LA CULTURA DELLA GESTIONE E PROTEZIONE DEI DATI PERSONALI Servizio RPD Relatore dott. Gianni Festi
Profilazione e Data analitics Che ci serve la cultura della privacy? Big Data Nel 2017 si sono generati nel mondo tanti dati quanti in tutta la storia fino al 2016 Ogni giorno il colosso americano dei supermercati Walmart raccoglie un numero di dati pari a quello necessario per codificare l’intera libreria del congresso degli USA Profilazione e Data analitics Cosa voglio o vorrei? “Lo studio dei dati su internet sarà la professione più sexy” “L’accesso al credito valuterà anche i dati acquisiti dal frigorifero”
26 miliardi di oggetti connessi a livello globale Che ci serve la cultura della privacy? Cloud computing Dove sono i miei dati? Internet delle cose Servizi e controllo Nel 2020 ci saranno 26 miliardi di oggetti connessi a livello globale
Il tema della riservatezza Che ci serve la cultura della privacy? Il tema della riservatezza Chi sviluppa le app per Gmail può leggere la posta elettronica degli utenti Facebook vittima di violazioni: on line messaggi privati di oltre 80.000 utenti (notizia del 3 novembre 2018)
Banche dati “preziose” Che ci serve la cultura della privacy nella PA? Banche dati “preziose” Consapevolezza dei rischi da comportamento e da abitudine
Quadro normativo
Privacy componente dei processi amministrativi Il nuovo Regolamento europeo Un nuovo modello organizzativo Privacy componente dei processi amministrativi
Il nuovo Regolamento europeo Regolamento europeo concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati Regolamento europeo 2016/679 approvato dal Parlamento europeo il 14 aprile 2016 in vigore dal 24 maggio 2016 direttamente applicabile dal 25 maggio 2018
dal decreto legislativo n. 101 del 10 agosto 2018 Il “nuovo” Codice privacy italiano Decreto legislativo n. 196 del 30 giugno 2003 come modificato dal decreto legislativo n. 101 del 10 agosto 2018
il Regolamento europeo 2016/679 Provvedimenti del Garante I provvedimenti del Garante continuano ad applicarsi in quanto compatibili con il Regolamento europeo 2016/679
Il nuovo Regolamento europeo – elementi essenziali La protezione dei dati personali è un diritto fondamentale (art. 8 par. 1 Carta dei diritti fondamentali dell’Unione Europea) Il diritto alla protezione dei dati non è una prerogativa assoluta ma va considerato alla luce della sua funzione sociale e contemperato con altri diritti fondamentali (Considerando 4)
Il nuovo Regolamento europeo – elementi essenziali Al fine di assicurare un livello coerente e elevato di protezione delle persone e rimuovere gli ostacoli alla circolazione dei dati personali, il livello di protezione dei diritti e delle libertà delle persone riguardo al trattamento dei dati personali deve essere equivalente in tutti gli Stati membri (Considerando 10)
Il nuovo Regolamento europeo coordinamento normativo Ove il regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone integrare elementi del regolamento nel proprio diritto nazionale (Considerando 8)
Il nuovo Regolamento europeo coordinamento normativo Per quanto riguarda il trattamento dei dati personali … per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del regolamento (Considerando 10)
Valutazione di conformità Il nuovo Regolamento europeo coordinamento normativo Il Regolamento detta la DISCIPLINA GENERALE Normative nazionali per disciplina speciale e di settore Valutazione di conformità
Il nuovo Regolamento europeo – Capi Disposizioni generali Principi Diritti dell’interessato Titolare del trattamento e responsabile del trattamento
Il nuovo Regolamento europeo – Capi Trasferimento di dati personali verso paesi terzi o organizzazioni internazionali Autorità di controllo indipendenti Cooperazione e coerenza Mezzi di ricorso, responsabilità e sanzioni
Il nuovo Regolamento europeo – Capi Disposizioni relative a specifiche situazioni di trattamento Atti delegati e atti di esecuzione Disposizioni finali
Si applica solo al trattamento di dati personali di persone fisiche Il nuovo Regolamento europeo coordinamento normativo Si applica solo al trattamento di dati personali di persone fisiche Riguarda trattamenti interamente o parzialmente automatizzati o non automatizzati se i dati personali sono contenuti in un archivio o sono destinati a confluirvi
NON SI APPLICA ai trattamenti: Il nuovo Regolamento europeo coordinamento normativo NON SI APPLICA ai trattamenti: effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico di informazioni anonime o dati personali anonimizzati
NON SI APPLICA ai trattamenti: Il nuovo Regolamento europeo coordinamento normativo NON SI APPLICA ai trattamenti: per attività che non rientrano nel diritto dell’Unione (es. sicurezza nazionale) per attività di speciale rilevanza pubblica (es. politica estera e di difesa comune) effettuati da autorità ai fini di prevenzione, accertamento e repressione reati e ai fini di sicurezza pubblica
Il nuovo Regolamento europeo ambito di applicazione territoriale SI APPLICA ai trattamenti: effettuati da un Titolare o Responsabile stabilito nell’UE, anche se il trattamento è effettuato fuori dall’UE effettuati da un Titolare o Responsabile non stabilito nell’UE se il trattamento ha ad oggetto dati personali di interessati che si trovano nell’UE effettuati da un Titolare stabilito in uno Stato extra UE soggetto al diritto di uno Stato UE in virtù del diritto internazionale
Novità del regolamento europeo DATO PERSONALE: qualsiasi informazione riguardante una persona fisica identificata o identificabile Concetto di identificabilità si considerano i mezzi necessari per identificare la persona fisica e i costi e i tempi necessari per l’identificazione
Categorie particolari di dati personali Novità del regolamento europeo Categorie particolari di dati personali Dati sensibili Dati relativi alla salute = dati sanitari (Considerando 35) Dati genetici Dati biometrici
Novità del regolamento europeo Che cos’è TRATTAMENTO?
Novità del regolamento europeo PROFILAZIONE: qualsiasi forma di trattamento automatizzato consistente nell’utilizzo di dati personali per valutare aspetti personali quali il rendimento professionale, la situazione economica, le preferenze personali, l’ubicazione e gli spostamenti
Novità del regolamento europeo PSEUDONIMIZZAZIONE: il trattamento di dati personali in modo che non possano più essere attribuiti ad un interessato senza l’utilizzo di informazioni aggiuntive, conservate separatamente e soggette a misure tecniche e organizzative specifiche
I principi del trattamento Liceità Correttezza Novità del regolamento europeo I principi del trattamento Liceità Correttezza Trasparenza – sensibilizzazione dei cittadini Finalità determinate esplicite legittime
Pertinenza e non eccedenza Novità del regolamento europeo I principi del trattamento Minimizzazione Pertinenza e non eccedenza (Privacy by design – privacy by default)
Pertinenza e non eccedenza Novità del regolamento europeo Pertinenza e non eccedenza Formazione provvedimenti
I principi del trattamento Novità del regolamento europeo I principi del trattamento Esattezza Limitazione delle conservazione Integrità e sicurezza
Responsabilizzazione Novità del regolamento europeo I principi del trattamento Responsabilizzazione Neutralità degli strumenti
Liceità del trattamento Ogni trattamento deve trovare fondamento in un'idonea base giuridica (art. 6 Regolamento) obblighi di legge cui è soggetto il titolare interesse pubblico o esercizio di pubblici poteri interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati
Ogni trattamento deve trovare fondamento in un'idonea base giuridica Liceità del trattamento Ogni trattamento deve trovare fondamento in un'idonea base giuridica (art. 6 Regolamento) consenso adempimento obblighi contrattuali interessi vitali della persona interessata o di terzi
è necessario per l'esecuzione di Liceità del trattamento Il trattamento è lecito se è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento art. 6 lett. e) par. 1 Regolamento Considerando 45
Liceità del trattamento La base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c) ed e), deve essere stabilita: a) dal diritto dell'Unione; o b) dal diritto dello Stato membro cui è soggetto il titolare del trattamento. La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento art. 6 lett. e) par. 3 Regolamento Considerando 45
nei casi previsti dalla legge di regolamento Art. 2 ter decreto legislativo 196/2003 La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), del Regolamento è costituita esclusivamente da una norma di legge o nei casi previsti dalla legge di regolamento
Art. 2 ter decreto legislativo 196/2003 La comunicazione fra titolari che effettuano trattamenti di dati personali, diversi da quelli ricompresi nelle particolari categorie di cui all’articolo 9 del Regolamento e di quelli relativi a condanne penali e reati di cui all’articolo 10 del Regolamento, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri è ammessa se prevista da una norma di legge o di regolamento o comunque per lo svolgimento di funzioni istituzionali
a soggetti che intendono trattarli per altre finalità Art. 2 ter decreto legislativo 196/2003 La diffusione e la comunicazione di dati personali, trattati per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri a soggetti che intendono trattarli per altre finalità sono ammesse unicamente se previste da una norma di legge o nei casi previsti dalla legge di regolamento
Liceità del trattamento (considerando 43, art. 9 regolamento) Pubbliche Amministrazioni non devono chiedere il consenso per il trattamento dei dati personali (considerando 43, art. 9 regolamento)
Liceità del trattamento Soggetti privati che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri non devono chiedere il consenso per il trattamento dei dati personali (considerando 45)
Liceità del trattamento Consenso - Per i dati "sensibili” e per la profilazione deve essere "esplicito" - Non è necessariamente "documentato per iscritto” né è richiesta la "forma scritta” ma il titolare deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento - Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci
Liceità del trattamento Consenso - deve essere libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un modulo) deve essere manifestato attraverso "dichiarazione o azione positiva inequivocabile” (considerando 39 e 42)
Liceità del trattamento Trattamento di categorie particolari di dati personali Principio E’ vietato trattare dati personali “sensibili e ultrasensibili” (art. 9 regolamento)
Liceità del trattamento Trattamento di categorie particolari di dati personali Il divieto non si applica nei seguenti casi - Consenso esplicito Obblighi e diritti in materia di lavoro Altro… (art. 9 regolamento)
Liceità del trattamento Trattamento di categorie particolari di dati personali Il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stato membri che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9 e 10 regolamento)
Titolare del trattamento I soggetti privacy Titolare del trattamento Contitolarità I titolari sono tenuti di definire specificamente il rispettivo ambito di responsabilità e i compiti con particolare riguardo all'esercizio dei diritti degli interessati 47
I soggetti privacy Responsabile del trattamento La designazione del responsabile del trattamento deve essere formalizzata in un contratto o altro atto giuridico 48
I soggetti privacy Designati del trattamento Persona a cui il titolare o il responsabile attribuisce specifici compiti e funzioni 49
Personale autorizzato al trattamento I soggetti privacy Incaricato del trattamento Personale autorizzato al trattamento sotto l’autorità diretta del titolare Obbligo di istruzione e formazione 50
Amministratore di sistema I soggetti privacy Amministratore di sistema 51
della protezione dei dati Data protection officer I soggetti privacy Responsabile della protezione dei dati Data protection officer 52
Informativa (art. 13 e 14 Regolamento) Tipologie di informativa Informativa diretta: in occasione della raccolta diretta dei dati presso l’interessato Informativa ulteriore: in occasione di un mutamento della finalità rispetto ai dati già raccolti (trattamento per finalità diverse o ulteriori)
Informativa (art. 13 e 14 Regolamento) Tipologie di informativa Informativa successiva: in occasione della raccolta da altro titolare NB: non è dovuta se: l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro comunicare le informazioni risulta impossibile o implica uno sforzo sproporzionato
Informativa (art. 13 e 14 Regolamento) I contenuti dell'informativa sono più ampi Deve specificare: i dati di contatto del RPD-DPO la base giuridica del trattamento se trasferisce i dati personali in Paesi terzi e nel caso attraverso quali strumenti il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione
Informativa (art. 13 e 14 Regolamento) Quando? Nel caso di dati personali non raccolti direttamente presso l'interessato, l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all'interessato)
Informativa (art. 13 e 14 Regolamento) Come? forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile linguaggio chiaro e semplice e per i minori occorre prevedere informative idonee data, in linea di principio, per iscritto e preferibilmente in formato elettronico può essere fornita anche oralmente
Diritti degli interessati Diritto all’autodeterminazione Modalità per l’esercizio dei diritti Diritti di accesso Diritto di cancellazione (diritto all’oblio) Diritto di limitazione del trattamento Diritto alla portabilità dei dati
Diritti degli interessati Il termine per la risposta all'interessato è 1 mese, estendibile fino a 3 mesi Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire l'ammontare dell'eventuale contributo da chiedere all'interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive ovvero se richieste più copie il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità
Diritto di accesso Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi
Diritto di cancellazione Diritto all’oblio Il diritto cosiddetto "all'oblio" si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. I titolari (se hanno "reso pubblici" i dati personali dell'interessato: ad esempio, pubblicandoli su un sito web) hanno l’obbligo di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi "qualsiasi link, copia o riproduzione
il titolare del trattamento Diritto di cancellazione diritto all’oblio Non si applica se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento
Non si applica alle Pubbliche Amministrazioni Diritti degli interessati Diritto di limitazione del trattamento Nuovo diritto alla portabilità dei dati Non si applica alle Pubbliche Amministrazioni
alla gestione della privacy Responsabilizzazione Un nuovo approccio alla gestione della privacy Accountability Responsabilizzazione
Titolare e responsabile del trattamento Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire e esser in grado di dimostrare che il trattamento è effettuato conformemente al regolamento (art. 24 regolamento)
sin dalla progettazione Approccio basato sul rischio e misure di accountability Privacy by design La garanzia e il rispetto del diritto alla riservatezza e alla protezione dei dati deve essere considerato, valutato e attestato sin dalla progettazione di ogni processo e progetto e dei relativi supporti informatici tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche
Approccio basato sul rischio e misure di accountability Privacy by default Il titolare del trattamento deve mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati per impostazione predefinita solo i dati personali necessari per ogni specifica finalità del trattamento
Approccio basato sul rischio e misure di accountability Valutazione d’impatto sulla protezione dei dati Quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali 68
Approccio basato sul rischio e misure di accountability Registro delle attività di trattamento Ogni titolare e responsabile (esterno) del trattamento tengono un registro delle attività di trattamento svolte sotto la propria responsabilità 69
Approccio basato sul rischio e misure di accountability Sicurezza del trattamento Misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio tenendo conto dello stato dell'arte e dei costi di attuazione nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche
Abrogato il riferimento alle misure minime di sicurezza Approccio basato sul rischio e misure di accountability Sicurezza del trattamento Abrogato il riferimento alle misure minime di sicurezza
Sicurezza del trattamento Approccio basato sul rischio e misure di accountability Sicurezza del trattamento Misure adeguate Pseudonimizzazione e cifratura Capacità di assicurare riservatezza – integrità – disponibilità – resilienza dei sistemi e dei servizi Capacità di ripristino della disponibilità e dell’accesso ai dati
Approccio basato sul rischio e misure di accountability Cybercrime attacchi gravi in crescita del 31% nel 2018 rispetto al 2017 Attacco hacker al Pentagono violati i dati di 30 mila dipendenti Attacco hacker al comune di Fiumicino cancellati i data base del servizio sociale 73
Approccio basato sul rischio e misure di accountability Gestione documenti cartacei Chiavette usb Dati trasmessi ai colleghi Dati comunicati a soggetti terzi 74
Sicurezza - Data breach (artt. 33 - 34 Regolamento) Che cos’é? violazione di riservatezza: divulgazione o accesso a dati personali non autorizzato o accidentale violazione di integrità: alterazione di dati personali non autorizzata o accidentale violazione di disponibilità: perdita, inaccessibilità o distruzione non autorizzata o accidentale di dati personali
Sicurezza - Data breach (artt. 33 - 34 Regolamento) Azioni Individuazione procedura - protocollo e referenti Individuazione procedura - protocollo con responsabile esterno Valutazione evento e eventuali motivi di esonero da notifica e/o comunicazione Esecuzione misure e controllo Notifica al Garante entro 72 ore e comunque senza ritardo Comunicazione agli interessati Documenti Fascicolo dell’evento e delle azioni Registro delle violazioni di dati
Diritto al ricorso giurisdizionale Mezzi di ricorso, responsabilità e sanzioni Diritto al reclamo Diritto al ricorso giurisdizionale
Diritto al risarcimento del danno Mezzi di ricorso, responsabilità e sanzioni Diritto al risarcimento del danno
Diritto al risarcimento del danno Mezzi di ricorso, responsabilità e sanzioni Diritto al risarcimento del danno Chiunque subisca un danno materiale o immateriale causato da una violazione della privacy ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento
Diritto al risarcimento del danno Mezzi di ricorso, responsabilità e sanzioni Diritto al risarcimento del danno Il titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il regolamento Il responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile
Sanzioni amministrative più gravi Mezzi di ricorso, responsabilità e sanzioni Sanzioni amministrative più gravi Fino a 10 milioni di euro o fino a 20 milioni di euro a seconda della violazione
trasparenza amministrativa Privacy e trasparenza amministrativa
dal Decreto legislativo 14 marzo 2013 n. 33 come modificato dal Decreto legislativo 25 maggio 2016 n. 97
dalla Legge regionale 15 dicembre 2016 n. 16 29 ottobre 2014 n. 10 come modificata dalla Legge regionale 15 dicembre 2016 n. 16 (in vigore dal 16 dicembre 2016)
pubblicazione Accesso civico Obblighi di pubblicazione Accesso civico 85 85 85 85 85 85 85
diritto di accesso civico Privacy e diritto di accesso civico
della tutela di interessi pubblici e privati giuridicamente rilevanti nei limiti della tutela di interessi pubblici e privati giuridicamente rilevanti Accesso civico generalizzato 87 87 87 87 87 87 87
Accesso civico – ambito oggettivo “l'accesso civico disciplinato dall'articolo 5, comma 2 del decreto ha ad oggetto i documenti detenuti dall'amministrazione, ulteriori rispetto a quelli oggetto di pubblicazione” Art. 1 comma 1 lettera 0a) LR 16/2016 “… chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione ai sensi del presente decreto, nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti secondo quanto previsto dall'articolo 5-bis.” Art. 5 comma 2 D.lgs. 33/2013 88 88 88 88 88 88 88
Esclusioni e limiti all’accesso civico Delibera ANAC n. 1309 del 28 dicembre 2016 “Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 comma 2 del d.lgs. n. 33 del 2013 dell’Autorità Nazionale Anticorruzione” 89 89 89 89 89 89 89
VALUTAZIONE se il diniego è necessario per evitare Limiti VALUTAZIONE se il diniego è necessario per evitare un pregiudizio concreto alla tutela di uno degli interessi pubblici o privati previsti dal comma 1 e 2 dell’art. 5 bis D.Lgs. 33/2013 90 90 90 90 90 90 90
Interessi privati: Limiti a) la protezione dei dati personali, in conformità con la disciplina legislativa in materia b) la libertà e la segretezza della corrispondenza c) gli interessi economici e commerciali di una persona fisica o giuridica, ivi compresi la proprietà intellettuale, il diritto d'autore e i segreti commerciali previsti dal comma 2 dell’art. 5 bis D.Lgs. 33/2013 91 91 91 91 91 91 91
diritto di accesso documentale Privacy e diritto di accesso documentale
Soggetto privato che ha un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento di cui è chiesto l’accesso (art. 32 comma 1 L.P. 23/1992) 93
anche per ciò che concerne i dati sensibili e giudiziari I presupposti, le modalità e i limiti per l’esercizio del diritto di accesso restano disciplinati dalla L.241/1990 (L.p. 23/1992) anche per ciò che concerne i dati sensibili e giudiziari (art. 59 D.Lgs. 196/2003) 94
L’accesso a documenti contenenti dati idonei a rivelare lo stato di salute o la vita sessuale è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso è di rango almeno pari ai diritti dell’interessato 95
Risposte ai quesiti