Persona, diritti personalità - Riservatezza, privacy -  Sabrina Peron - 09/11/2017

Il nuovo Regolamento Privacy UE 679/2016 (e il decreto attuativo 101/2018): linee essenziali – Sabrina PERON

Il nuovo Regolamento Privacy UE 679/2016 (e il decreto attuativo 101/2018): linee essenziali – Sabrina PERON

 

Il 25 maggio 2018, in tutti i Paesi degli Stati membri della UE è entrato in vigore il nuovo Regolamento del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

A differenza della direttiva, il Regolamento è direttamente applicabile in tutti gli Stati membri UE, senza la necessità di atti di recepimento, così da conseguire l’obiettivo di una uniformazione del diritto degli Stati europei.

Il Regolamento Privacy, che rappresenta un chiaro segnale di un nuovo interesse pubblico dell’Unione alla circolazione dei dati nello spazio digitale, è stato adottato il 27 aprile 2016 ed è abrogativo della direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), con lo scopo di rafforzare i diritti dei cittadini europei nel controllo dei propri dati personali e di definire un quadro unificato di regole per le aziende. 

Il 18 agosto 2018, è stato emanato il decreto attuativo, n. 101, recante le “disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”, che ha modificato il D.Lgs 196/2003 (Codice Privacy), il cui art. 1 adesso così, testualmente recita: “il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona

 

 Senza pretesa di completezza e di approfondimento, se ne ripercorrono brevemente di seguito le linee essenziali.

 

1) Ambito di applicazione

 

L’art. 3 GDPR, ne prevede l’applicazione anche “indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”. Il medesimo articolo stabilisce altresì che le sue regole debbano valere anche per i Titolari e Responsabili del Trattamento non stabiliti nell’UE, quando trattano dati che concernono: a) l'offerta di beni o la prestazione di servizi di soggetti che trovano nella UE; b) il monitoraggio del comportamento di soggetti che si trovano nella UE nella misura in cui tale comportamento abbia luogo all'interno dell'Unione.

 

 2) Il Consenso

 

L’art. 6 GDPR conferma le condizioni di liceità del trattamento dei dati, ossia:

- prestazione di un valido consenso al trattamento;

- trattamento necessario per:

l’adempimento obblighi contrattuali;

far fronte a obblighi di legge che incombono sul titolare

far fronte ad interessi vitali della persona interessata o di terzi;

l’esecuzione di compiti di interesse pubblico o per l’esercizio di pubblici poteri.

 

Con particolare riferimento al consenso:

  • dev’essere liberamente prestato e l’esecuzione di un contratto o la prestazione di un servizio, non può essere subordinata al consenso al trattamento di dati non necessari (art. 7, co. 4);
  • dev’essere specifico, informato e inequivocabile.

 

Pur non essendo necessaria la forma scritta, non è mai considerato come validamente prestato il consenso tacito o presunto: al riguardo sul titolare al trattamento grava l’onere di dimostrare che l’interessato ha prestato il suo consenso.

 

Secondo le indicazioni date dal Garante Privacy, il consenso raccolto prima del 25 maggio 2018 rimane valido:

  • solo se presenta tutte le caratteristiche sopra citate: in caso contrario, occorrerà raccogliere un nuovo consenso conforme al Regolamento;
  • solo se la “vecchia” richiesta di consenso sia conforme a quanto stabilito dall’art. 7, co. 2, ossia sia semplice, chiara, comprensibile e chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato.

In ogni caso il consenso può essere revocato in ogni momento dall’interessato

 

3) Informativa

 

L’informativa data all’interessato deve utilizzare un linguaggio chiaro e semplice e deve essere concisa, trasparente, intelligibile e facilmente accessibile (art. 12).

Inoltre, deve preferibilmente avere forma scritta, ma sono ammessi anche altri mezzi: elettronici o, se richiesto dall’interessato può essere fornita anche oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato. Interessante notare che l’art. 12 co. 7, ammette anche l’utilizzo di icone al fine di presentare i contenuti dell'informativa in forma sinteticache va però data “in combinazione” con l'informativa estesa.

 

L'informativa va data prima di effettuare la raccolta dei dati, tutte le volte in cui i dati sono raccolti direttamente presso l'interessato (art. 13).

 

L’informativa deve tassativamente contenere tutte le analitiche prescrizioni indicate dall’art. 13 del GDPR.

Inoltre, se i dati non sono stati direttamente ottenuti dall’interessato, questi ha diritto di ricevere dal titolare del trattamento – al più tardi entro un mese dalla raccolta o dalla comunicazione dei dati a terzi - tutte le informazioni previste dal successivo art. 14, quali:

  • identità e dati di contatto del titolare e del responsabile; finalità del trattamento e la sua base giuridica;
  • categoria dei dati personali oggetto di trattamento;
  • eventuali destinatari dei dati; l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo (e con quali strumenti avverrà il trasferimento);
  • il periodo di conservazione dei dati personali (o il suo criterio di determinazione);
  • l’esistenza del diritto dell’interessato a chiedere l’accesso ai proprio dati, oppure la rettifica, l’aggiornamento, la cancellazione;
  • l’esistenza del diritto per l’interessato ad opporsi al trattamento, a revocare il suo consenso al trattamento e a proporre reclamo;
  • la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione.

 

In Italia, il reclamo dell’interessato, ai sensi dell’art. 142 Codice Privacy (così come modificato dal decreto attuativo n. 101/2018) deve riportare “un'indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché' gli estremi identificativi del titolare o del responsabile del trattamento, ove conosciuto”. Al reclamo, inoltre, dev’essere allegata tutta la documentazione utile.  

 

 4) Dati personali di natura particolare

 

Ai sensi art. 9 GDPR, per alcuni dati personali è prevista una disciplina particolarmente rigorosa.

Si tratta di:

  • dati idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale;
  • dati genetici;
  • dati biometrici intesi a identificare in modo univoco una persona fisica;
  • dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

 

Con riguardo ai dati biometrici e quelli relativi la salute, l’art. 2 septies del Codice Privacy (così come modificato dal Decreto attuativo n. 101/2018), prevede che il garante per la Privacy, stabilisca quali sono le misure di garanzie da adottare, e che dovranno indicare le misure di sicurezza da adottare, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, le misure di minimizzazione, le specifiche modalità per l'accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché le eventuali altre misure necessarie a garantire i diritti degli interessati.

Inoltre, è fatto carico al Garante aggiornare ogni due anni, tali misure di garanzia che dovranno tener conto: “a) delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali; b) dell'evoluzione scientifica e tecnologica nel settore oggetto delle misure; c) dell'interesse alla libera circolazione dei dati personali nel territorio dell'Unione europea”.

 

I dati personali di natura particolare, possono essere trattati solo in presenza delle seguenti condizioni.

 

Anzitutto solo con il consenso esplicito dell’interessato reso per finalità specifiche.

In secondo luogo, se trattamento necessario per uno dei seguenti motivi:

  • assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
  • tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
  • accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali;
  • motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita. A tale riguardo l’art. 2 sexies del Decreto attutivo 101/2018, ha precisato che si considera di rilevante interesse pubblico i trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri in una serie di materie dettagliatamente esplicitate nella norma (quali ad esempio: accesso a documenti amministrativi; tenuta dei registri dello stato civile, dell’anagrafe e delle liste elettorali, tenuta dei registri pubblici relativi a beni immobili o mobili, etc. etc.);
  • finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;
  • motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici;
  • fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Ancora è possibile trattare queste categorie di dati particolari da parte di fondazioni, associazioni o altri organismo senza scopo di lucro che perseguano finalità politiche, filosofiche, religiose o sindacali:

  • purché ciò avvenga, nell’ambito delle loro legittime attività, con adeguate garanzie e riguardi unicamente i membri (o ex membri) e/o persone con cui hanno regolari contatti; e
  • sempreché tali dati personali non siano comunicati all’esterno senza il consenso dell’interessato.

 

Il trattamento dei dati personali relativi alle condanne penali, ai reati o a connesse misure di sicurezza (art. 11), questo deve avvenire soltanto sotto il controllo Pubblica Autorità ed il diritto degli Stati membri deve prevedere garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo della Pubblica Autorità. L’art 2-octies del Codice Privacy (così come riformato dal citato decreto attuativo), stabilisce che il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza è consentito se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, riguardanti, in particolare l’adempimento di particolari obblighi e l'esercizio di particolari diritti dettagliatamente indicati dalla normativa (ad esempio, nell'ambito dei rapporti di lavoro, nelle comunicazioni antimafia, in sede di mediazione civile etc. )

 

5) I minori

L’attenzione posta dal Regolamento a soggetti minori è dovuta ad una maggiore sensibilità alle problematiche dei minori che oramai, in quanto nativi digitali, utilizzano quotidianamente i vari prodotti digitali. Il consenso di soggetti minori è valido a partire dal 16 anno d’età (con libertà per gli Stati membri di abbassare tale età sino ai 13 anni). Prima di tale data il consenso è prestato dai genitori o da chi ne fa le veci (art. 8). In questo caso, il titolare del trattamento deve adoperarsi per verificare che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili. In ogni caso per i minori sono necessarie informative idonee e redatte in modo semplice e chiaro.

 

In Italia il Codice Privacy (così come modificato dal citato Decreto attuativo n. 101/2018), all’art. 2-quinquies, ha stabilito che il “minore che ha compiuto i quattordici anni può esprimere il consenso al trattamento dei propri dati personali in relazione all'offerta diretta di servizi della società dell'informazione”. Mentre con riguardo ai soggetti d’età inferiore ai 14 anni – e sempre con riferimento all'offerta diretta di servizi della società dell'informazione - il consenso “è lecito a condizione che sia prestato da chi esercita la responsabilità genitoriale”.  In ogni caso grava sul titolare del trattamento l’obbligo di redigere l’offerta “con linguaggio particolarmente chiaro e semplice, conciso ed esaustivo, facilmente accessibile e comprensibile dal minore, al fine di rendere significativo il consenso prestato da quest'ultimo, le informazioni e le comunicazioni relative al trattamento che lo riguardi”.

 

Si noti inoltre che l’art 50 Codice Privacy (sempre così come modificato dal citato decreto n. 101/2018), dispone il divieto di pubblicare e divulgare “con qualsiasi mezzo di notizie o immagini idonee a consentire l'identificazione di un minore”. Divieto che deve osservarsi anche in “caso di coinvolgimento a qualunque titolo del minore in procedimenti giudiziari in materie diverse da quella penale”.  E la cui violazione è punita ex art. 684 c.p. (“Chiunque pubblica, in tutto o in parte, anche per riassunto o a guisa d'informazione, atti o documenti di un procedimento penale, di cui sia vietata per legge la pubblicazione è punito con l'arresto fino a trenta giorni o con l'ammenda da euro 51 a euro 258”).

 

6) I diritti dell’interessato

 

L’interessato al trattamento ha diritto ad ottenere dal titolare del trattamento – entro un mese dalla richiesta (eventualmente prorogabile a due, in caso di complessità della richiesta) – tutte le informazioni di cui agli art. 13 e 14, per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici (se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato). La risposta fornita all’interessato deve avere le seguenti caratteristiche: dev’essere intelligibile, anche attraverso l’utilizzo di un linguaggio semplice e chiaro; inoltre, dev’essere concisa, trasparente e facilmente accessibile.

 

In linea generale le informazioni fornite sono gratuite. Tuttavia, se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può: a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; b) rifiutare di soddisfare la richiesta. In questo caso incombe sul titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

 

 7) Diritto all’oblio

Ai sensi dell’art. 17 GDPR, l’interessato ha il diritto di ottenere (senza ingiustificato ritardo) la cancellazione dei dati personali che lo riguardano in presenza di uno dei seguenti motivi:

  1. dati personali non più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  2. revoca del consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
  3. opposizione al trattamento senza che sussista alcun motivo legittimo prevalente per procedere;
  4. trattamento illecito dei dati personali; e) cancellazione dei dati personali per adempiere un obbligo legale cui è soggetto il titolare del trattamento. Infine quanto i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione ai minori (art. 8, co. 1).
  5. Qualora il titolare del trattamento, abbia reso pubblici dati personali, è obbligato a cancellarli. Inoltre, tenendo conto della tecnologia disponibile e dei costi di attuazione, è tenuto ad adottare tutte le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Quanto sopra previsto, non si applica tutte le volte in cui il trattamento sia necessario:

  1. per l’esercizio del diritto alla libertà di espressione e di informazione;
  2. per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  3. per motivi di interesse pubblico nel settore della sanità pubblica;
  4. per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;
  5. per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

 

8) Obblighi del Titolare del trattamento

Il Titolare del trattamento deve attuare tutte le misure tecniche e organizzative adeguate per garantire (e dimostrare), che il trattamento è effettuato conformemente al Regolamento. Dette misure vanno poi periodicamente riesaminate ed aggiornate (art. 24).

 

Tra le misure da mettere in atto vi possono essere la pseudonimizzazione e la minimizzazione (art. 25). In particolare, il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, deve assicurare la predisposizione di misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere anche la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo (art. 89).

 In ogni caso ai sensi dell’art. 89 Codice Privacy (così come modificato dal Decreto attuativo n. 101/2018), il “trattamento di dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici può essere effettuato anche oltre il periodo di tempo necessario per conseguire i diversi scopi per i quali i dati sono stati in precedenza raccolti o trattati”.

 

Nel caso di contitolarità del trattamento, l’art. 26 impone ai titolari di definire specificamente (con un atto giuridicamente valido) il rispettivo ambito di responsabilità e i compiti con particolare riguardo all’esercizio dei diritti degli interessati, che hanno comunque la possibilità di rivolgersi indifferentemente a uno qualsiasi dei titolari operanti congiuntamente.

 

9) Il Responsabile del trattamento

 

Il titolare del trattamento, designa il Responsabile del trattamento.

La designazione avviene per iscritto – con un contratto o altro atto giuridico conforme al diritto nazionale – e deve attribuirgli i compiti indicati al successivo art. 28. Il responsabile del trattamento, può nominare dei sub-responsabili del trattamento per specifiche attività di trattamento, nel rispetto degli stessi obblighi contrattuali.

 

Il Responsabile del trattamento ha l’obbligo della tenuta (e dell’aggiornamento) del registro dei trattamenti, tenuto in conformità alle prescrizioni dell’art. 30. Il registro deve avere forma scritta anche elettronica e dev’essere esibito su richiesta del Garante.

 

Deve inoltre adottare tutte le misure idonee – siano esse tecniche che organizzative – per garantire la sicurezza dei trattamenti (art. 32); designare un RPD-DPO, nei casi previsti dal regolamento o dal diritto nazionale (art. 37).

 

10) I Registri delle attività di Trattamento 

 

Tra le novità introdotte dal GDPR, l’art. 30 prevede la tenuta e, in caso di modifiche, l’aggiornamento dei Registri delle attività di trattamento.

 

Si tratta del Registro delle attività di trattamento che deve tenere il Titolare (art. 30, co 1) e del Registro delle Categorie di trattamento che deve tenere il Responsabile (art. 30, co 2).

 

I Registri – che devono avere forma scritta anche elettronica, in quanto devono essere esibiti su richiesta del Garante – rappresentano la descrizione sintetica delle finalità e modalità di raccolta e trattamento dei dati, nonché delle misure di sicurezza adottate.

 

L’ultimo comma dell’art. 30 individua i casi di esenzione dalla tenuta dei Registri (ad esempio in caso di ridotte dimensioni aziendali): tuttavia la formulazione della norma è al momento oggetto di contrasti interpretativi e il Garante Privacy nella Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali, in via preliminare e cautelare ha invitato tutti i Titolari e i Responsabili, a dotarsi dei Registri.

 

11) La Sicurezza e la valutazione d’impatto

 

Anche in materia di sicurezza il GDPR ha introdotto alcune novità.

Il Titolare del Trattamento, oltre a adottare misure di sicurezza tecnico organizzative adeguate al livello rischio (ad esempio, pseudonimizzando e cifrando i dati personali – cfr. art. 32), in caso di data breach (ovvero violazione della sicurezza e della riservatezza dei dati) deve farne tempestiva comunicazione al Garante e agli interessati.

 

Tutte le volte in cui un trattamento comporti (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), un rischio elevato per i diritti e le libertà delle persone interessate, il Titolare ha l’obbligo di svolgere preliminarmente una valutazione di impatto.

Tale valutazione deve necessariamente contenere una precisa descrizione dei trattamenti previsti e delle loro finalità (incluso l’interesse legittimo perseguito dal Titolare); una valutazione della necessità e della proporzionalità dei trattamenti in relazione alle finalità dichiarate; un’analisi dei rischi per i diritti e le libertà degli interessati; le misure che si intendono adottare per affrontare i rischi (ivi incluse le garanzie ed i meccanismi di sicurezza predisposti per la tutela dei dati personali e i diritti e libertà fondamentali).

 

Il Titolare, ha altresì l’obbligo di consultare l’autorità di controllo, qualora le misure tecniche e organizzative individuate per mitigare l’impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati rimanga elevato.

 

Al riguardo si rinvia alle linee guida proposte dal Gruppo di Lavoro Articolo 29, per la valutazione d’impatto, reperibili al seguente link: http://194.242.234.211/documents/10160/0/WP+248+-+Linee-guida+concernenti+valutazione+impatto+sulla+protezione+dati

 

 12) DPO

 

Un’ulteriore novità del GDPR è rappresentata dall’introduzione della nuova figura del DPO, ovvero Data Protection Officer (ovvero il Responsabile della protezione dei dati).

Ai sensi dell’art. 37 GDPR, la nomina del DPO è obbligatoria nei seguenti casi:

  1. il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
  2. le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali, ivi compresi quelli giudiziari.
  4. Data la novità della figura alcuni aspetti della disciplina sono oggetto di dibattito e richiederanno future precisazione dal Garante.
  5. In proposito, il DPO dev’essere designato in funzione delle qualità professionali in materia di Privacy (art. 37, co 5) ed, eventualmente, può essere anche un dipendente dell’azienda (art. 37, co 6).

Ciò posto, tra i compiti del DPO (art. 39) rientrano quelli di:

  1. informare e fornire consulenza al Titolare e/o al Responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi del GDPR;
  2. sorvegliare l’osservanza del GDPR
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto;
  4. cooperare con il Garante.

 

13) Trasferimento dati verso Paesi terzi

E’ consentito, senza la necessità di autorizzazioni specifiche, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale che garantiscono un livello di protezione adeguato, secondo le disposizioni dell’art. 45.

E’ necessaria, invece, l’autorizzazione del Garante in caso di utilizzo di clausole contrattuali ad-hoc (cioè non riconosciute come adeguate tramite decisione della Commissione europea) oppure accordi amministrativi stipulati tra autorità pubbliche.

 

14) Sanzioni (art. 83)

In caso di violazione del Regolamento, ogni Autorità nazionale, può applicare delle sanzioni che siano effettive, proporzionate e dissuasive, tenendo conto di alcuni elementi quali: natura, la gravità e la durata della violazione; carattere doloso o colposo; misure adottate dal Titolare e dal Responsabile e loro grado di responsabilità; eventuali precedenti violazioni, etc.

 

In particolare, potranno essere irrogate sanzioni amministrative pecuniarie: fino a € 10.000.000 (o, per le imprese, fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore) per le infrazioni elencate all’art. 83, par. 4), lett. a), b), c); fino a € 20.000.000 (o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore), per le infrazioni indicate all’art. 83, par. 5), lett. a), b), c), d), e).

 

E’, comunque, vietato il cumulo materiale delle sanzioni amministrative nel caso in cui vengano violate varie disposizione del regolamento, con comminazione dell’importo più elevato tra le sanzioni amministrative pecuniarie.

 

L’art. 166 del Codice Privacy (così come riformato dal Decreto attuativo 101/2018) dettaglia le violazioni soggette a sanzione amministrativa, demandandone l’adozione al Garante per la Privacy. Gli successivi indicano, invece, quali sono le illecite violazioni alla normativa che hanno carattere penale, ossia, in buona sostanza: trattamento illecito di dati (art. 167); comunicazione e diffusione illecita di dati oggetto di trattamento su larga scala (art. 167 bis); acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (art. 167 ter); falsità nelle dichiarazioni al Garante, interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (art. 168).

 

15) Trattamento dati a fini giornalistici (art. 96)

 

Per tutti i casi di trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, al fine di conciliare il diritto alla protezione dei dati personali e la libertà d’espressione e di informazione agli Stati membri è fatto obbligo di prevedere esenzioni o deroghe riguardo ai seguenti capi del Regolamento: capo II (principi); capo III (diritti dell’interessato); capo IV (titolare del trattamento e responsabile del trattamento); capo V (trasferimento di dati personali verso paesi terzi o organizzazioni internazionali); capo VI (autorità di controllo indipendenti) ; capo VII (cooperazione e coerenza); capo   IX (specifiche situazioni di trattamento dei dati).

 

In ogni caso il Codice Privacy (così come modificato dal Decreto attuativo 101/2018), stabilisce che, le disposizioni dettate per materie concernenti le “finalità giornalistiche e altre manifestazioni del pensiero” si applicano - ai sensi dell’articolo 85 del GDPR - al “trattamento: a) effettuato nell'esercizio della professione di giornalista e per l'esclusivo perseguimento delle relative finalità; b) effettuato dai soggetti iscritti nell'elenco dei pubblicisti o nel registro dei praticanti di cui agli articoli 26 e 33 l. 69/1963; c) finalizzato esclusivamente alla pubblicazione o diffusione anche occasionale di articoli, saggi e altre manifestazioni del pensiero anche nell’espressione accademica, artistica e letteraria” (art. 136 Codice Privacy).

E a tale proposito, in “caso di richiesta dell'interessato di conoscere l'origine dei dati personali ai sensi dell’articolo 15, paragrafo 1, lettera g), del Regolamento, restano ferme le norme sul segreto professionale degli esercenti la professione di giornalista, limitatamente alla fonte della notizia” (art. 138 Codice Privacy).

 

***

Per reperire il testo del Regolamento e per maggiori approfondimenti, si rinvia al seguente link del Garante della Privacy: http://www.garanteprivacy.it/regolamentoue

 

Per reperire il testo aggiornato del Codice Privacy integrato con le modifiche introdotte dal Decreto 101/2018, si rinvia al seguente link:

 https://www.garanteprivacy.it/documents/10160/0/Codice+in+materia+di+protezione+dei+dati+personali%28Testo+coordinato%29