E' stata pubblica sulla G.U. n. 132 del 4.6.2021 la deliberazione del Garante per la Protezione dei Dati Personali 29 aprile 2021 recante "Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico"

 

 

E' stato approvato con deliberazione del Garante della Privacy del 29 aprile 2021 il codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale (G.U. n. 124 del 26.5.2021)

 

E’ stato pubblicato in G.U. n. 205 del 4.9.2018 il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni  per  l'adeguamento  della  normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento  europeo  e del Consiglio, del 27 aprile 2016,  relativo  alla  protezione  delle persone fisiche con  riguardo  al  trattamento  dei  dati  personali, nonche' alla libera  circolazione  di  tali  dati  e  che  abroga  la direttiva 95/46/CE (regolamento generale sulla protezione dei  dati)”.

Il provvedimento legislativo va a modificare/integrare il testo del del decreto legislativo 30 giugno 2003, n. 196 pur mantenendo ampi richiami al Regolamento 2016/679 (detto anche d’ora innanzi più brevemente DGPR), per cui la disciplina della riservatezza dei dati personali viene definita dall’intreccio delle due disposizioni di rango diverso.

Ecco le principali previsioni normative (gli articoli richiamati sono quelli del d.lgs. n. 196/2003 come ora modificato salvo che non sia diversamente indicato):

a) la comunicazioni tra titolari di dati personali dell’esercizio di pubblici poteri diversi da quelli particolari (art. 9 GDPR) e relative a condanne penali e reati (art. 10 GDPR) è ammessa se ha una base giuridica di legge o di regolamento delegato, altrimenti “la  comunicazione  e'  ammessa quando e' comunque  necessaria  per  lo  svolgimento  di  compiti  di interesse pubblico e lo svolgimento di funzioni istituzionali e  puo' essere iniziata se e' decorso il  termine  di  quarantacinque  giorni dalla relativa comunicazione al Garante, senza che  lo  stesso  abbia adottato una diversa  determinazione  delle  misure  da  adottarsi  a garanzia degli interessati”, mentre “La diffusione e la comunicazione di dati personali, trattati per l'esecuzione  di  un  compito  di  interesse  pubblico   o   connesso all'esercizio di pubblici poteri, a soggetti che intendono  trattarli per altre finalita' sono ammesse unicamente se previste” dalla legge o da regolamento delegato (art. 2-ter);

b) è incentivata la redazione di codici deontologici da parte del Garante della Privacy (art. 2-quater)

c) il minore che ha compiuto i quattordici anni puo' esprimere  il  consenso  al  trattamento  dei  propri  dati personali in relazione all'offerta diretta di servizi della  societa' dell'informazione. Con riguardo a tali servizi,  il  trattamento  dei dati personali del minore  di  eta'  inferiore  a  quattordici  anni, fondato sull'articolo 6, paragrafo 1, lettera a), del Regolamento, e' lecito  a  condizione  che  sia   prestato   da   chi   esercita   la responsabilita' genitoriale (art. 2-quinquies);

d) viene precisato che il trattamento dei dati delle categorie particolari di cui all’art. 9 GDPR è comunque ammessa (art. 2-sexies) oltre alle ipotesi generali di cui al paragrafo 2 dell’art. 9 GDPR:

- accesso a documenti amministrativi e accesso civico;

- tenuta degli atti e dei registri  dello  stato  civile,  delle anagrafi della  popolazione  residente  in  Italia  e  dei  cittadini italiani residenti all'estero,  e  delle  liste  elettorali,  nonche' rilascio di documenti di riconoscimento o di  viaggio  o  cambiamento delle generalita';

- tenuta di registri pubblici relativi a beni immobili o mobili;

- tenuta dell'anagrafe nazionale degli abilitati  alla  guida  e dell'archivio nazionale dei veicoli;

- cittadinanza, immigrazione, asilo, condizione dello  straniero e del profugo, stato di rifugiato;

- elettorato attivo e passivo  ed  esercizio  di  altri  diritti politici, protezione diplomatica e consolare, nonche'  documentazione delle attivita' istituzionali di  organi  pubblici,  con  particolare riguardo alla redazione di  verbali  e  resoconti  dell'attivita'  di assemblee rappresentative, commissioni e di altri organi collegiali o assembleari;

- esercizio  del  mandato  degli  organi  rappresentativi,  ivi compresa  la  loro  sospensione  o  il  loro  scioglimento,   nonche' l'accertamento delle cause di ineleggibilita', incompatibilita' o  di decadenza, ovvero di rimozione o sospensione da cariche pubbliche;

- svolgimento delle funzioni di controllo,  indirizzo  politico, inchiesta parlamentare o sindacato ispettivo e l'accesso a  documenti riconosciuto dalla legge e dai regolamenti degli  organi  interessati per esclusive finalita' direttamente connesse all'espletamento di  un mandato elettivo;

- attivita'  dei  soggetti  pubblici  dirette  all'applicazione, anche tramite i loro concessionari,  delle  disposizioni  in  materia tributaria e doganale;

- attivita' di controllo e ispettive;

- concessione,  liquidazione,  modifica  e  revoca  di  benefici economici,   agevolazioni,   elargizioni,    altri    emolumenti    e abilitazioni;

- conferimento  di  onorificenze  e  ricompense,  riconoscimento della personalita' giuridica di  associazioni,  fondazioni  ed  enti, anche di culto, accertamento  dei  requisiti  di  onorabilita'  e  di professionalita' per le nomine,  per  i  profili  di  competenza  del soggetto pubblico, ad uffici anche di culto e a cariche direttive  di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonche'  rilascio  e  revoca  di   autorizzazioni   o   abilitazioni, concessione  di  patrocini,  patronati  e  premi  di  rappresentanza, adesione a comitati d'onore e  ammissione  a  cerimonie  ed  incontri istituzionali;

- rapporti tra i soggetti pubblici e gli enti del terzo settore;

- obiezione di coscienza;

- attivita' sanzionatorie e di tutela in sede  amministrativa  o giudiziaria;

- rapporti  istituzionali  con  enti  di   culto,   confessioni religiose e comunita' religiose;

- attivita' socio-assistenziali a tutela dei minori  e  soggetti bisognosi, non autosufficienti e incapaci;

- attivita' amministrative e certificatorie correlate  a  quelle di diagnosi, assistenza o terapia sanitaria o  sociale,  ivi  incluse quelle correlate ai trapianti d'organo  e  di  tessuti  nonche'  alle trasfusioni di sangue umano;

- compiti  del  servizio  sanitario  nazionale  e  dei  soggetti operanti in ambito sanitario, nonche' compiti di igiene  e  sicurezza sui  luoghi  di  lavoro  e  sicurezza  e  salute  della  popolazione, protezione civile, salvaguardia della vita e incolumita' fisica; 

- programmazione,   gestione,    controllo    e    valutazione dell'assistenza sanitaria, ivi incluse l'instaurazione, la  gestione, la pianificazione e il controllo dei rapporti  tra  l'amministrazione ed i soggetti accreditati o convenzionati con il  servizio  sanitarionazionale;

- vigilanza    sulle    sperimentazioni,    farmacovigilanza, autorizzazione all'immissione  in  commercio  e  all'importazione  di medicinali e di altri prodotti di rilevanza sanitaria;

- tutela sociale della maternita' ed interruzione  volontaria della gravidanza,  dipendenze,  assistenza,  integrazione  sociale  e diritti dei disabili;

- istruzione   e   formazione   in    ambito    scolastico, professionale, superiore o universitario;

- trattamenti effettuati a fini di archiviazione nel pubblico interesse  o  di  ricerca  storica,  concernenti  la   conservazione, l'ordinamento e la comunicazione dei documenti detenuti negli archivi di Stato negli archivi storici degli  enti  pubblici,  o  in  archivi privati dichiarati di interesse storico  particolarmente  importante, per fini di ricerca scientifica, nonche' per fini statistici da parte di  soggetti  che  fanno  parte  del  sistema  statistico   nazionale (Sistan);

- instaurazione,  gestione  ed  estinzione,  di  rapporti  dilavoro di qualunque tipo, anche non retribuito o onorario, e di altre forme di  impiego,  materia  sindacale,  occupazione  e  collocamento obbligatorio, previdenza e assistenza, tutela delle minoranze e  pari opportunita' nell'ambito dei rapporti di  lavoro,  adempimento  degli obblighi retributivi, fiscali e contabili,  igiene  e  sicurezza  del lavoro o di sicurezza o salute della popolazione, accertamento  della responsabilita'   civile,   disciplinare   e   contabile,   attivita' ispettiva;

e) invece i dati i dati genetici, biometrici e relativi alla salute, possono  essere  oggetto di trattamento  in  presenza  di  una  delle  condizioni  di  cui  al paragrafo 2 dell’art. 9 GDPR ed in conformita'  alle  misure  di garanzia disposte dal Garante (art. 2-septies);

f) il  trattamento  di  dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza di cui all’art. 10 GDPR e' consentito se autorizzato da una norma di legge  o,  nei casi  previsti  dalla  legge,   di   regolamento,   riguardanti, in particolare (art. 2-octies):

- l'adempimento di obblighi e l'esercizio di  diritti  da  parte del titolare o dell'interessato in materia di diritto  del  lavoro  o comunque nell'ambito dei rapporti di lavoro, nei limiti stabiliti  da leggi, regolamenti e contratti collettivi,  secondo  quanto  previsto dagli articoli 9, paragrafo 2, lettera b), e 88 del regolamento;

- l'adempimento degli obblighi previsti da disposizioni di legge o  di  regolamento  in  materia  di   mediazione   finalizzata   alla conciliazione delle controversie civili e commerciali;

- la verifica o l'accertamento dei  requisiti  di  onorabilita', requisiti soggettivi e presupposti  interdittivi  nei  casi  previsti dalle leggi o dai regolamenti;

- l'accertamento di responsabilita' in relazione  a  sinistri  o eventi  attinenti  alla   vita   umana,   nonche'   la   prevenzione, l'accertamento e il contrasto  di  frodi  o  situazioni  di  concreto rischio per il corretto esercizio  dell'attivita'  assicurativa,  nei limiti di quanto previsto dalle leggi o dai regolamenti in materia;

- l'accertamento, l'esercizio o la difesa di un diritto in  sede giudiziaria;

- l'esercizio del diritto di accesso  ai  dati  e  ai  documenti amministrativi, nei limiti di  quanto  previsto  dalle  leggi  o  dai regolamenti in materia;

- l'esecuzione di investigazioni o le ricerche o la raccolta  di informazioni per conto di terzi ai sensi dell'articolo 134 del  testo unico delle leggi di pubblica sicurezza;

- l'adempimento di obblighi previsti da disposizioni di legge in materia di comunicazioni e informazioni antimafia  o  in  materia  di prevenzione della delinquenza di tipo mafioso e di altre gravi  forme di  pericolosita'  sociale,  nei  casi  previsti  da   leggi   o   da regolamenti, o per  la  produzione  della  documentazione  prescritta dalla legge per partecipare a gare d'appalto;

- l'accertamento del requisito di idoneita' morale di coloro che intendono partecipare a gare  d'appalto,  in  adempimento  di  quanto previsto dalle vigenti normative in materia di appalti;

- l'attuazione della disciplina in materia di  attribuzione  del rating di legalita' delle imprese ai sensi  dell'articolo  5-ter  del decreto-legge 24 gennaio 2012, n. 1, convertito,  con  modificazioni, dalla legge 24 marzo 2012, n. 27;

- l'adempimento degli obblighi previsti dalle normative  vigenti in materia di prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attivita' criminose  e  di  finanziamento del terrorismo;

g) sono stabilite limitazioni ai diritti garantiti dal DGPR ai soggetti interessati nei seguenti casi (art. 2-undecies) qualora dall'esercizio di tali diritti possa derivare  un pregiudizio effettivo e concreto:

- agli interessi tutelati in base alle disposizioni  in  materia di riciclaggio;

- agli interessi tutelati in base alle disposizioni  in  materia di sostegno alle vittime di richieste estorsive;

- all'attivita'   di   Commissioni   parlamentari   d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;

- alle attivita' svolte da un soggetto pubblico,  diverso  dagli enti pubblici economici, in base ad espressa disposizione  di  legge, per esclusive finalita' inerenti alla politica monetaria e valutaria, al sistema dei pagamenti,  al  controllo  degli  intermediari  e  dei mercati creditizi  e  finanziari,  nonche'  alla  tutela  della  loro stabilita';

- allo   svolgimento   delle   investigazioni   difensive o all'esercizio di un diritto in sede giudiziaria;

- alla riservatezza dell'identita' del dipendente che segnala ai sensi della legge 30 novembre 2017, n. 179,  l'illecito  di  cui  sia venuto a conoscenza in ragione del proprio ufficio;

h) i diritti di cui agli articoli da 15 a 22 GDPR riferiti  ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a  tutela  dell'interessato, in qualita' di suo mandatario, o per ragioni familiari meritevoli  di protezione (art. 2-terdecies);

i) Il  titolare  o  il responsabile del trattamento  possono  prevedere,  sotto  la  propria responsabilita' e nell'ambito del proprio assetto organizzativo,  che specifici  compiti  e  funzioni  connessi  al  trattamento  di   dati personali  siano  attribuiti   a   persone   fisiche,   espressamente designate, che operano sotto la loro autorita' (art. 2-quaterdecies);

l) viene sostituito l’art. 60 in materia di accesso agli atti riguardanti dati  relativi  alla  salute  o  alla  vita  sessuale  o all'orientamento sessuale, che ora stabilisce “1. Quando il trattamento concerne  dati genetici, relativi alla salute, alla vita sessuale o all'orientamento sessuale della persona, il trattamento e' consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta  di accesso ai documenti amministrativi,  e'  di  rango  almeno  pari  ai diritti  dell'interessato,  ovvero  consiste  in  un  diritto   della personalita' o in un altro diritto o liberta' fondamentale”;

m) l’art. 75 concernente il trattamento in ambito sanitario viene sostituito dal seguente “1.  Il trattamento dei dati personali effettuato  per  finalita'  di  tutela della salute e incolumita' fisica dell'interessato o di terzi o della collettivita'  deve  essere  effettuato  ai  sensi  dell'articolo  9, paragrafi 2, lettere h) ed i), e  3  del  regolamento,  dell'articolo 2-septies del presente codice, nonche' nel rispetto delle  specifiche disposizioni di settore” (si veda anche il nuovo art. 77);

n) l’art. 96 in materia di trattamento dei dati relativi agli studenti viene sostituito dal seguente “1. Al fine di agevolare   l'orientamento,    la    formazione    e    l'inserimento professionale, anche all'estero, le istituzioni del sistema nazionale di istruzione, i centri di  formazione  professionale  regionale,  le scuole  private  non  paritarie  nonche'  le  istituzioni   di   alta formazione artistica e coreutica  e  le  universita'  statali  o  non statali  legalmente  riconosciute  su  richiesta  degli  interessati, possono  comunicare  o  diffondere,  anche  a  privati  e   per   via telematica, dati relativi agli esiti formativi, intermedi  e  finali, degli studenti e altri dati personali diversi da quelli di  cui  agli articoli 9  e  10  del  Regolamento,  pertinenti  in  relazione  alle predette  finalita'  e  indicati   nelle   informazioni   rese   agliinteressati ai sensi dell'articolo 13 del Regolamento. I dati possono essere  successivamente  trattati  esclusivamente  per  le   predette finalita'.  2. Resta ferma la disposizione di cui all'articolo 2, comma 2,  del decreto del Presidente della Repubblica 24 giugno 1998, n. 249, sulla tutela del diritto dello studente alla riservatezza. Restano altresi' ferme le vigenti disposizioni in materia di pubblicazione  dell'esito degli esami mediante affissione nell'albo dell'istituto e di rilascio di diplomi e certificati”;

o) è stato sostituito anche l’art. 110 in materia di ricerca medica, biomedica ed epidiomelogica;

p) mentre è stato introdotto l’art. 111-bis concernente il trattamento dei dati personali ricevuti tramite curriculum, secondo il quale “Le informazioni di cui all'articolo 13 del Regolamento,  nei  casi di ricezione dei curricula spontaneamente trasmessi dagli interessati al fine della instaurazione di un rapporto di lavoro, vengono fornite al  momento  del  primo  contatto  utile,  successivo  all'invio  del curriculum medesimo. Nei limiti delle finalita' di  cui  all'articolo 6,  paragrafo  1,  lettera  b),  del  Regolamento,  il  consenso   al trattamento dei dati personali presenti nei curricula non e' dovuto”;

q) viene ora stabilito all’art. 132-quater che “Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico informa gli abbonati  e,  ove  possibile,  gli  utenti,  mediante  linguaggio chiaro, idoneo e adeguato rispetto alla categoria e  alla  fascia  di eta' dell'interessato a cui siano fornite le  suddette  informazioni, con particolare attenzione in caso di minori di eta', se sussiste  un particolare  rischio  di  violazione  della  sicurezza  della   rete, indicando,  quando  il  rischio  e'  al  di  fuori   dell'ambito   di applicazione delle misure  che  il  fornitore  stesso  e'  tenuto  ad adottare a norma dell'articolo 132-ter, commi  2,  3  e  5,  tutti  i possibili  rimedi  e   i   relativi   costi   presumibili.   Analoghe informazioni sono rese al Garante e  all'Autorita'  per  le  garanzie nelle comunicazioni”;

r) all’art. 140-bis viene fissato il principio di alternatività della forme di tutela dei dati personali ossia il reclamo al Garante o alternativamente il ricorso dinanzi l’Autorità giudiziaria. Si veda anche l’art. 17 del d.lgs. n. 101/2018 che va a sostituire l’art. 10 del d.lgs. n. 150/2011;

s) viene sostituito gli artt. 153 e seguenti relativi al Garante per la protezione dei dati personali ed al suo funzionamento;

t) gli artt. 166 e seguenti si occupano del procedimento sanzionatorio nonché delle sanzioni previste dall’ordinamento. La disciplina della definizione agevolata delle sanzioni è contenuta all’art. 18 d.lgs. n. 101/2018;

u) è prevista una previsione d’improcedibilità dei reclami pendenti nanti il Garante della privacy se i soggetti interessati entro 30 giorni dalla pubblicazione sul sito del Garante medesimo che coloro che non dichiareranno di avere un interesse alla trattazione dei reclami medesimi (art. 19 d.lgs. n. 101/2018);

v) a decorrere dal 25 maggio 2018 le espressioni «dati sensibili» e «dati giudiziari» utilizzate  ai  sensi  dell'articolo  4,  comma  1, lettere d) ed e), del  codice  in  materia  di  protezione  dei  dati personali, di cui al decreto legislativo n.  196  del  2003,  ovunque ricorrano, si intendono  riferite,  rispettivamente,  alle  categorie particolari di dati  di  cui  all'articolo  9  del  Regolamento  (UE) 2016/679 e ai dati di cui all'articolo 10 del medesimo regolamento (art. 22, comma 2 d.lgs. n. 101/2018);

z) “per i primi otto mesi dalla  data  di  entrata  in  vigore  del presente decreto, il Garante per la  protezione  dei  dati  personali tiene conto, ai fini dell'applicazione delle sanzioni  amministrative e nei limiti in cui  risulti  compatibile  con  le  disposizioni  del Regolamento (UE) 2016/679, della fase  di  prima  applicazione  delle disposizioni sanzionatorie” (art. 22, comma 13 d.lgs. n. 101/2018). 

 

In questa sezione si riporta:

- il testo del Regolamento del Parlamento Europeo e del Consiglio n. 619/2016 del 27.4.2016 (G.U.C.E. L119/1 del 4.5.2016) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) sia in lingua italiana che in lingua inglese (entrata in vigore 25.5.2018);

- il testo del d.lgs. 18 maggio 2018, n. 51 recante "Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorita' competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonche' alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio";

- i documenti redatti dal Consiglio Nazionale Forense in materia (datati 22.5.2018).

 

Qui, invece, si trova il link ai documenti del Data Protection Working Party (WP29) http://www.garanteprivacy.it/web/guest/home/ricerca?p_p_id=searchportlet...