Codice in materia di protezione dei dati personali

INTRODUZIONE

La tutela della privacy si attua mediante gli strumenti che garantiscono all’individuo il diritto di costruire liberamente la propria sfera privata, di scegliere il proprio stile di vita senza influenze o intromissioni da parte di terzi estranei, riconoscendogli il ruolo di unico sovrano dei dati che lo riguardano.

 

La prima legge italiana sulla protezione dei dati personali nasce nel 1996 (n° 675), è nota come “legge sulla privacy” e ha istituito la figura del Garante per la Privacy (autorità indipendente dal potere esecutivo), per assicurare la tutela dei diritti, delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali.

La legge n.675 del 1996, per la prima volta, ha riconosciuto il diritto di chiunque alla riservatezza e alla tutela dei propri dati personali, indicando le “misure minime” di sicurezza necessarie per poter effettuare i trattamenti dei dati personali. Tali misure sono state specificate nel DPR 318/99.

L’ambito di applicazione della legge è stato ulteriormente chiarito e definito dai provvedimenti del Garante.

Nel 2003 la legge n.675 del 1996 è stata sostituita dal nuovo “Testo Unico” che riorganizza la materia.

 

Dal 1° Gennaio 2004, dunque, è entrato in vigore il D. Lgs. n° 196 del 30 Giugno 2003, denominato “Codice in materia di protezione dei dati personali”, che ha sostituito ed integrato tutta la precedente legislazione in materia di tutela della privacy.

Introducendo nuovi principi di tutela e riservatezza, il Codice ha rappresentato uno strumento fondamentale per la protezione e la salvaguardia dei dati.

 

Con il d. lgs. N.101 del 2018 il Governo italiano ha provveduto ad adeguare il “Codice in materia di protezione dei dati personali”, al Regolamento UE n.679 del 2016 (GDPR).

La disciplina già vigente, dunque, è stata riformata, introducendo alcune novità che permettono di attuare i principi ispiratori della nuova normativa europea, mediante una serie di rinvii al GDPR.

 

Il GDPR si basa sul principio di accountability e sui   principi della privacy by design e della privacy by default.

In base al principio della accountability i titolari del trattamento hanno l’obbligo di valutare i dati in loro possesso ed il loro valore, al fine di approntare le misure tecniche ed organizzative che ritengono adeguate a tutelarli.

In altri termini, i titolari del trattamento dei dati devono auto responsabilizzarsi effettuando una corretta analisi dei rischi connessi al trattamento dei dati e devono implementare le misure di sicurezza adeguate.

Il principio della privacy by design, invece, tende a garantire la protezione dei dati fin dalla fase di ideazione e progettazione di un trattamento o di un sistema e, quindi, obbliga il titolare ad adottare comportamenti che consentano di prevenire possibili problematiche.

Il principio della privacy by default, infine, obbliga il titolare a predisporre preliminarmente il trattamento in modo tale che esso abbia ad oggetto solo i dati personali strettamente necessari e sufficienti, e duri solo il tempo utile per raggiungere le finalità previste.

Il GDPR persegue i seguenti obiettivi:

– migliorare la fiducia dei consumatori nelle organizzazioni che conservano e trattano i loro dati personali, consolidando i loro diritti al rispetto della vita privata e della protezione dei dati personali in modo coerente in tutta l’UE

– semplificare il libero flusso dei dati personali nell’Unione creando un quadro di protezione dei dati solido e coerente fra tutti gli Stati membri

-adattare la disciplina della privacy al mondo digitale. Il Codice a tutela della privacy, dunque, stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati. Esso protegge i diritti e le libertà fondamentali delle persone fisiche.

 

IL CODICE E’ DIVISO IN TRE PARTI:

  1. la prima è dedicata alle disposizioni generali, riordinate in modo tale da indicare tutti gli adempimenti e le regole del trattamento, con riferimento ai settori pubblico e privato;
  2. la seconda è la parte speciale e reca “Disposizioni specifiche per i trattamenti necessari per adempiere ad un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri nonché disposizioni per i trattamenti di cui al capo IX del regolamento”. Essa è dedicata a specifici settori;
  3. la terza, affronta la materia delle tutele amministrative e giurisdizionali e comprende le norme relative alle sanzioni amministrative e penali e le disposizioni che disciplinano l’Ufficio del Garante.

Il Codice è stato ulteriormente modificato con il d.l. n.139 del 2021 che ha ampliato i poteri delle Pubbliche Amministrazioni (ivi incluse le autorità indipendenti, le società a controllo pubblico e gli organismi di diritto pubblico), relativi al trattamento dei dati personali degli interessati, conferendo loro maggiore discrezionalità, rispetto al passato, nel trattamento dei dati sensibili e, in particolare, dei dati sanitari e di quelli economico-patrimoniali.

In particolare, per i dati sanitari si ampliano i poteri dei soggetti istituzionali coinvolti nella messa a punto e nella gestione del sistema di AI necessario per realizzare la sanità digitale: Ministero della Salute, Istituto Superiore di Sanità (ISS), Agenzia nazionale per i servizi sanitari regionali (AGENAS), Agenzia Italiana per il farmaco (AIFA), Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP). Tale sistema consiste in un’infrastruttura altamente innovativa per abilitare servizi a supporto dei professionisti sanitari, che migliora la capacità di presa in carico proattiva e lo stato di salute della popolazione, utilizzando processi assistenziali innovativi.

Per effetto del d.l.n.139 del 2021, peraltro, il Garante non può intervenire, in via preventiva, sui trattamenti dei dati effettuati dalla P.A., relativi a misure e progetti che attengono al PNRR (Piano nazionale di ripresa e resilienza), al Piano nazionale per gli investimenti complementari (D.L. n. 59/2021), al Piano nazionale integrato per l’energia e il clima 2030. Il Garante, infatti, può solo fornire il proprio parere, ex post, nel termine, non prorogabile, di trenta giorni dalla richiesta, decorso il quale si procederà indipendentemente dalla sua acquisizione.

Il Governo, dunque, ha garantito alle Pubbliche Amministrazioni una corsia preferenziale per sbloccare il patrimonio informativo ed auto-informativo in loro possesso e promuoverne lo scambio e la condivisione, in funzione dell’attuazione degli obiettivi del PNRR.

Il decreto in esame ha introdotto anche la possibilità per l’interessato, ivi inclusi minori ultraquattordicenni e l’esercente la responsabilità genitoriale, di rivolgersi al Garante privacy in caso di revenge porn. Ove si abbia il fondato motivo di ritenere che registrazioni audio, video, foto a contenuto sessualmente esplicito, destinati a rimanere privati, siano oggetto di invio, consegna, cessione, pubblicazione o diffusione attraverso piattaforme digitali, si può effettuare una segnalazione attraverso un modulo disponibile on line, al Garante, che può adottare un provvedimento di tutela preventiva ed immediata.

Infine, il decreto ha stabilito che, in caso di mancata ottemperanza ad un provvedimento del Garante privacy, si configura un reato punibile solo su querela di parte, ove arrechi un danno concreto a uno o più soggetti interessati.

 

Con il d.l. n.19 del 2024 il legislatore ha nuovamente modificato il Codice a tutela della privacy in funzione della realizzazione del sistema di AI nel settore sanitario, precisando che i dati personali relativi alla salute trattati dal Ministero della Salute mediante interconnessione, devono essere “pseudonimizzati” cioè non devono essere trattati “in chiaro”.