stati membri dell’Unione a decorrere da 25 maggio 2018, ha risposto proprio a queste esigenze di tutela ed ha creato un quadro normativo omogeneo in materia.

Dal canto suo, l’Italia, con la legge n. 675 del 1996 si è dotata di una propria disciplina (in attuazione della Data Protection Directive) e ha istituito la figura del Garante per la protezione dei dati personali.

Successivamente, nel 2004, è entrato in vigore il Decreto Legislativo n. 196/2003, denominato Codice in materia di protezione dei dati personali, poi integrato e modificato in seguito all’entrata in vigore del GDPR, dal Decreto Legislativo n. 101 del 2018.

Con l’adozione GDPR si è infatti completamente modificato l’approccio alla tutela della privacy contenuto nel vecchio Codice privacy italiano e si è quindi reso necessario un suo adeguamento.

La nuova normativa europea ha promosso, in primo luogo, la responsabilizzazione dei soggetti che trattano i dati personali di persone fisiche[3] (c.d. principio di accountability)[4].

Pertanto, non basta più che titolari del trattamento adottino misure minime di sicurezza per la protezione dei dati, ma è necessario che questi ultimi assumano comportamenti proattivi che tengano costantemente conto dei rischi per i diritti e le libertà degli interessati, che possono derivare dal trattamento dei loro dati personali.

 

Le altre fonti in materia di protezione dei dati personali

Oltre al GDPR e al Codice in materia di protezione dei dati personali, vi sono, poi, altre fonti che regolano la materia:

  1. i Codici di condotta, che hanno lo scopo di aiutare coloro che sono i soggetti coinvolti nell’applicazione del GDPR, in funzione delle specificità delle attività di trattamento o del settore interessato. Ad oggi, ve ne sono 3:
    • codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale;
    • codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti;
    • codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica.
  2. le Regole Deontologiche, promosse e approvate dal Garante. Ad oggi, il Codice in materia di protezione dei dati personali prevede le seguenti:
    • regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica;
    • regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria;
    • regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica;
    • regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale;
    • regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.
  3. Linee guida, decisioni vincolati, pareri e raccomandazioni emanati dal Gruppo di Lavoro articolo 29 (WP29), oggi sostituito dal Comitato Europeo per la protezione dei dati (c.d. EDPB[5]). L’EDPB, organismo europeo indipendente, fornisce orientamenti generali per l’applicazione della normativa privacy e adotta pareri e decisioni rivolti alle Autorità di vigilanza nazionali.
  4. Linee guida, autorizzazioni generali, provvedimenti e pareri emanati dal Garante per la protezione dei dati personali, ossia l’Autorità di controllo nazionale indipendente designata ai fini dell’attuazione del GDPR.

Informazioni

Costituzione italiana

GDPR

[1] General Data Protection Regulation.

[2] Ossia, artt. 3, 13, 14, 15 e 21 della Costituzione.

[3] In quanto, occorre ricordarlo, il GDPR disciplina il trattamento dei dati personali riferiti alle sole persone fisiche.

[4] Per un approfondimento dei principi sulla protezione dei dati personali: I principi sulla protezione dei dati nel GDPR – DirittoConsenso.

[5] European Data Protection Board.