E' stata pubblica sulla G.U. n. 132 del 4.6.2021 la deliberazione del Garante per la Protezione dei Dati Personali 29 aprile 2021 recante "Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico"
E' stato approvato con deliberazione del Garante della Privacy del 29 aprile 2021 il codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (G.U. n. 124 del 26.5.2021)
E’ stato pubblicato in G.U. n. 205 del 4.9.2018 il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
Il provvedimento legislativo va a modificare/integrare il testo del del decreto legislativo 30 giugno 2003, n. 196 pur mantenendo ampi richiami al Regolamento 2016/679 (detto anche d’ora innanzi più brevemente DGPR), per cui la disciplina della riservatezza dei dati personali viene definita dall’intreccio delle due disposizioni di rango diverso.
Ecco le principali previsioni normative (gli articoli richiamati sono quelli del d.lgs. n. 196/2003 come ora modificato salvo che non sia diversamente indicato):
a) la comunicazioni tra titolari di dati personali dell’esercizio di pubblici poteri diversi da quelli particolari (art. 9 GDPR) e relative a condanne penali e reati (art. 10 GDPR) è ammessa se ha una base giuridica di legge o di regolamento delegato, altrimenti “la comunicazione e' ammessa quando e' comunque necessaria per lo svolgimento di compiti di interesse pubblico e lo svolgimento di funzioni istituzionali e puo' essere iniziata se e' decorso il termine di quarantacinque giorni dalla relativa comunicazione al Garante, senza che lo stesso abbia adottato una diversa determinazione delle misure da adottarsi a garanzia degli interessati”, mentre “La diffusione e la comunicazione di dati personali, trattati per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri, a soggetti che intendono trattarli per altre finalita' sono ammesse unicamente se previste” dalla legge o da regolamento delegato (art. 2-ter);
b) è incentivata la redazione di codici deontologici da parte del Garante della Privacy (art. 2-quater)
c) il minore che ha compiuto i quattordici anni puo' esprimere il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della societa' dell'informazione. Con riguardo a tali servizi, il trattamento dei dati personali del minore di eta' inferiore a quattordici anni, fondato sull'articolo 6, paragrafo 1, lettera a), del Regolamento, e' lecito a condizione che sia prestato da chi esercita la responsabilita' genitoriale (art. 2-quinquies);
d) viene precisato che il trattamento dei dati delle categorie particolari di cui all’art. 9 GDPR è comunque ammessa (art. 2-sexies) oltre alle ipotesi generali di cui al paragrafo 2 dell’art. 9 GDPR:
- accesso a documenti amministrativi e accesso civico;
- tenuta degli atti e dei registri dello stato civile, delle anagrafi della popolazione residente in Italia e dei cittadini italiani residenti all'estero, e delle liste elettorali, nonche' rilascio di documenti di riconoscimento o di viaggio o cambiamento delle generalita';
- tenuta di registri pubblici relativi a beni immobili o mobili;
- tenuta dell'anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli;
- cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato;
- elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, nonche' documentazione delle attivita' istituzionali di organi pubblici, con particolare riguardo alla redazione di verbali e resoconti dell'attivita' di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari;
- esercizio del mandato degli organi rappresentativi, ivi compresa la loro sospensione o il loro scioglimento, nonche' l'accertamento delle cause di ineleggibilita', incompatibilita' o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche;
- svolgimento delle funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo e l'accesso a documenti riconosciuto dalla legge e dai regolamenti degli organi interessati per esclusive finalita' direttamente connesse all'espletamento di un mandato elettivo;
- attivita' dei soggetti pubblici dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e doganale;
- attivita' di controllo e ispettive;
- concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;
- conferimento di onorificenze e ricompense, riconoscimento della personalita' giuridica di associazioni, fondazioni ed enti, anche di culto, accertamento dei requisiti di onorabilita' e di professionalita' per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di culto e a cariche direttive di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonche' rilascio e revoca di autorizzazioni o abilitazioni, concessione di patrocini, patronati e premi di rappresentanza, adesione a comitati d'onore e ammissione a cerimonie ed incontri istituzionali;
- rapporti tra i soggetti pubblici e gli enti del terzo settore;
- obiezione di coscienza;
- attivita' sanzionatorie e di tutela in sede amministrativa o giudiziaria;
- rapporti istituzionali con enti di culto, confessioni religiose e comunita' religiose;
- attivita' socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
- attivita' amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonche' alle trasfusioni di sangue umano;
- compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonche' compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumita' fisica;
- programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, ivi incluse l'instaurazione, la gestione, la pianificazione e il controllo dei rapporti tra l'amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitarionazionale;
- vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti di rilevanza sanitaria;
- tutela sociale della maternita' ed interruzione volontaria della gravidanza, dipendenze, assistenza, integrazione sociale e diritti dei disabili;
- istruzione e formazione in ambito scolastico, professionale, superiore o universitario;
- trattamenti effettuati a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenti la conservazione, l'ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli enti pubblici, o in archivi privati dichiarati di interesse storico particolarmente importante, per fini di ricerca scientifica, nonche' per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sistan);
- instaurazione, gestione ed estinzione, di rapporti dilavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e pari opportunita' nell'ambito dei rapporti di lavoro, adempimento degli obblighi retributivi, fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della responsabilita' civile, disciplinare e contabile, attivita' ispettiva;
e) invece i dati i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 GDPR ed in conformita' alle misure di garanzia disposte dal Garante (art. 2-septies);
f) il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza di cui all’art. 10 GDPR e' consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare (art. 2-octies):
- l'adempimento di obblighi e l'esercizio di diritti da parte del titolare o dell'interessato in materia di diritto del lavoro o comunque nell'ambito dei rapporti di lavoro, nei limiti stabiliti da leggi, regolamenti e contratti collettivi, secondo quanto previsto dagli articoli 9, paragrafo 2, lettera b), e 88 del regolamento;
- l'adempimento degli obblighi previsti da disposizioni di legge o di regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali;
- la verifica o l'accertamento dei requisiti di onorabilita', requisiti soggettivi e presupposti interdittivi nei casi previsti dalle leggi o dai regolamenti;
- l'accertamento di responsabilita' in relazione a sinistri o eventi attinenti alla vita umana, nonche' la prevenzione, l'accertamento e il contrasto di frodi o situazioni di concreto rischio per il corretto esercizio dell'attivita' assicurativa, nei limiti di quanto previsto dalle leggi o dai regolamenti in materia;
- l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
- l'esercizio del diritto di accesso ai dati e ai documenti amministrativi, nei limiti di quanto previsto dalle leggi o dai regolamenti in materia;
- l'esecuzione di investigazioni o le ricerche o la raccolta di informazioni per conto di terzi ai sensi dell'articolo 134 del testo unico delle leggi di pubblica sicurezza;
- l'adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e informazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di pericolosita' sociale, nei casi previsti da leggi o da regolamenti, o per la produzione della documentazione prescritta dalla legge per partecipare a gare d'appalto;
- l'accertamento del requisito di idoneita' morale di coloro che intendono partecipare a gare d'appalto, in adempimento di quanto previsto dalle vigenti normative in materia di appalti;
- l'attuazione della disciplina in materia di attribuzione del rating di legalita' delle imprese ai sensi dell'articolo 5-ter del decreto-legge 24 gennaio 2012, n. 1, convertito, con modificazioni, dalla legge 24 marzo 2012, n. 27;
- l'adempimento degli obblighi previsti dalle normative vigenti in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attivita' criminose e di finanziamento del terrorismo;
g) sono stabilite limitazioni ai diritti garantiti dal DGPR ai soggetti interessati nei seguenti casi (art. 2-undecies) qualora dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto:
- agli interessi tutelati in base alle disposizioni in materia di riciclaggio;
- agli interessi tutelati in base alle disposizioni in materia di sostegno alle vittime di richieste estorsive;
- all'attivita' di Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;
- alle attivita' svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalita' inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonche' alla tutela della loro stabilita';
- allo svolgimento delle investigazioni difensive o all'esercizio di un diritto in sede giudiziaria;
- alla riservatezza dell'identita' del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179, l'illecito di cui sia venuto a conoscenza in ragione del proprio ufficio;
h) i diritti di cui agli articoli da 15 a 22 GDPR riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato, in qualita' di suo mandatario, o per ragioni familiari meritevoli di protezione (art. 2-terdecies);
i) Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilita' e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorita' (art. 2-quaterdecies);
l) viene sostituito l’art. 60 in materia di accesso agli atti riguardanti dati relativi alla salute o alla vita sessuale o all'orientamento sessuale, che ora stabilisce “1. Quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento e' consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, e' di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalita' o in un altro diritto o liberta' fondamentale”;
m) l’art. 75 concernente il trattamento in ambito sanitario viene sostituito dal seguente “1. Il trattamento dei dati personali effettuato per finalita' di tutela della salute e incolumita' fisica dell'interessato o di terzi o della collettivita' deve essere effettuato ai sensi dell'articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell'articolo 2-septies del presente codice, nonche' nel rispetto delle specifiche disposizioni di settore” (si veda anche il nuovo art. 77);
n) l’art. 96 in materia di trattamento dei dati relativi agli studenti viene sostituito dal seguente “1. Al fine di agevolare l'orientamento, la formazione e l'inserimento professionale, anche all'estero, le istituzioni del sistema nazionale di istruzione, i centri di formazione professionale regionale, le scuole private non paritarie nonche' le istituzioni di alta formazione artistica e coreutica e le universita' statali o non statali legalmente riconosciute su richiesta degli interessati, possono comunicare o diffondere, anche a privati e per via telematica, dati relativi agli esiti formativi, intermedi e finali, degli studenti e altri dati personali diversi da quelli di cui agli articoli 9 e 10 del Regolamento, pertinenti in relazione alle predette finalita' e indicati nelle informazioni rese agliinteressati ai sensi dell'articolo 13 del Regolamento. I dati possono essere successivamente trattati esclusivamente per le predette finalita'. 2. Resta ferma la disposizione di cui all'articolo 2, comma 2, del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresi' ferme le vigenti disposizioni in materia di pubblicazione dell'esito degli esami mediante affissione nell'albo dell'istituto e di rilascio di diplomi e certificati”;
o) è stato sostituito anche l’art. 110 in materia di ricerca medica, biomedica ed epidiomelogica;
p) mentre è stato introdotto l’art. 111-bis concernente il trattamento dei dati personali ricevuti tramite curriculum, secondo il quale “Le informazioni di cui all'articolo 13 del Regolamento, nei casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al momento del primo contatto utile, successivo all'invio del curriculum medesimo. Nei limiti delle finalita' di cui all'articolo 6, paragrafo 1, lettera b), del Regolamento, il consenso al trattamento dei dati personali presenti nei curricula non e' dovuto”;
q) viene ora stabilito all’art. 132-quater che “Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati e, ove possibile, gli utenti, mediante linguaggio chiaro, idoneo e adeguato rispetto alla categoria e alla fascia di eta' dell'interessato a cui siano fornite le suddette informazioni, con particolare attenzione in caso di minori di eta', se sussiste un particolare rischio di violazione della sicurezza della rete, indicando, quando il rischio e' al di fuori dell'ambito di applicazione delle misure che il fornitore stesso e' tenuto ad adottare a norma dell'articolo 132-ter, commi 2, 3 e 5, tutti i possibili rimedi e i relativi costi presumibili. Analoghe informazioni sono rese al Garante e all'Autorita' per le garanzie nelle comunicazioni”;
r) all’art. 140-bis viene fissato il principio di alternatività della forme di tutela dei dati personali ossia il reclamo al Garante o alternativamente il ricorso dinanzi l’Autorità giudiziaria. Si veda anche l’art. 17 del d.lgs. n. 101/2018 che va a sostituire l’art. 10 del d.lgs. n. 150/2011;
s) viene sostituito gli artt. 153 e seguenti relativi al Garante per la protezione dei dati personali ed al suo funzionamento;
t) gli artt. 166 e seguenti si occupano del procedimento sanzionatorio nonché delle sanzioni previste dall’ordinamento. La disciplina della definizione agevolata delle sanzioni è contenuta all’art. 18 d.lgs. n. 101/2018;
u) è prevista una previsione d’improcedibilità dei reclami pendenti nanti il Garante della privacy se i soggetti interessati entro 30 giorni dalla pubblicazione sul sito del Garante medesimo che coloro che non dichiareranno di avere un interesse alla trattazione dei reclami medesimi (art. 19 d.lgs. n. 101/2018);
v) a decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati giudiziari» utilizzate ai sensi dell'articolo 4, comma 1, lettere d) ed e), del codice in materia di protezione dei dati personali, di cui al decreto legislativo n. 196 del 2003, ovunque ricorrano, si intendono riferite, rispettivamente, alle categorie particolari di dati di cui all'articolo 9 del Regolamento (UE) 2016/679 e ai dati di cui all'articolo 10 del medesimo regolamento (art. 22, comma 2 d.lgs. n. 101/2018);
z) “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie” (art. 22, comma 13 d.lgs. n. 101/2018).
In questa sezione si riporta:
- il testo del Regolamento del Parlamento Europeo e del Consiglio n. 619/2016 del 27.4.2016 (G.U.C.E. L119/1 del 4.5.2016) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) sia in lingua italiana che in lingua inglese (entrata in vigore 25.5.2018);
- il testo del d.lgs. 18 maggio 2018, n. 51 recante "Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio";
- i documenti redatti dal Consiglio Nazionale Forense in materia (datati 22.5.2018).
Qui, invece, si trova il link ai documenti del Data Protection Working Party (WP29) http://www.garanteprivacy.it/web/guest/home/ricerca?p_p_id=searchportlet...