In diverse occasioni ci siamo occupati di aspetti legati al trattamento dei dati personali in più ambiti, come in quello lavorativo o legato ai rapporti bancari.
Ricordiamo che dal 2003 in Italia è in vigore il Codice della Privacy, approvato con decreto legislativo 196/2003, con cui è stata dettata una disciplina minuziosa della materia; la normativa nazionale è stata, poi, di recente integrata ed armonizzata con la normativa europea contenuta nel Regolamento europeo sulla protezione dei dati personali n. 679/2016, in sigla conosciuto come GDPR (General Data Protection Regulation), efficace per tutti gli Stati europei.
CODICE PRIVACY INTEGRATO CON IL GDPR
Al fine di integrare il Codice della privacy con il Regolamento europeo il nostro Parlamento ha quindi emanato il decreto legislativo n. 101/2018, entrato in vigore il 19 settembre 2018.
Il quadro normativo che ne deriva, pertanto, è piuttosto complesso ed articolato ma possiamo dire che, rispetto ad altri Paesi, l’Italia era già pronta ad affrontare la materia, avendo già una disciplina interna che, per alcuni aspetti, è stata modificata dalle norme europee.
Vediamo in estrema sintesi di cosa si tratta.
TRATTAMENTO DEI DATI
Innanzitutto, sia nel Codice che nel Regolamento si parla di “trattamento dei dati personali” con riferimento a qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati.
Con l'espressione "dato personale" si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; all’interno di questa categoria si definiscono "dati sensibili" quei dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
Ciò premesso, vediamo quali sono i soggetti principalmente coinvolti nel trattamento dei dati personali.
SOGGETTI DEL TRATTAMENTO
In primo luogo vi sono gli “interessati”, cioè coloro i cui dati vengono trattati a cui corrispondono i soggetti che effettuano il trattamento.
Tra questi ultimi innanzitutto vi è il “titolare del trattamento”, cioè' la persona fisica o giuridica, la pubblica amministrazione, l'associazione o qualsiasi altro ente a cui competono le decisioni sulle finalità e modalità di gestione dei dati.
Con il GDPR è divenuta fondamentale inoltre la figura del “responsabile del trattamento” (anche detto D.P.O., Data Protection Officer), cioè altra persona fisica o giuridica, pubblica amministrazione o ente che gestisce i dati personali per conto del titolare; questi, inoltre, può affidare l'esecuzione materiale delle operazioni di trattamento agli “incaricati”, persone fisiche che debbono operare sotto la vigilanza ed il controllo del titolare e del responsabile, rispettando le loro istruzioni.
CONSENSO AL TRATTAMENTO
Ai fini del trattamento dei dati sono fondamentali l’acquisizione del consenso da parte dell’interessato ed il rilascio dell’informativa da parte del titolare del trattamento.
Oggi vediamo cosa prevede la normativa in ordine al consenso, proseguendo in un prossimo articolo la trattazione dell’informativa e degli altri aspetti più rilevanti della materia.
Il GDPR, andando ad integrare quanto già previsto dal Codice della Privacy, dispone che il consenso dell’interessato al trattamento dei suoi dati personali debba essere “espresso”: pur non prevedendo, il testo del Regolamento, l’obbligatorietà della forma scritta va da sé che l’unica modalità per dimostrare la prestazione del consenso è la forma scritta.
In calce al documento contenente i dati personali che dovranno essere trattati, pertanto, dovrà essere utilizzata la formula dell’autorizzazione al trattamento dei medesimi, per le finalità indicate nell’informativa, da esprimersi in forma semplice e chiara.
Il consenso, inoltre, deve essere spontaneo e non presunto, dunque è escluso l’utilizzo, da parte del titolare del trattamento, di modulistica non conforme a tali disposizioni (come ad esempio quella contenente caselle già segnate, a meno che si tratti di dare il consenso alla prestazione oggetto del contratto).
DATI SENSIBILI E PROFILAZIONE
Per i dati sensibili il GDPR prevede che il consenso debba essere “esplicito”; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati, la cosiddetta “profilazione” dei dati.
Quest’ultima è definita dal regolamento come qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona.
Il trattamento dei dati sensibile è vietato salvo che, come detto, sia stato dato esplicito consenso da parte dell’interessato, fatte salve alcune ipotesi previste dal Regolamento, come ragioni di pubblica sicurezza o la tutela dell’interesse personale dell’interessato (ad es. nei casi di ricovero d’urgenza o di soccorso in situazioni di emergenza, in cui può risultare estremamente difficoltoso se non impossibile raccogliere il consenso dell’interessato).