La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

I principi generali del Codice della Privacy Prof. Avv. Giovanni Ziccardi Università degli Studi di Milano

Presentazioni simili


Presentazione sul tema: "I principi generali del Codice della Privacy Prof. Avv. Giovanni Ziccardi Università degli Studi di Milano"— Transcript della presentazione:

1 I principi generali del Codice della Privacy Prof. Avv. Giovanni Ziccardi Università degli Studi di Milano

2 1. Le premesse La tutela della privacy in Italia negli anni

3 La situazione odierna: Decreto Legislativo 30 giugno 2003, n. 196 Codice in Materia di Protezione dei Dati Personali La storia legislativa recente: a)Moda dei TESTI UNICI (semplificazione amministrativa degli ultimi 10 anni) b)Legge 127 del 2001, art. 1.4 (Il Governo emana … un testo unico delle disposizioni in materia di tutela dei dati personali e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e le modificazioni necessarie al coordinamento o per assicurarne la migliore attuazione)

4 Testo Unico (o Codice ai sensi della Legge 229/2003) Principio di semplificazione che consiste in un bilanciamento tra lesercizio dei diritti dellinteressato e ladempimento degli obblighi del titolare. I lavori sul Codice iniziano nel 2001 (Commissione Bianca) Scadenza della delega: 30 giugno Raccoglie anche leredità della legge 675 del 1996 e le sue (numerose) successive modificazioni ed integrazioni

5 La struttura Parti I e III del Codice: raccolgono leredità della disciplina precedente. Sono quelle più mature, contengono i principi fondamentali, hanno lassetto migliore. Parte II: una seconda fase nella tutela della privacy, ovvero una regolamentazione di diversi settori con, però, limiti di completezza e non esaustività dei temi e dei casi trattati Allegati: importanza dellAllegato B con riferimento alle misure minime di sicurezza

6 I princìpi dellUnione Europea Direttiva 96/45/CE: tutela del diritto fondamentale alla privacy Protezione dei consumatori e dei contraenti deboli Trasparenza (soprattutto nei rapporti contrattuali) Sicurezza dei dati personali (studi a livello di Unione Europea e linee guida) Difesa dei diritti dellinteressato tramite un Garante (anche per evitare la tradizionale strada giudiziale)

7 I precedenti normativi Legge 675 del 1996 Problemi di applicazione e di attuazione pratica della 675 Norma gemella, la 676, con delega al Governo per lemanazione di un corpo di norme di settore e adeguamenti legislativi Frammentazione normativa nel corso degli anni. Legge madre e tante leggi figlie Ben 9 interventi correttivi e integrativi + discipline di corredo, tra cui il d.p.r. 318/99 Nel frattempo: Direttiva UE 2002/58/CE sul trattamento dei dati personali nel settore delle telecomunicazioni

8 Perché un Codice? Riordino di una normativa cresciuta in maniera non coordinata Primo bilancio, e nuovo inizio, dopo sette anni di esperienza Adeguamento costante alle nuove tecnologie Raggruppa norme esistenti, modifica e introduce norme nuove

9 PARTE I Disposizioni Generali

10 Prima Parte del Codice Raggruppa tutte le disposizioni di carattere generale che si applicano a qualsiasi Titolare, qualunque sia il settore di appartenenza e a prescindere dal tipo di trattamento realizzato Ricompone un po i tasselli scombinati dalla legge 675 Buona notizia: riduzione di un 30% di norme sovrabbondanti

11 Struttura della I Parte Suddivisa in sette titoli Titolo I: principi generali privacy, nascita di un nuovo diritto fondamentale Titolo II: i diritti dellinteressato e le modalità di esercizio Titolo III: Regole generali circa il trattamento dei dati personali (distinzione importante: settore privato/settore pubblico)

12 Segue: la struttura Titolo IV: il modello organizzativo richiesto dal legislatore per gestire adeguatamente il sistema privacy Titolo V: il pianeta della sicurezza Titolo VI: gli adempimenti di legge Titolo VII: i trasferimenti esteri di dati personali

13 Titolo I Principi generali

14 Proclamazione del nuovo diritto alla tutela dei dati personali (art. 1) Alto livello di tutela (art. 2) Principio di necessità nel trattamento con strumenti elettronici (art. 3)

15 Articolo 1 Diritto alla protezione dei dati personali Chiunque ha diritto alla protezione dei dati personali che lo riguardano in conformità alle disposizioni del presente codice

16 Considerazioni Diritto di ciascuno a che i propri dati personali, ove trattati da unaltra persona, siano protetti con le modalità e secondo gli standard definiti dalla legge Patrimonio informativo di ciascuno come patrimonio informativo circolante, sottoposto ad uso da tanti soggetti per le finalità più varie

17 Considerazioni II Qualificazione dellattività di trattamento dei dati come attività pericolosa, con necessità di una sicurezza che riduca al minimo i rischi Chiunque: qualsiasi soggetto, indipendentemente dalle sue caratteristiche. Persona fisica o giuridica, maggiorenne o minorenne, italiani o stranieri, con o senza diritti politici: NON DISCRIMINAZIONE

18 Articolo 2 - Finalità 1. Il presente testo unico, di seguito denominato codice, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dellinteressato, con particolare riferimento alla riservatezza, allidentità personale e al diritto alla protezione dei dati personali.

19 Articolo 2 - Continua 2. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per ladempimento degli obblighi da parte dei titolari del trattamento.

20 Considerazioni Il primo comma definisce lorizzonte dei valori e dei beni giuridici entro cui si muove questa normativa Il secondo comma mette in chiaro la strategia di sviluppo di questa codificazione in una materia fluida

21 Considerazioni Intanto lart. 2 presenta il nuovo contenitore, ovvero il Testo Unico Poi definisce il perimetro di diritti e di libertà da rispettare, chiarendo che la normativa protegge i diritti e le libertà fondamentali di tutti (interessati, titolari e terzi) e la dignità degli interessati Anticipa i diritti, le libertà fondamentali, la dignità

22 Tre diritti Il diritto alla riservatezza (ovvero la protezione della vita privata) Il diritto alla identità personale (ovvero la protezione della individualità di ciascuno, che si attua anche tramite la tutela delle informazioni che precisano i contorni della individualità Il diritto alla protezione dei dati personali

23 Articolo 3 Principio di necessità nel trattamento di dati 1. I sistemi informativi sono configurati riducendo al minimo lutilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o, rispettivamente, opportune modalità che permettano di identificare linteressato solo in caso di necessità.

24 Considerazioni Articolo innovativo, che prende spunto dalla Direttiva 2002/58 sulla privacy nelle comunicazioni elettroniche che parla di tecnologie pertinenti e di ridurre al minimo il trattamento dei dati personali e di utilizzare dati anonimi o pseudoanonimi nella misura del possibile (IX considerando) I sistemi per la fornitura di reti e servizi di comunicazione elettronica dovrebbero essere progettati per limitare al minimo la quantità di dati personali necessari (XXX considerando)

25 Art. 4 - Definizioni Definisce gli istituti che sono oggetto della disciplina Alcune novità: la nozione di trattamento ora incorpora anche la consultazione; indicazione che incaricati possono essere solo persone fisiche

26 Il dato Dato = informazione. Può rientrare qualsiasi elemento che abbia un contenuto informativo Espressioni alfabetiche, suoni, immagini Primo tipo: dato personale Altri tipi: dato genetico, dato identificativo, dato giudiziario, dato sensibile, dati relativi a malattie contagiose di particolare gravità, dati anonimi, dati biometrici

27 Dato personale Qualsiasi informazione concernente una persona identificata o identificabile purché idonea a identificare detta persona Qualunque informazione: forma e contenuto, suoni, immagini

28 Top ten della gravità dei dati Dimenticando per un attimo il Legislatore Dati genetici: categoria apicale per impatto privacy, alta sorveglianza del Garante, necessità di decidere quasi caso per caso Dati relativi a malattie contagiose di particolare gravità (AIDS, mucca pazza) Legge 135/90 HIV e divieto assoluto di raccolta da parte del datore di lavoro (art. 6 L. 135/90) - paletti + accorgimenti e cautele in ambito sanitario

29 Top ten II Dati idonei a rivelare lo stato di salute e la vita sessuale Dati giudiziari Altri dati sensibili Dati biometrici e dati di ubicazione o di traffico Dati comuni Dati quasi anonimi (identificazione solo per via mediata, con sigle o id) Dati anonimi

30 Il dato sensibile Disciplina distinta ed organica Origine razziale, condizioni sanitarie o di salute, vita o abitudini sessuali, appartenenza politica o sindacale Dati sensibili per loro stessa natura (ad. es. dati relativi alla salute di un soggetto). Si guarda al contenuto. Dati sensibili in relazione al contesto in cui vengono utilizzati (indirizzi associati ad abbonamento a riviste per soli adulti). Diventano sensibili perché aggregati ad altri dati

31 I soggetti Interessato (anche persone giuridiche, scelta nazionale) Titolare: centro di imputazione di obbligo di legge e delle responsabilità Responsabile: già presente 675/96 Incaricato: la designazione può cadere solo su persone fisiche e non anche su soggetti impersonali, sia individui interni alla organizzazione, sia individui esterni. Garante: Autorità che presidia il rispetto della normativa

32 Trattamento per UE La direttiva 95/46/CE non tutelava il trattamento di qualunque dato personale ma solo di quei dati contenuti o destinati a figurare in banche dati, quindi per la direttiva, per aversi trattamento occorre che il dato sia utilizzato, anche in prospettiva, con altri dati organizzati. Presenza essenziale di una banca dati

33 Trattamento Italia Scissione tra concetto di trattamento e concetto di banca dati, in quanto per aversi il primo non è necessario che il dato sia inserito in un archivio. Amplificazione della portata della norma Riprende la 675 aggiungendo la consultazione Diventa trattamento qualunque operazione sui dati personali, a prescindere dalle relative modalità attuative o dal supporto su cui i dati sono registrati Definizione onnicomprensiva (raccolta, conservazione, utilizzo, distruzione. Ciclo di vita del dato)

34 Comunicazione Si riferisce unicamente a quelle operazioni di trasmissione di dati personali tra autonomi titolari (altrimenti si ha una trasmissione dei dati allinterno dello stesso trattamento)

35 Diffusione La diffusione è la divulgazione di dati personali ad una classe di destinatari indiscriminata (caso della pubblicazione di un prospetto contabile in una bacheca situata allinterno di un consorzio) Divieti assoluti e relativi, nel Codice, con riferimento al alcuni dati (sensibili)

36 Il blocco Loperazione di blocco è una sorta di congelamento del dato, che è posto in condizione di non essere più utilizzabile. Può riguardare sia il cartaceo (annotazione della indisponibilità) sia lelettronico

37 Articolo 5 - Oggetto e ambito di applicazione Principio di stabilimento del titolare del trattamento. Trattamento di dati personali effettuato da chiunque è stabilito nel territorio dello stato anche se riguarda dati detenuti allestero Trattamenti svolti da chiunque è stabilito in un paese extra UE ma con strumenti situati nel territorio dello stato, anche diversi da quelli elettronici (obbligo di nominare un rappresentante stabilito nel territorio italiano)

38 Fini esclusivamente personali Il trattamento per fini personali è ai margini dellambito di applicazione della legge (escluso dalla direttiva comunitaria, precisato da 675 e codice) La comunicazione sistematica o la diffusione dei dati non rientrano nel concetto di uso personale e, quindi, sono soggette alla normativa in esame Anche per le raccolte di dati ad uso personale, vige lobbligo di adottare misure di sicurezza adeguate al fine di ridurre i rischi ex art. 31

39 Sfera personale Si ritiene che diffusione dei dati e fini personali non siano compatibili (esclusa configurabilità di uno scopo personale in caso di diffusione dei dati) La deroga vi è nellarea in cui ciascun individuo apprende notizie e informazioni che rimangono utilizzate in una dimensione strettamente privata.

40 Sistematicità della comunicazione Si riferisce alla sola comunicazione, non alla diffusione: o per soddisfare le proprie esigenze personali o se viene effettuata una comunicazione saltuaria ed episodica Attenzione: si riferisce solo alla persona fisica: il soggetto che tratta i dati deve essere una persona fisica. Non riguarda le aziende.

41 Sfera personale /2 La legge tutela le persone cui si riferiscono i dati ma rispetta anche la sfera personale di chi intenda esercitare la libertà di informarsi e di essere informato per perseguire scopi meramente personali. Inapplicabile (tranne 15 e 31) alle agende automatizzate e cartacee, alle rubriche, agli indirizzari, agli appunti e al materiale informativo che chiunque è solito conservare nella propria sfera privata per soddisfare interessi culturali o altre normali esigenze della vita di relazione.

42 Articolo 6 - Disciplina del Trattamento 1. Le disposizioni contenute nella presente Parte si applicano a tutti i trattamenti di dati, salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrative o modificative della Parte II

43 Considerazioni Larticolo si riferisce alla composizione strutturale del Codice A cosa si riferisce? A tutta la Parte II? A tutte le norme della Parte II che selezionano per per determinati settori le norme della Parte I applicabili o che rettificano alcune regole generali? Significato: la Parte I del codice ha contenuto ed applicazione generalizzata (si applica a tutti i trattamenti per i quali non vi sia una espressa esclusione o deroga di legge).

44 TITOLO II Diritti dellinteressato

45 Le novità Sono i diritti riconosciuti allinteressato Norme primarie che riguardano lesercizio dei diritti e le relative modalità applicative Linteressato ha sempre il diritto di conoscere i propri dati utilizzati dal Titolare Quando i dati non sono del tutto corretti, linteressato ha il diritto di aggiornamento, di rettifica, di integrazione dei propri dati

46 Le novità /2 A determinate condizioni linteressato ha diritto di opporsi al trattamento nonché quando è stata violata la legge, ha diritto alla cancellazione, alla anonimizzazione e al blocco dei dati trattati

47 Articolo 7 - Primo Punto Diritto di accesso ai dati personali ed altri diritti 1. Linteressato ha diritto di ottenere la conferma della esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile,

48 Articolo 7 - Secondo Punto 2. Linteressato ha diritto di ottenere lindicazione: A) dellorigine dei dati personali trattati B) delle finalità e modalità del trattamento C) della logica applicata in caso di trattamento effettuato con lausilio di strumenti elettronici

49 Articolo 7 - secondo punto (2) D) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dellarticolo 5, comma 2 E) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabile o incaricato

50 Articolo 7 - Punto 3 3. Linteressato ha diritto di ottenere: A) laggiornamento, la rettificazione ovvero, quando vi ha interesse, lintegrazione dei dati B) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione della legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati

51 Articolo 7 - Punto 3 (2) C) lattestazione che le operazioni di cui alle lettere a e b sono state portare a conoscenza, anche per quanto riguarda il contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela possibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato

52 Articolo 7 - Punto 4 4. Linteressato ha diritto di opporsi, in tutto o in parte: A) per motivi legittimi, al trattamento dei dati personali che lo riguardano, ancorchè pertinenti allo scopo della raccolta; B) al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

53 Considerazioni Riprende vecchio art con sola novità comma 1 lettera E (che aggiunge fra le attribuzioni dellinteressato il diritto di conoscere i soggetti ai quali i dati possono essere comunicati o che ne possono comunque venire a conoscenza. La tutela dei diritti dellinteressato è il primo di tre requisiti di effettività della normativa, insieme ai controlli del Garante ed alla tutela amministrativa e giurisdizionale

54 Considerazioni Due contrappesi: dovere del Titolare di FAR SAPERE (informativa) e diritto dellinteressato di SAPERE. Linteressato ha anche però diritto di conoscere lorigine dei dati personali e la logica applicata al trattamento automatizzato, cui la disciplina dellinformativa non fa riferimento. Poi si passa il diritto di mero conoscere richiedendo al Titolare anche delle azioni, di fare qualcosa.

55 Considerazioni Collaborazione dellinteressato: ha la responsabilità di fare quanto possibile per facilitare la ricerca, principio di correttezza e buona fede che deve conformare tutte le parti in causa (specificazione di elementi che agevolino la ricerca, periodo di riferimento etc etc)

56 Comma 1: i diritti di conoscenza Accesso dellinteressato per sapere se una organizzazione trattiene dati personali che lo riguardano Diritto di informarsi: posizione attiva dellinteressato Due modalità di diritto di accesso: accesso presso il registro Pubblico, consultabile su base territoriale diffusa, gratuitamente e senza lonere di particolari formalità e accesso presso il titolare o il Responsabile del Trattamento.

57 Le richieste Se esistono o meno dati che lo riguardano (si può esercitare anche nei confronti di chi potrebbe non essere Titolare di alcun trattamento dei nostri dati) Permettono di identificare violazioni alla trasparenza (non era stata data informativa) e di venire a conoscenza di terzi che trattano i nostri dati e che noi ignoravamo (titolare che acquisisce dati da terze parti e magari è esonerato dallobbligo di legge di informativa (cfr. art. 13.5)

58 Anche dati non registrati Per evitare scuse da parte del titolare che i dati non sono ancora registrati al fine di eludere la normativa

59 Comma 2 - diritto di ricevere nuove informazioni Richiesta della fonte dei dati Richiesta della logica applicata al trattamento con strumenti elettronici Occorre una apposita richiesta fatta al Titolare

60 La fonte dei dati Non si capisce se ci si riferisce al soggetto specifico che ha fornito i dati o alla categoria di soggetti A volte può essere molto impegnativo tenere sempre a mente la fonte individuale dei dati: larticolo dice che il Titolare può anche indicare le categorie di soggetti Linteressato ricostruisce il flusso informativo del dato

61 La logica del trattamento automatizzato Insieme dei principi delle tabelle che definiscono funzioni logiche di una applicazione e dei collegamenti logici utilizzati per eseguire una computazione mediante un sistema di elaborazione automatica di dati. E insomma il criterio informatico di elaborazione dei dati

62 Diritti di opposizione Vero e proprio diritto di opposizione al trattamento A differenza del diritto di cancellazione, linibitoria del trattamento non richiede come condizione del proprio esercizio che ci si trovi in presenza di trattamento effettuato in violazione della legge. Lambito di applicazione è quello dei trattamenti leciti.

63 Opposizione (2) Diritto di ripensamento Consenso non richiesto Equipollenza del consenso Il diritto può essere del tutto discrezionale (fini promozionali o ricerche di mercato) oppure condizionato alla presenza di motivi legittimi.


Scaricare ppt "I principi generali del Codice della Privacy Prof. Avv. Giovanni Ziccardi Università degli Studi di Milano"

Presentazioni simili


Annunci Google