1 / 63

I principi generali del Codice della Privacy

I principi generali del Codice della Privacy. Prof. Avv. Giovanni Ziccardi Università degli Studi di Milano giovanni.ziccardi@unimi.it. 1. Le premesse. La tutela della privacy in Italia negli anni 1996 - 2005. La situazione odierna: Decreto Legislativo 30 giugno 2003, n. 196

carol-gill
Download Presentation

I principi generali del Codice della Privacy

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. I principi generali del Codice della Privacy Prof. Avv. Giovanni Ziccardi Università degli Studi di Milano giovanni.ziccardi@unimi.it

  2. 1. Le premesse La tutela della privacy in Italia negli anni 1996 - 2005

  3. La situazione odierna: Decreto Legislativo 30 giugno 2003, n. 196 “Codice in Materia di Protezione dei Dati Personali” La “storia legislativa” recente: “Moda” dei TESTI UNICI (semplificazione amministrativa degli ultimi 10 anni) Legge 127 del 2001, art. 1.4 (“Il Governo emana … un testo unico delle disposizioni in materia di tutela dei dati personali e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e le modificazioni necessarie al coordinamento o per assicurarne la migliore attuazione”)

  4. Testo Unico (o “Codice” ai sensi della Legge 229/2003) Principio di semplificazione che consiste in un bilanciamento tra l’esercizio dei diritti dell’interessato e l’adempimento degli obblighi del titolare. I lavori sul Codice iniziano nel 2001 (Commissione “Bianca”) Scadenza della delega: 30 giugno 2003. Raccoglie anche l’eredità della legge 675 del 1996 e le sue (numerose) successive modificazioni ed integrazioni

  5. La struttura • Parti I e III del Codice: raccolgono l’eredità della disciplina precedente. Sono quelle più “mature”, contengono i principi fondamentali, hanno l’assetto migliore. • Parte II: una seconda fase nella tutela della privacy, ovvero una regolamentazione di diversi settori con, però, limiti di completezza e non esaustività dei temi e dei casi trattati • Allegati: importanza dell’Allegato B con riferimento alle misure minime di sicurezza

  6. I princìpi dell’Unione Europea • Direttiva 96/45/CE: tutela del diritto fondamentale alla privacy • Protezione dei consumatori e dei contraenti deboli • Trasparenza (soprattutto nei rapporti contrattuali) • Sicurezza dei dati personali (studi a livello di Unione Europea e linee guida) • Difesa dei diritti dell’interessato tramite un Garante (anche per evitare la tradizionale “strada” giudiziale)

  7. I precedenti normativi • Legge 675 del 1996 • Problemi di applicazione e di attuazione pratica della 675 • Norma “gemella”, la 676, con delega al Governo per l’emanazione di un corpo di norme di settore e adeguamenti legislativi • Frammentazione normativa nel corso degli anni. Legge madre e tante “leggi figlie” • Ben 9 interventi correttivi e integrativi + discipline di corredo, tra cui il d.p.r. 318/99 • Nel frattempo: Direttiva UE 2002/58/CE sul trattamento dei dati personali nel settore delle telecomunicazioni

  8. Perché un Codice? • Riordino di una normativa cresciuta in maniera non coordinata • Primo bilancio, e nuovo inizio, dopo sette anni di esperienza • Adeguamento costante alle nuove tecnologie • Raggruppa norme esistenti, modifica e introduce norme nuove

  9. PARTE I Disposizioni Generali

  10. Prima Parte del Codice • Raggruppa tutte le disposizioni di carattere generale che si applicano a qualsiasi Titolare, qualunque sia il settore di appartenenza e a prescindere dal tipo di trattamento realizzato • Ricompone un po’ i tasselli “scombinati” dalla legge 675 • Buona notizia: riduzione di un 30% di norme sovrabbondanti

  11. Struttura della I Parte • Suddivisa in sette titoli • Titolo I: principi generali privacy, nascita di un nuovo diritto fondamentale • Titolo II: i diritti dell’interessato e le modalità di esercizio • Titolo III: Regole generali circa il trattamento dei dati personali (distinzione importante: settore privato/settore pubblico)

  12. Segue: la struttura • Titolo IV: il modello organizzativo richiesto dal legislatore per gestire adeguatamente il sistema privacy • Titolo V: il “pianeta” della sicurezza • Titolo VI: gli adempimenti di legge • Titolo VII: i trasferimenti esteri di dati personali

  13. Titolo I Principi generali

  14. Principi generali • Proclamazione del nuovo diritto alla tutela dei dati personali (art. 1) • Alto livello di tutela (art. 2) • Principio di necessità nel trattamento con strumenti elettronici (art. 3)

  15. Articolo 1 Diritto alla protezione dei dati personali Chiunque ha diritto alla protezione dei dati personali che lo riguardano in conformità alle disposizioni del presente codice

  16. Considerazioni • Diritto di ciascuno a che i propri dati personali, ove trattati da un’altra persona, siano protetti con le modalità e secondo gli standard definiti dalla legge • Patrimonio informativo di ciascuno come patrimonio informativo circolante, sottoposto ad uso da tanti soggetti per le finalità più varie

  17. Considerazioni II • Qualificazione dell’attività di trattamento dei dati come attività pericolosa, con necessità di una sicurezza che riduca al minimo i rischi • “Chiunque”: qualsiasi soggetto, indipendentemente dalle sue caratteristiche. Persona fisica o giuridica, maggiorenne o minorenne, italiani o stranieri, con o senza diritti politici: NON DISCRIMINAZIONE

  18. Articolo 2 - Finalità • 1. Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.

  19. Articolo 2 - Continua • 2. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento.

  20. Considerazioni • Il primo comma definisce l’orizzonte dei valori e dei beni giuridici entro cui si muove questa normativa • Il secondo comma mette in chiaro la strategia di sviluppo di questa codificazione in una materia “fluida”

  21. Considerazioni • Intanto l’art. 2 presenta il nuovo “contenitore”, ovvero il Testo Unico • Poi definisce il perimetro di diritti e di libertà da rispettare, chiarendo che la normativa protegge i diritti e le libertà fondamentali di tutti (interessati, titolari e terzi) e la dignità degli interessati • Anticipa i diritti, le libertà fondamentali, la dignità

  22. Tre diritti • Il diritto alla riservatezza (ovvero la protezione della vita privata) • Il diritto alla identità personale (ovvero la protezione della individualità di ciascuno, che si attua anche tramite la tutela delle informazioni che precisano i contorni della individualità • Il diritto alla protezione dei dati personali

  23. Articolo 3 Principio di necessità nel trattamento di dati “1. I sistemi informativi sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o, rispettivamente, opportune modalità che permettano di identificare l’interessato solo in caso di necessità”.

  24. Considerazioni • Articolo innovativo, che prende spunto dalla Direttiva 2002/58 sulla privacy nelle comunicazioni elettroniche che parla di tecnologie “pertinenti” e di “ridurre al minimo il trattamento dei dati personali e di utilizzare dati anonimi o pseudoanonimi nella misura del possibile (IX considerando) • I sistemi per la fornitura di reti e servizi di comunicazione elettronica dovrebbero essere progettati per limitare al minimo la quantità di dati personali necessari (XXX considerando)

  25. Art. 4 - Definizioni • Definisce gli istituti che sono oggetto della disciplina • Alcune novità: la nozione di trattamento ora incorpora anche la “consultazione”; • indicazione che incaricati possono essere solo persone fisiche

  26. Il dato • Dato = informazione. Può rientrare qualsiasi elemento che abbia un contenuto informativo • Espressioni alfabetiche, suoni, immagini • Primo tipo: dato personale • Altri tipi: dato genetico, dato identificativo, dato giudiziario, dato sensibile, dati relativi a malattie contagiose di particolare gravità, dati anonimi, dati biometrici

  27. Dato personale • Qualsiasi informazione concernente una persona identificata o identificabile purché idonea a identificare detta persona • Qualunque informazione: forma e contenuto, suoni, immagini

  28. “Top ten” della gravità dei dati “Dimenticando” per un attimo il Legislatore • Dati genetici: categoria apicale per impatto privacy, alta sorveglianza del Garante, necessità di decidere quasi caso per caso • Dati relativi a malattie contagiose di particolare gravità (AIDS, “mucca pazza”) Legge 135/90 HIV e divieto assoluto di raccolta da parte del datore di lavoro (art. 6 L. 135/90) - paletti + accorgimenti e cautele in ambito sanitario

  29. Top ten II • Dati idonei a rivelare lo stato di salute e la vita sessuale • Dati giudiziari • Altri dati sensibili • Dati biometrici e dati di ubicazione o di traffico • Dati comuni • Dati quasi anonimi (identificazione solo per via mediata, con sigle o id) • Dati anonimi

  30. Il dato sensibile • Disciplina distinta ed organica • Origine razziale, condizioni sanitarie o di salute, vita o abitudini sessuali, appartenenza politica o sindacale • Dati sensibili per loro stessa natura (ad. es. dati relativi alla salute di un soggetto). Si guarda al contenuto. • Dati sensibili in relazione al contesto in cui vengono utilizzati (indirizzi associati ad abbonamento a riviste per soli adulti). Diventano sensibili perché aggregati ad altri dati

  31. I soggetti • Interessato (anche persone giuridiche, scelta nazionale) • Titolare: centro di imputazione di obbligo di legge e delle responsabilità • Responsabile: già presente 675/96 • Incaricato: la designazione può cadere solo su persone fisiche e non anche su soggetti impersonali, sia individui interni alla organizzazione, sia individui esterni. • Garante: Autorità che presidia il rispetto della normativa

  32. Trattamento per UE • La direttiva 95/46/CE non tutelava il trattamento di qualunque dato personale ma solo di quei dati contenuti o destinati a figurare in banche dati, quindi per la direttiva, per aversi trattamento occorre che il dato sia utilizzato, anche in prospettiva, con altri dati organizzati. Presenza essenziale di una banca dati

  33. Trattamento Italia • Scissione tra concetto di trattamento e concetto di banca dati, in quanto per aversi il primo non è necessario che il dato sia inserito in un archivio. Amplificazione della portata della norma • Riprende la 675 aggiungendo la consultazione • Diventa trattamento qualunque operazione sui dati personali, a prescindere dalle relative modalità attuative o dal supporto su cui i dati sono registrati • Definizione onnicomprensiva (raccolta, conservazione, utilizzo, distruzione. Ciclo di vita del dato)

  34. Comunicazione • Si riferisce unicamente a quelle operazioni di trasmissione di dati personali tra autonomi titolari (altrimenti si ha una trasmissione dei dati all’interno dello stesso trattamento)

  35. Diffusione • La diffusione è la divulgazione di dati personali ad una classe di destinatari indiscriminata (caso della pubblicazione di un prospetto contabile in una bacheca situata all’interno di un consorzio) • Divieti assoluti e relativi, nel Codice, con riferimento al alcuni dati (sensibili)

  36. Il blocco • L’operazione di blocco è una sorta di congelamento del dato, che è posto in condizione di non essere più utilizzabile. Può riguardare sia il cartaceo (annotazione della indisponibilità) sia l’elettronico

  37. Articolo 5 - Oggetto e ambito di applicazione • Principio di stabilimento del titolare del trattamento. Trattamento di dati personali effettuato da chiunque è stabilito nel territorio dello stato anche se riguarda dati detenuti all’estero • Trattamenti svolti da chiunque è stabilito in un paese extra UE ma con strumenti situati nel territorio dello stato, anche diversi da quelli elettronici (obbligo di nominare un rappresentante stabilito nel territorio italiano)

  38. Fini esclusivamente personali • Il trattamento per fini personali è ai margini dell’ambito di applicazione della legge (escluso dalla direttiva comunitaria, precisato da 675 e codice) • La comunicazione sistematica o la diffusione dei dati non rientrano nel concetto di uso personale e, quindi, sono soggette alla normativa in esame • Anche per le raccolte di dati ad uso personale, vige l’obbligo di adottare misure di sicurezza adeguate al fine di ridurre i rischi ex art. 31

  39. Sfera personale • Si ritiene che diffusione dei dati e fini personali non siano compatibili (esclusa configurabilità di uno scopo personale in caso di diffusione dei dati) • La deroga vi è nell’area in cui ciascun individuo apprende notizie e informazioni che rimangono utilizzate in una dimensione strettamente privata.

  40. Sistematicità della comunicazione • Si riferisce alla sola comunicazione, non alla diffusione: o per soddisfare le proprie esigenze personali o se viene effettuata una comunicazione saltuaria ed episodica • Attenzione: si riferisce solo alla persona fisica: il soggetto che tratta i dati deve essere una persona fisica. Non riguarda le aziende.

  41. Sfera personale /2 • La legge tutela le persone cui si riferiscono i dati ma rispetta anche la sfera personale di chi intenda esercitare la libertà di informarsi e di essere informato per perseguire scopi meramente personali. • Inapplicabile (tranne 15 e 31) alle agende automatizzate e cartacee, alle rubriche, agli indirizzari, agli appunti e al materiale informativo che chiunque è solito conservare nella propria sfera privata per soddisfare interessi culturali o altre normali esigenze della vita di relazione.

  42. Articolo 6 - Disciplina del Trattamento • 1. Le disposizioni contenute nella presente Parte si applicano a tutti i trattamenti di dati, salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrative o modificative della Parte II

  43. Considerazioni • L’articolo si riferisce alla composizione strutturale del Codice • A cosa si riferisce? A tutta la Parte II? A tutte le norme della Parte II che selezionano per per determinati settori le norme della Parte I applicabili o che rettificano alcune regole generali? • Significato: la Parte I del codice ha contenuto ed applicazione generalizzata (si applica a tutti i trattamenti per i quali non vi sia una espressa esclusione o deroga di legge).

  44. TITOLO II Diritti dell’interessato

  45. Le novità • Sono i diritti riconosciuti all’interessato • Norme primarie che riguardano l’esercizio dei diritti e le relative modalità applicative • L’interessato ha sempre il diritto di conoscere i propri dati utilizzati dal Titolare • Quando i dati non sono del tutto corretti, l’interessato ha il diritto di aggiornamento, di rettifica, di integrazione dei propri dati

  46. Le novità /2 • A determinate condizioni l’interessato ha diritto di opporsi al trattamento nonché quando è stata violata la legge, ha diritto alla cancellazione, alla anonimizzazione e al blocco dei dati trattati

  47. Articolo 7 - Primo Punto Diritto di accesso ai dati personali ed altri diritti 1. L’interessato ha diritto di ottenere la conferma della esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile,

  48. Articolo 7 - Secondo Punto • 2. L’interessato ha diritto di ottenere l’indicazione: • A) dell’origine dei dati personali trattati • B) delle finalità e modalità del trattamento • C) della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici

  49. Articolo 7 - secondo punto (2) • D) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2 • E) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabile o incaricato

  50. Articolo 7 - Punto 3 • 3. L’interessato ha diritto di ottenere: • A) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati • B) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati

More Related