Cod privind protecția datelor cu caracter personal

Cod pentru protecția datelor cu caracter personal
Titlu extins	Cod privind protecția datelor cu caracter personal
Legea tipului	Text unic
Date cheie
Promulgare	1 ianuarie 2004
Text
Trimitere la text	Normativ

Codul pentru protecția datelor cu caracter personal (cunoscut și sub denumirea „ cod de confidențialitate ”), menționat în Decretul legislativ 30 iunie 2003, nr. 196 , în vigoare de la 1 ianuarie 2004, conține reglementările naționale referitoare la protecția datelor cu caracter personal.

Legea consolidată , deoarece reunește reglementările anterioare pe această temă într-un singur organism de reglementare, este inspirată de introducerea de noi garanții pentru cetățeni, raționalizarea reglementărilor existente și simplificarea obligațiilor și înlocuiește legislația anterioară (legea 31 decembrie 1996, nr. 675).

4 mai 2016 a fost publicat în Jurnalul Oficial al UE al noului Regulament general privind protecția datelor (GDPR, Regulamentul general privind protecția datelor - Regulamentul UE 2016/679), care este în vigoare din 25 mai 2016 și se aplică începând cu 25 mai 2018 ^[1] ^[2] ^[3] . La 19 septembrie 2018, Decretul legislativ 10 august 2018, nr. 101, care conține dispozițiile pentru adaptarea legislației naționale la noul regulament ^[4] .

fundal

Înaintea unei legislații specifice, singura protecție era asigurată de jurisprudența Curții Supreme de Casație ; să respecte Acordurile Schengen și să pună în aplicare Directiva Uniunii Europene 95/46 / CE din 24 octombrie 1995, referitoare la protecția persoanelor cu privire la prelucrarea datelor cu caracter personal, legea nr. 675, care a intrat în vigoare în mai 1997 .

De-a lungul timpului, s-au adăugat alte legi la această regulă, referitoare la aspecte unice și specifice ale prelucrării datelor. Complexitatea de reglementare de supraveghere creată în urma aprobării diferitelor dispoziții a dus la emiterea Decretului legislativ 30 iunie 2003, nr. 196 care a rearanjat complet problema. În 2011 și 2012, alte dispoziții au modificat codul din 2003, în special prin eliminarea unor etape birocratice (cum ar fiDPS ) sau regulile pentru informații sensibile furnizate spontan prin CV-ul propriu .

La 25 ianuarie 2012, Comisia Europeană a aprobat propunerea de regulament privind protecția datelor cu caracter personal ^{[5], care} să înlocuiască directiva 95/46 / CE. La 4 mai 2016, Regulamentul Uniunii Europene nr. 2016/679 (aplicabilă direct fără a fi necesară o lege de transpunere), a cărei intrare definitivă în vigoare a avut loc la 25 mai 2018.

Contextul de reglementare

Aceste drepturi sunt echilibrate cu alte drepturi de rang egal, prevăzute în Constituție, precum dreptul la o remunerație echitabilă (art. 36 ^[6] ) și dreptul la apărare (art. 24 ^[7] ). Eficacitatea acestor drepturi necesită posibilitatea de a accesa și consulta documentele companiei, pentru a produce dovezile necesare , de exemplu, pentru a demonstra calitatea și cantitatea muncii prestate sau extranitatea acesteia față de faptele acuzate.

În acest sens, principiul rangului egal reglementează aceeași problemă de acces și consultare în sectorul public. Deoarece angajatorul este singurul subiect îndreptățit , în calitate de proprietar și administrator al sistemelor de informații și stocare, există posibilitatea concretă de creare, ștergere sau modificare fără urmă de informații și acțiuni ale utilizatorilor asupra sistemului înainte de achiziționarea lor. dificultatea reconstrucției lor ex-post.

Conţinut

Decretul legislativ 196/2003 abrogă legea anterioară 675/96 , care a fost introdusă pentru a se conforma Acordurilor Schengen și a intrat în vigoare în mai 1997 . De-a lungul timpului, având în vedere stratificarea normativă tipică care are loc în sistemele juridice cu tradiție civilă (inclusiv cea italiană), această regulă a fost însoțită de numeroase alte prevederi referitoare la aspecte specifice ale prelucrării datelor, care au fost încorporate în actuala lege consolidată, care a intrat în vigoare la 1 ianuarie 2004 .

Aplicarea legislației este supravegheată de Autoritatea de garanție pentru protecția datelor cu caracter personal , înființată de la Legea 675/1996, apoi confirmată și de Legea consolidată din 2003. Decretul protejează dreptul individului la datele sale personale și, în consecință, la disciplina diferitelor operațiuni de gestionare (tehnic „tratare”) a datelor, privind colectarea, elaborarea, compararea, anularea, modificarea, comunicarea sau difuzarea acestora.

Articolul 1 din actul consolidat recunoaște dreptul absolut al tuturor la datele sale, care prevede textual: „Oricine are dreptul la protecția datelor cu caracter personal care îl privesc”. Acest drept se referă la drepturile personalității .

Dreptul la confidențialitate este diferit de dreptul la datele proprii, deoarece nu se referă doar la informații despre viața privată, ci include, în general, orice informație referitoare la o persoană, chiar dacă nu este acoperită de confidențialitate (date personale precum numele sau adresa locuinței dvs.).

Scopul legislației este de a împiedica prelucrarea datelor să aibă loc fără consimțământul persoanei îndreptățite sau pentru a-i face rău. În Legea consolidată, titlul II, articolele 8-10, în acest scop, drepturile părților interesate , metoda de colectare și cerințele de date , obligațiile celor care colectează, dețin sau prelucrează date cu caracter personal și responsabilitățile și sancțiunile în cazul de daune .

Disciplina generală a protecției datelor cu caracter personal nu este modificată de noul cod, deoarece scopul acestei noi legi constă în raționalizarea întregului set de reguli existente prin instrumentul textului consolidat (care a fost întotdeauna folosit pentru acest lucru). scop).

Noțiuni și deficiențe

Legea consolidată clarifică oferind definiții precise în art. 4 ^[8] :

1. În sensul prezentului cod (Decretul legislativ 196/2003) înțelegem prin:

„ tratament ”, orice operațiune sau set de operațiuni, efectuate chiar fără ajutorul instrumentelor electronice, referitoare la colectarea, înregistrarea, organizarea, stocarea, consultarea, procesarea, modificarea, selectarea, extragerea, compararea, utilizarea, interconectarea, blocarea, comunicarea , diseminarea, anularea și distrugerea datelor, chiar dacă nu sunt înregistrate într-o bază de date;
„ date cu caracter personal ”, orice informație referitoare la o persoană fizică, persoană juridică, organizație sau asociație, identificată sau identificabilă, chiar indirect, prin referire la orice alte informații, inclusiv un număr de identificare personală;
„ date de identificare ”, date cu caracter personal care permit identificarea directă a părții interesate;
„ date sensibile ”, date cu caracter personal adecvate pentru a dezvălui originea rasială și etnică, credințele religioase, filosofice sau de altă natură, opiniile politice, apartenența la partide, sindicatele, asociațiile sau organizațiile cu caracter religios, filosofic, politic sau sindical, precum și date cu caracter personal adecvate pentru dezvăluirea stării de sănătate și a vieții sexuale;
„ date judiciare ”, datele cu caracter personal adecvate pentru divulgarea dispozițiilor menționate la articolul 3 ^[9] , paragraful 1, literele de la a) la o) și de la r) la u), din Decretul prezidențial 14 noiembrie 2002, n. 313, în ceea ce privește cazierul judiciar, registrul sancțiunilor administrative în funcție de infracțiune și de acuzațiile aferente aferente sau statutul persoanei acuzate sau suspectate în conformitate cu articolele 60 și 61 din codul de procedură penală;
„ proprietar ”, persoana fizică, persoana juridică, administrația publică și orice alt organism, asociație sau organizație care este responsabil, chiar împreună cu un alt proprietar, pentru deciziile privind scopurile, metodele de prelucrare a datelor cu caracter personal și instrumentele utilizate, inclusiv securitatea profil;
„ responsabil ”, persoana fizică, persoana juridică, administrația publică și orice alt organism, asociație sau organism desemnat de proprietar pentru prelucrarea datelor cu caracter personal;
„ numiți ”, persoanele fizice autorizate să efectueze operațiuni de prelucrare de către proprietar sau administrator;
„ Interesat ”, persoana fizică, persoana juridică, organizația sau asociația la care se referă datele cu caracter personal;
„ comunicare ”, divulgarea datelor cu caracter personal către unul sau mai multe subiecte specifice, altele decât partea interesată, reprezentantul proprietarului pe teritoriul Uniunii Europene, managerul sau reprezentantul acestuia pe teritoriul Uniunii Europene, persoanele autorizate, în conformitate cu la articolul 2 - quaterdecies , la prelucrarea datelor cu caracter personal sub autoritatea directă a proprietarului sau managerului, sub orice formă, inclusiv prin punerea lor la dispoziție, consultare sau prin interconectare;
„ diseminare ”, informarea subiectelor nedeterminate cu privire la datele personale, sub orice formă, inclusiv prin punerea la dispoziție sau consultare;
„ date anonime ”, date care inițial sau în urma prelucrării, nu pot fi asociate cu o persoană vizată identificată sau identificabilă;
„ bloc ”, stocarea datelor cu caracter personal cu suspendarea temporară a oricărei alte operațiuni de prelucrare;
„ bancă de date ”, orice complex organizat de date cu caracter personal, împărțit în una sau mai multe unități situate pe unul sau mai multe site-uri;
„ garant ”, autoritatea menționată la articolul 153, înființată prin legea din 31 decembrie 1996, nr. 675.

2. În sensul prezentului cod, se înțelege, de asemenea, că:

„ comunicare electronică ”, orice informație schimbată sau transmisă între un număr finit de subiecți printr-un serviciu de comunicații electronice accesibil publicului. Informațiile transmise publicului printr-o rețea de comunicații electronice, ca parte a unui serviciu de radiodifuziune, sunt excluse, cu excepția cazului în care aceleași informații sunt legate de un abonat sau utilizator destinatar identificat sau identificabil;

„ apel ”, conexiunea stabilită de un serviciu de telefonie accesibil publicului, care permite comunicarea bidirecțională în timp real;

„ rețele de comunicații electronice ” înseamnă sisteme de transmisie, echipamente de comutare sau rutare și alte resurse care permit transmiterea semnalelor prin cablu, radio, fibră optică sau alte mijloace electromagnetice, inclusiv rețele de satelit, rețele fixe și cu comutare de circuite și rețele terestre cu comutare de pachete, inclusiv Internetul, rețelele utilizate pentru difuzarea circulară a programelor de sunet și televiziune, sistemele pentru transportul energiei electrice, în măsura în care sunt utilizate pentru a transmite semnale, rețelele de televiziune prin cablu, indiferent de tipul de informații transportate;

„ rețea de comunicații publice ” înseamnă o rețea de comunicații electronice utilizată în totalitate sau predominant pentru a furniza servicii de comunicații electronice accesibile publicului;

„ serviciu de comunicații electronice ”, servicii care constau exclusiv sau în principal în transmiterea de semnale prin rețele de comunicații electronice, inclusiv servicii de telecomunicații și servicii de transmisie în rețelele utilizate pentru difuzare, în limitele prevăzute la articolul 2 litera c) din Directiva 2002/21 / CE a Parlamentului European și a Consiliului din 7 martie 2002;

„ abonat ”, orice persoană fizică, persoană juridică, entitate sau asociație care este parte la un contract cu un furnizor de servicii de comunicații electronice accesibile publicului pentru furnizarea acestor servicii sau, în orice caz, destinatarul acestor servicii prin intermediul cardurilor preplătite;

„ utilizator ”, orice persoană fizică care folosește un serviciu de comunicații electronice accesibil publicului, din motive private sau comerciale, fără a fi neapărat abonat;

„ date despre trafic ”, orice date supuse prelucrării în scopul transmiterii unei comunicări printr-o rețea de comunicații electronice sau pentru facturarea aferentă;

„ date de localizare ” înseamnă orice date procesate într-o rețea de comunicații electronice care indică locația geografică a echipamentului terminal al utilizatorului unui serviciu de comunicații electronice disponibil public;

„ serviciu cu valoare adăugată ” înseamnă serviciul care necesită prelucrarea datelor de trafic sau a datelor de localizare, altele decât datele de trafic, în plus față de ceea ce este necesar pentru transmiterea unei comunicări sau a unei facturări conexe;

„ poștă electronică ”, mesaje care conțin texte, voci, sunete sau imagini transmise printr-o rețea publică de comunicații, care pot fi stocate în rețea sau în echipamentul terminal de recepție, până când destinatarul a luat act de acestea.

3. În sensul acestui cod, ne referim și la:

„ măsuri minime ”, setul de măsuri de securitate tehnice, IT, organizaționale, logistice și procedurale care configurează nivelul minim de protecție necesar în raport cu riscurile prevăzute la articolul 31;

„ instrumente electronice ”, calculatoare, programe de calculator și orice dispozitiv electronic sau automat cu care se efectuează prelucrarea;

„ autentificare computerizată ”, setul de instrumente și proceduri electronice pentru verificarea, chiar și indirectă, a identității;

„ acreditări de autentificare ”, date și dispozitive, aflate în posesia unei persoane, cunoscută de aceasta sau înrudită în mod unic cu aceasta, utilizate pentru autentificarea computerizată;

„ cuvânt cheie ”, componentă a unei acreditări de autentificare asociate cu o persoană și a acestei note, constând dintr-o secvență de caractere sau alte date în formă electronică;

„ profil de autorizare ”, setul de informații, asociat în mod unic cu o persoană, care face posibilă identificarea la ce date poate accesa, precum și tratamentele care i se permit;

„ sistem de autorizare ”, setul de instrumente și proceduri care permit accesul la date și metodele de prelucrare a acestora, conform profilului de autorizare al solicitantului.

4. În sensul prezentului cod, se aplică următoarele definiții:

„ scopuri istorice ”, scopurile de studiu, investigație, cercetare și documentare a cifrelor, faptelor și circumstanțelor din trecut;

„ scopuri statistice ”, scopurile cercetării statistice sau al producerii de rezultate statistice, de asemenea, prin intermediul sistemelor de informații statistice;

„ scopuri științifice ”, scopurile de studiu și investigație sistematică care vizează dezvoltarea cunoștințelor științifice într-un anumit sector. ^[8]

Drepturile recunoscute

Părții interesate (adică subiectul la care se referă datele) i se garantează dreptul de acces la toate informațiile relevante pentru persoana sa deținute și prelucrate de terți. Toate acestea sunt garantate de art. 7 din d. lgs. 196/03 care include posibilitatea de a cunoaște: autorul tratamentului, cum și în ce scop are loc tratamentul, subiecții cărora le pot fi transferate astfel de date (cu acordul prealabil, altfel ar exista un exemplu de tratament incorect) .

Partea interesată are dreptul de a verifica dacă datele sale deținute de terți corespund adevărului în virtutea dreptului de acces și de a verifica utilizările prevăzute ale datelor. Mai mult, partea interesată are, de asemenea, dreptul de a schimba sau are dreptul de a actualiza, rectifica și modifica condițiile de utilizare a datelor sale personale, dreptul de a întrerupe, își poate șterge datele personale pentru a întrerupe serviciul și dreptul de a obiecta. ., prin urmare, putându-se opune din motive legitime prelucrării datelor cu caracter personal pentru a întrerupe serviciul.

Protectia

În caz de încălcare a drepturilor asupra datelor lor în conformitate cu d. lgs. 196/03 (de exemplu: colectarea datelor fără consimțământ, dobândite fără furnizarea de informații legale prealabile, prelucrarea datelor dincolo de limitele consimțământului dat, refuzul sau limitarea dreptului de acces) puteți apela la Garant pentru protecția datelor cu caracter personal (cu o procedură destul de rapidă și costuri reduse) sau către instanța civilă (cu costuri și timpi mai mari). Dacă, pe de altă parte, daunele au fost suferite chiar din cauza prelucrării datelor care nu respectă legea (nu neapărat economică), despăgubirea poate fi acordată exclusiv de către judecătorul civil .

Entitati legale

Codul până în 2011 viza atât persoane fizice, cât și persoane juridice. De fapt, în definiție se citea „orice informație referitoare la o persoană fizică, persoană juridică, entitate sau asociație, identificată sau identificabilă, chiar indirect, prin referire la orice alte informații, inclusiv un număr personal de identificare”. Acest lucru a însemnat că cerințele aferente au fost aplicate și pentru companii și similare (clasic pentru datele personale ale companiei, contacte etc.). În schimb, Decretul legislativ 201/2011, convertit în Legea 214/2011 (așa-numitul decret „Salvați Italia”), în vederea unburocratizării, și-a limitat, printre altele, aplicarea doar persoanelor fizice (inclusiv domeniul de aplicare profesionale sau similare), eliminând obligația de a pune în aplicare datele personale ale companiilor, organizațiilor și asociațiilor (subiecți cu personalitate juridică) ^[10] . În schimb, nu s-a schimbat nimic în ceea ce privește informațiile referitoare la întreprinderi individuale, deoarece identitatea personală coincide cu identitatea profesională.

Vă rugăm să rețineți.

Prin date personale ale unei persoane juridice (de exemplu Alfa SpA ) înțelegem datele personale ale entității Alfa SpA și nu datele personale ale persoanelor fizice prelucrate, deținute de Alfa SpA În mod clar, o mare parte din datele personale ale unei compania este publică (unul dintre motivele pentru care acoperirea datelor corporative a fost eliminată din cod în 2011).

Sancțiuni

Ei pot fi:

Civil (în conformitate cu articolul 15): Oricine cauzează daune altora ca urmare a prelucrării datelor cu caracter personal este obligat să plătească despăgubiri în conformitate cu articolul 2050 din codul civil. Se aplică și daunelor morale
Sancțiuni: care diferă în ceea ce privește măsurile minime (articolul 169) și tratamentul ilicit (articolul 167). În primul caz, oricine nu adoptă măsurile minime prevăzute la art. 33 este pedepsit cu închisoare de până la 2 ani, în timp ce, în cel de-al doilea caz, oricine, având scopul de a obține un profit pentru el însuși, procedează la prelucrarea datelor cu caracter personal, încălcând anumite articole, este pedepsit cu închisoare de la 6 la 18 luni sau, dacă faptul s-a produs în contextul comunicării sau diseminării, cu închisoare de la 6 la 24 de luni.
Administrativ (articolul 161): prelucrarea datelor cu caracter personal fără a fi furnizate informații constituie o infracțiune administrativă de la 6.000 la 36.000 de euro

Analize

Textul legislativ introdus este cu siguranță o inovație juridică la nivel european. Odată cu noul text, legiuitorul s-a orientat către o perspectivă a circulației datelor și își propune să realizeze un echilibru general de interese între proprietar , sau cel care are interes să primească și să prelucreze datele, și partea interesată sau cel care își pune datele la dispoziția proprietarului. Cu acest principiu simplu, dar decisiv, dreptul la confidențialitate trece de la o viziune anterioară a dreptului de a fi lăsat singur la o viziune total inovatoare. Codul a primit o simplificare și armonizare pentru a nu agrava companiile și persoanele cu constrângeri birocratice foarte puternice. Primele trei articole sunt extrem de inovatoare din acest punct de vedere. Al treilea principiu în special este revoluționar.

„Sistemele informaționale și programele de computer sunt configurate prin reducerea la minimum a utilizării datelor cu caracter personal și a datelor de identificare, astfel încât să se excludă prelucrarea lor atunci când scopurile urmărite în cazuri individuale pot fi realizate prin, respectiv, date anonime sau metode adecvate care permit identificarea datelor subiect numai în caz de nevoie. "

( Codul de confidențialitate, Decretul legislativ 196., articolul 3 )

Principala caracteristică a întregului dictat legislativ este cea descrisă la articolul 11

„Datele personale procesate sunt: Prelucrate legal și corect.”

( Codul de confidențialitate, Decretul legislativ 196., articolul 11 )

Aparenta ambivalență lexicală a termenilor legalitate și corectitudine este în schimb manifestarea unei diferențe clare. Prin legalitate înțelegem o verificare a priori sau un control al ajustării Tratamentului la taxele stabilite de legislația însăși; cu termenul de corectitudine, pe de altă parte, a fost introdusă o verificare a posteriori : în această a doua fază a hotărârii, de fapt, cazul în cauză este adaptat cazului specific prin verificarea faptului că echilibrul general de interese dintre operatorul de date iar partea interesată a fost realizată.

Codul prevede o serie de obligații și drepturi pentru cei care intenționează să prelucreze date. De fapt, oricine dorește să utilizeze datele personale ale unui subiect trebuie să îl informeze, în prealabil, indicând în mod clar scopurile pentru care intenționează să utilizeze aceste date și metodele relative de utilizare. Mai mult, trebuie să aibă consimțământul părții interesate; numai în unele cazuri, după cum se menționează la art. 24, acest lucru nu este necesar. O anumită disciplină privește datele sensibile, cele mai delicate și care necesită, prin urmare, o atenție mai mare din partea legiuitorului.

Cei cinci subiecți care monitorizează îndeaproape prelucrarea datelor cu caracter personal sunt: Proprietar, Manager, Persoana responsabilă, Partea interesată, Garant. Operatorul de date este persoana care prelucrează datele și care, în primă instanță, este responsabil pentru obligațiile legale: prin urmare, el va trebui să opereze și să le facă să funcționeze astfel încât legea să fie aplicată. Managerul și apoi ofițerii sunt figurile care lucrează în numele proprietarului și urmează instrucțiunile acestuia. Aceste trei figuri formează un întreg, o organizație. Persoana vizată, pe de altă parte, este cea la care se referă datele. O mare importanță este Garantul, o autoritate publică autonomă și independentă, înființată în 1996, care are sarcina de a verifica și controla prelucrarea datelor de către Manager sau Proprietar, asigurând sancțiuni administrative, acolo unde este necesar. Mai mult, după cum se specifică la art. 143, prescrie operatorului de date măsurile adecvate pentru a face prelucrarea conformă cu prevederile în vigoare .

Dezbaterea

Jurisprudenţă

În Italia, începând cu 1997 (odată cu adoptarea normelor care se refereau la protecția datelor cu caracter personal), s-a dezvoltat practica eronată de etichetare a legislației cu formularea „legislația privind confidențialitatea”. În conformitate cu principiul „ Vox populi, vox Dei ” , această practică a fost tolerată, dacă nu implicit, încurajată de președintele de atunci al garantului Stefano Rodotà . Această definiție, adesea subiect de critică, nu ia în considerare scopurile reale și hermeneutice ale legislației, care sunt cele limitate la garantarea faptului că prelucrarea datelor cu caracter personal are loc în funcție de anumite limite și nu a celor de apărare a sferei generale adreptul cetățeanuluila viața privată . ^{[ fără sursă ]}

Mențiunea menționată anterior „legea privind confidențialitatea ” este cel puțin inadecvată, după cum a observat Curtea de la Milano - Secțiunea Prin decretul din 27 septembrie 1999, prin care s-a hotărât cazul Olcese vs Corriere della Sera, el a scris: „... omissis ... 2. În acest sens, este în primul rând necesar să se afirme, în dezacord cu ceea ce unii de asemenea a susținut în primul comentariu că Legea 675/96 - deși concluzionez în preambul „scopul” garantării „respectării drepturilor, libertăților fundamentale și demnității” persoanei, „cu o atenție deosebită a confidențialității și a identității personale” ( vezi titlul art. 1 și conținutul relativului paragraf 1) - nu poate fi nici considerat ca un „statut general al persoanei” real, nici considerat mai accentuat la protecția persoanei decât la disciplina privind prelucrarea datelor. abordările apar, de fapt, afectate de un defect de perspectivă, deoarece confundă aspecte diferite și infungibile din punct de vedere conceptual, precum rațiunea legislației (rol, în acest caz, atribuit textual protecției drepturile mentale ale persoanei: cf. titlul și primul paragraf al art. 1) și sfera sa de funcționare (în acest caz, identificabilă univoc, în lumina titlului și a disciplinei generale a legii, în fenomenul „prelucrării datelor cu caracter personal”); aspecte diferite, care se completează doar complementar pentru a defini pe deplin proprietatea juridică obiect al protecției acordate: drepturile fundamentale ale persoanei cu referire specifică și exclusivă la implicațiile inerente „prelucrării datelor cu caracter personal” ^[11]

Riscul tratamentului

Prelucrarea datelor cu caracter personal poate constitui un risc, chiar unul ridicat, pentru drepturile și libertățile persoanelor vizate.

Din acest motiv, regulamentul GDPR acordă o atenție deosebită problemei securității în prelucrarea datelor cu caracter personal, inserând garanția unei securități adecvate de la început printre principiile generale aplicabile prelucrării datelor și identifică cu precizie principiile necesității de a asigura protecția datelor din stadiul de proiectare (prevăzând în acest sens că operatorul de date trebuie să pună în aplicare, atât la stabilirea mijloacelor de prelucrare, cât și la momentul prelucrării, măsuri tehnice și organizatorice adecvate pentru a pune în aplicare în mod eficient principiile protecția datelor) și implicit (operatorul de date este obligat să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a se asigura că sunt prelucrate numai datele cu caracter personal necesare fiecărui scop specific al prelucrării, în raport cu cantitatea de date cu caracter personal colectate, domeniul de aplicare al prelucrarea, perioada de păstrare, ga asigurându-se în special că datele cu caracter personal prelucrate nu sunt accesibile unui număr nedefinit de persoane fizice fără intervenția persoanei fizice).

Regulamentul impune operatorului de date să efectueze o evaluare preventivă (înainte, adică să poată începe în mod legitim prelucrarea) a impactului tratamentului preconizat asupra protecției datelor cu caracter personal în toate acele cazuri în care tratamentul va fi efectuate prevede, în special, utilizarea noilor tehnologii și poate prezenta un risc ridicat pentru drepturile și libertățile persoanelor, având în vedere natura, obiectul, contextul și scopul prelucrării. Evaluarea poate fi efectuată și în legătură cu un set de tratamente similare care prezintă riscuri similare ridicate.

În mod similar, regulamentul european stabilește că operatorul de date și procesatorul de date trebuie să adopte măsuri tehnice și organizatorice adecvate și adecvate pentru a garanta un nivel de securitate adecvat riscului, luând în considerare stadiul tehnicii și costurile de implementare, precum precum și natura, obiectul, contextul și scopurile procesării, precum și riscul de a varia probabilitatea și gravitatea pentru drepturile și libertățile persoanelor.

În cele din urmă, articolul 82 din regulamentul GDPR reglementează dreptul la despăgubire pentru oricine a suferit daune materiale sau imateriale din cauza încălcării regulamentului UE, plasând în mod corespunzător responsabilitatea pentru daunele cauzate de un tratament asupra operatorului de date. încălcarea prevederilor GDPR.

Operatorul de date poate fi, de asemenea, responsabil pentru daunele cauzate, dacă nu și-a îndeplinit obligațiile regulamentului care vizează în mod specific operatorii de date sau dacă a acționat diferit sau contrar instrucțiunilor legitime ale operatorului de date.

Atât operatorul de date, cât și procesatorul de date sunt scutiți de răspundere pentru daune în cazul în care dovedesc că evenimentul nociv nu le este în niciun caz imputabil.

Structura

Legea consolidată privind confidențialitatea este alcătuită din trei părți și trei anexe, conform următoarei scheme:

dispoziții generale (art. 1-45) referitoare la normele „substanțiale” care reglementează prelucrarea datelor cu caracter personal , aplicabile tuturor prelucrărilor , cu excepția oricăror reguli specifice de prelucrare efectuate de subiecți publici sau privați (articolul 6);
disposizioni particolari per specifici trattamenti (art. 46-140) ad integrazione o eccezione alle disposizioni generali della parte I ;
le disposizioni relative alle azioni di tutela dell' interessato e al sistema sanzionatorio (artt. 141-186).

Al testo seguono tre allegati:

allegato A, relativo ai codici di condotta ;
allegato B, concernente il disciplinare tecnico in materia di misure minime di sicurezza ;
allegato C, sui trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia .

Normativa abrogata

Legge n. 675 del 1996 (Questa legge è stata abrogata e sostituita dal Dlgs n. 196/2003)

La 675/1996 venne accompagnata da numerose altre leggi, decreti legislativi , decreti del presidente della repubblica e regolamenti :

Legge 676/1996, 31 dicembre 1996 : Legge delega ;
DL n.135, 11 maggio 1999 : Disposizioni integrative sul trattamento di dati sensibili da parte dei soggetti pubblici;
DL n.281, 30 luglio 1999 : Disposizioni in materia di trattamento dei dati personali per finalità storiche , statistiche e di ricerca scientifica;
DL n.282, 30 luglio 1999 : Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario;
DPR n.318, 28 luglio 1999 : Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali;
Provvedimento del Garante per la protezione dei dati personali , n.1/P/ 2000 : Individuazione dei dati sensibili da parte dei soggetti pubblici.

Evoluzione normativa

Il 15 dicembre 2015 , la Commissione Europea ha trovato l'accordo col Parlamento e col Consiglio UE per un testo unico sulla privacy che armonizza le normative degli Stati membri. L'accordo è composto da:

una Direttiva sulla Protezione dei Dati ( Data Protection Directive ) per le forze di polizia e la magistratura;
un Regolamento Generale sulla Protezione dei Dati ( General Data Protection Regulation , GDPR), immediatamente esecutivo in tutta l'Unione Europea. È istituita un'unica autorità di vigilanza europea, si applica anche alle imprese con sede estera e operanti nell'Unione Europea, è previsto un tempo di adeguamento di due anni, e per le imprese non conformi sanzioni dal 2 al 4% del fatturato annuo.

Il Regolamento introduce il diritto all'oblio , il diritto alla portabilità dei dati fra diversi Service Provider , il diritto alla notifica dell'accesso abusivo di terzi a dati personali e sensibili particolarmente importanti.

Le piccole e medie imprese (SME) non hanno più l'obbligo del responsabile della protezione dei dati ( data protection officer ), né l'obbligo di effettuare la valutazione dell'impatto ( Privacy Impact Assessment ), a meno che non esista un rischio operativo non trascurabile.

Il 4 maggio 2016 è stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea il nuovo Regolamento generale sulla protezione dei dati (GDPR, General Data Protection Regulation - Regolamento UE 2016/679) , che è applicato definitivamente a decorrere dal 25 maggio 2018.

Revisione del codice

Il D.Lgs. 101/2018 (cosiddetto "decreto privacy") che recepisce formalmente il GDPR nella normativa italiana, in vigore dal 19 settembre 2018, da alcuni definito nuova privacy , ha novellato profondamente il codice 196 che, comunque, è in corso di validità per gli specifici articoli non esplicitamente abrogati dal detto decreto ^[12] . Infatti, il comma 6 dell'art. 22 recita:

"Dalla data di entrata in vigore del presente decreto, i rinvii alle disposizioni del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, abrogate dal presente decreto, contenuti in norme di legge e di regolamento, si intendono riferiti alle corrispondenti disposizioni del Regolamento (UE) 2016/679 ea quelle introdotte o modificate dal presente decreto, in quanto compatibili."

Nel dettaglio il decreto ha abrogato i titoli, capi, sezioni, articoli e allegati del codice in materia di protezione dei dati personali, di seguito elencati:

 a) alla parte I: 
    1) gli articoli 3, 4, 5 e 6; 
    2) il titolo II, il titolo III, il titolo IV, il titolo V, il titolo VI e il titolo VII; 
  b) alla parte II: 
    1) il capo I del titolo I; 
    2) i capi III, IV e V del titolo IV; 
    3) gli articoli 76, 81, 83 e 84; 
    4) il capo III del titolo V; 
    5) gli articoli 87, 88 e 89; 
    6) il capo V del titolo V; 
    7) gli articoli 91, 94, 95, 98, 112, 117, 118 e 119; 
    8) i capi II e III del titolo X, il titolo XI e il titolo XIII; 
  c) alla parte III: 
    1) la sezione III del capo I del titolo I; 
    2) gli articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis,165 e 169; 
    3) gli articoli 173, 174, 175, commi 1 e 2, 176, 177, 178 e 179; 
    4) il capo II del titolo IV; 
    5) gli articoli 184 e 185; 
  d) gli allegati B e C.

Pertanto, seppur radicalmente emendato dagli articoli del GDPR, il codice 196/2003 rimane in vigore nella legislazione italiana, grazie al decreto 101/2018 ^[13] .

Da settembre 2018 la citazione del codice 196/2003 nelle informative privacy è formalmente non corretta dato che gli articoli applicabili (in particolare l'art. 13) sono stati aboliti.

Note

^ https://www.agendadigitale.eu/sicurezza/il-gdpr-e-in-vigore-senza-il-decreto-italiano-che-succede-ora/
^ https://www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-che-ce-da-sapere-per-essere-preparati/
^ http://www.doctor33.it/politica-e-sanita/privacy-cosa-cambia-col-nuovo-disegno-di-decreto-maggiore-flessibilita-nel-trattamento-dei-dati-particolari/
^ Decreto Legislativo 10 agosto 2018, n. 101 - Gazzetta Ufficiale , su www.gazzettaufficiale.it . URL consultato il 1º luglio 2019 .
^ News Garante per la protezione dei dati personali del 7 febbraio 2012
^ InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente , su www.interlex.it . URL consultato il 3 luglio 2019 .
^ InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente , su www.interlex.it . URL consultato il 3 luglio 2019 .
^ ^a ^b 4, Codice in materia di protezione dei dati personali , su www.camera.it . URL consultato il 3 luglio 2019 .
^ DPR 313/02 , su www.camera.it . URL consultato il 3 luglio 2019 .
^ https://www.euroconsumatori.eu/articolo/493
^ Tribunale di Milano - Decreto 27 settembre 1999
^ https://www.leggioggi.it/2018/09/19/nuova-privacy-e-legge-ecco-il-decreto/amp/
^ Testo codice 196/2003 rev. settembre 2018

Voci correlate

Collegamenti esterni

Sito dell'autorità garante , su garanteprivacy.it .
Decreto legislativo 30 giugno 2003, n. 196 , in materia di " Codice in materia di protezione dei dati personali "
Decreto legislativo 30 giugno 2003, n. 196 aggiornato al D.lgs 101/2018 , su cyberlaws.it
General Data Protection Regulation (EU) 2016/679 , pubblicato in Gazzetta Ufficiale in data 4 Maggio 2016

Portale Diritto

Portale Italia

Portale Sicurezza informatica

[1] ttps://www.agendadigitale.eu/sicurezza/il-gdpr-e-in-vigore-senza-il-decreto-italiano-che-succede-ora/

[2] ttps://www.agendadigitale.eu/cittadinanza-digitale/gdpr-tutto-cio-che-ce-da-sapere-per-essere-preparati/

[3] ttp://www.doctor33.it/politica-e-sanita/privacy-cosa-cambia-col-nuovo-disegno-di-decreto-maggiore-flessibilita-nel-trattamento-dei-dati-particolari/

[4] Decreto Legislativo 10 agosto 2018, n. 101 - Gazzetta Ufficiale , su www.gazzettaufficiale.it . URL consultato il 1º luglio 2019 .

[5] News Garante per la protezione dei dati personali del 7 febbraio 2012

[6] InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente , su www.interlex.it . URL consultato il 3 luglio 2019 .

[7] InterLex - Legge 22 aprile 1941 n. 633 - Testo vigente , su www.interlex.it . URL consultato il 3 luglio 2019 .

[:0-8] 4, Codice in materia di protezione dei dati personali , su www.camera.it . URL consultato il 3 luglio 2019 .

[9] DPR 313/02 , su www.camera.it . URL consultato il 3 luglio 2019 .

[10] ttps://www.euroconsumatori.eu/articolo/493

[11] Tribunale di Milano - Decreto 27 settembre 1999

[12] ttps://www.leggioggi.it/2018/09/19/nuova-privacy-e-legge-ecco-il-decreto/amp/

[13] Testo codice 196/2003 rev. settembre 2018

[1]

[2]

[3]

[4]

[5], care

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

V · D · M Codici vigenti in Italia
Diritto civile	Codice civile italiano · Codice di procedura civile italiano
Diritto penale	Codice penale italiano · Codice di procedura penale italiano
Diritto amministrativo	Codice del processo amministrativo
Diritto penale militare	Codice penale militare di guerra · Codice penale militare di pace · Codice di procedura penale militare di guerra · Codice di procedura penale militare di pace
Materie specifiche	Codice dell'amministrazione digitale · Codice delle assicurazioni private · Codice dei beni culturali e del paesaggio · Codice delle comunicazioni elettroniche · Codice del consumo · Codice dei contratti e appalti pubblici · Codice della crisi d'impresa e dell'insolvenza · Codice del processo amministrativo · Codice di giustizia contabile · Codice delle leggi antimafia · Codice della navigazione · Codice della nautica da diporto · Codice dell'ordinamento militare · Codice delle pari opportunità tra uomo e donna ·Codice della proprietà industriale · Codice della protezione civile · Codice in materia di protezione dei dati personali · Codice della strada · Codice del terzo settore