Codice della privacy: cos’è il nuovo GPDR e cosa prevede?

A partire dal 25 maggio 2018 il Codice della Privacy sarà sostituito dal nuovo regolamento europeo in materia di privacy, il GDPR; ecco quali cambiamenti ci attendono.

Codice della privacy: cos'è il nuovo GPDR e cosa prevede?

l codice della privacy è entrato in vigore il 1° gennaio 2004.

La privacy è un elemento fondamentale perché regola diversi settori come ad esempio quello condominiale, quello lavorativo e quello sanitario. È importante dunque rispettare le regole necessarie per tutelare il trattamento dei dati personali.

L’obiettivo del codice della privacy (qui il testo completo) è di riordinare la normativa in tema di trattamento dei dati personali riunendo in un unico contesto la legge 675/1996 e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi ultimi anni.

A partire dal 25 maggio 2018 il suddetto testo sarà sostituito dal nuovo regolamento europeo in materia di privacy, il GDPR (General Data Protection Regulation) che ha l’obiettivo di rafforzare ulteriormente la protezione delle persone fisiche in merito al trattamento dei dati personali.

Infatti il Consiglio dei Ministri del 21 marzo 2018 ha approvato il decreto legislativo di attuazione della direttiva europea sul GDPR.

Il nuovo regolamento europeo in materia di privacy introduce importanti novità in merito al trattamento dei dati personali, in particolare sono cambiate le regole per ciò che concerne il consenso, l’informativa, il diritto all’oblio e la conservazione limitata dei dati.

Vediamo quindi come è strutturato il codice della privacy, quali semplificazioni in materia di protezione dei dati personali sono state introdotte e cosa cambierà a partire dal 25 maggio 2018 quando entrerà in vigore il GDPR.

La struttura del codice della privacy

Il codice della privacy è composto da 186 articoli ed è diviso in tre parti che contengono:

  • disposizioni generali (artt. 1-45), riguardanti le regole sostanziali della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche (II parte);
  • disposizioni particolari (artt. 46-140) per specifici trattamenti, ad integrazione od eccezione alle disposizioni generali (I parte);
  • disposizioni (artt. 141-186) relative alle azioni di tutela dell’interessato ed al sistema sanzionatorio cui si aggiungono le norme di modifica, finali e di carattere transitorio.

Il codice è completato poi da tre allegati:

  • allegato A: codici di deontologia;
  • allegato B: disciplinare tecnico in materia di misure minime di sicurezza;
  • allegato C: elenco dei trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia che dovranno essere individuati entro il 30 giugno 2004 dai Ministeri competenti.

Quali sono i dati che vengono tutelati dal codice della privacy?

I dati che il codice della privacy tutela sono:

  • dati personali;
  • dati sensibili e giudiziari (dati particolari).

I dati personali sono le informazioni che identificano o rendono identificabili una persona fisica e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute e la sua situazione economica.

I dati particolari sono il sottoinsieme dei dati personali formati da dati sensibili e dati giudiziari.

I dati sensibili sono i dati personali che rivelano l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

I dati giudiziari sono invece i dati personali relativi al casellario giudiziale, alle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o che rivelano la qualità di imputato o di indagato.

Modalità del trattamento dei dati

Il codice della privacy prevede che i dati personali oggetto di trattamento devono essere:

  • trattati in modo lecito e secondo correttezza;
  • raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
  • esatti e, se necessario, aggiornati;
  • pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
  • conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

Informativa alla privacy

Il codice della privacy prevede inoltre l’obbligo di informativa nei confronti dei soggetti che rilasciano i propri dati personali.

In particolare il soggetto che decide di autorizzare il trattamento dei propri dati personali dovrà essere previamente informato tramite una comunicazione scritta o orale che deve contenere le seguenti indicazioni:

  • le finalità e le modalità del trattamento cui sono destinati i dati;
  • la natura obbligatoria o facoltativa del conferimento dei dati;
  • le conseguenze di un eventuale rifiuto di rispondere;
  • i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi.

Una volta che l’interessato ha ricevuto l’informativa, quest’ultimo dovrà dare il suo consenso per il trattamento dei dati personali.

Autorizzazione al trattamento dei dati

Il codice della privacy prevede che successivamente al consenso, nel caso in cui vengano trattati dati sensibili, è necessaria l’autorizzazione del Garante.

Il Garante comunica la propria decisione in merito alla richiesta di autorizzazione al trattamento entro 45 giorni, decorsi i quali la domanda si considera rigettata.

Contestualmente alla concessione dell’autorizzazione il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.

L’autorizzazione da parte del Garante non è necessaria nei seguenti casi:

  • trattamento dati relativi agli aderenti alle confessioni religiose, effettuato dagli organi religiosi ovvero da enti civilmente riconosciuti; sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni;
  • trattamento dati riguardanti l’adesione di associazioni o organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.

Adeguamento del Codice della privacy alla normativa europea

A partire dal 25 maggio 2018 si applicherà il regolamento europeo sulla data protection. Nel momento in cui entrerà in vigore il suddetto regolamento europeo la direttiva 95/46 CE che disciplina il trattamento dei dati personali a livello comunitario sarà abrogata.

Il regolamento europeo a differenza della direttiva è direttamente applicabile questo vuol dire che nel momento in cui viene emanato deve essere applicato in tutti i suoi elementi nell’intera Unione europea.

Una volta chiarito questo aspetto la domanda che sorge spontanea è: cosa succederà al Codice della privacy quando il 25 maggio il regolamento europeo sulla data protection sarà applicato?

La risposta è semplice il Codice della privacy dovrà adeguarsi con quanto previsto dal regolamento europeo. Ciò non vuol dire che questo verrà abrogato ma solamente che le disposizioni della legge interna in contrasto con le nuove previsioni normative europee dovranno essere in ogni caso disapplicate, in favore della nuova disciplina.

Cosa cambia in materia di privacy con il GDPR?

Come abbiamo appena accennato a partire dal 25 maggio 2018 entrerà in vigore nel nostro ordinamento il nuovo regolamento europeo sulla privacy (GDPR) che andrà a sostituire il Codice attualmente in vigore.

Ma quali sono le principali novità che sono state introdotte dal regolamento europeo in materia di privacy? La prima novità riguarda i fondamenti di liceità del trattamento dei dati personali. In particolare l’art. 6 del GDPR stabilisce che per il trattamento dei dati sensibili il consenso deve essere esplicito. Non è necessario che questo sia redatto in forma scritta.

Per ciò che concerne i minori il nuovo regolamento della privacy stabilisce che il consenso degli stessi è valido a partire dai 16 anni, prima di tale età è necessario che il consenso venga dato dai genitori.

Un’altra novità introdotta dal GDPR riguarda l’informativa questa dovrà essere chiara e di semplice comprensione. Inoltre il nuovo regolamento stabilisce che nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati.

Infine l’informativa dovrà essere redatta in forma scritta e preferibilmente in formato elettronico.

Oltre alle suddette novità a partire dal 25 maggio 2018 sarà possibile per i consumatori chiedere il trasferimento dei propri dati personali da un titolare del trattamento ad un altro. Ad esempio si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati.

Non solo: per ciò che concerne il diritto all’oblio i consumatori potranno richiedere la cancellazione dei propri dati personali nei casi in cui i dati sono trattati solo sulla base del consenso, se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente oppure se l’interessato si oppone legittimamente al loro trattamento.

Un’altra novità prevista dal GDPR prevede che la conservazione dei dati dell’utente non potrà essere illimitata ma la durata del trattamento dovrà essere collegata alla finalità per la quale è stato richiesto il consenso. Quindi se un’azienda che ricerca personale e richiede il consenso al trattamento dei dati relativi ai curriculum trasmessi, potrà conservarli solo per un periodo proporzionato all’attività di ricerca del personale.

Infine il nuovo regolamento europeo stabilisce che nel caso si verifichi una violazione dei dati personali il data breach il titolare del trattamento dei dati è tenuto a darne comunicazione all’Autorità Garante. Se la violazione dei dati rappresenta una minaccia per i diritti e le libertà delle persone, il titolare dovrà informare in modo chiaro, semplice e immediato anche tutti gli interessati e offrire indicazioni su come intende limitare le possibili conseguenze negative.

Iscriviti alla newsletter "Lavoro" per ricevere le news su Privacy

Argomenti:

Legge Privacy

Condividi questo post:

Commenti:

Prova gratis le nostre demo forex

Trading online
in
Demo

Fai Trading Online senza rischi con un conto demo gratuito: puoi operare su Forex, Borsa, Indici, Materie prime e Criptovalute.

Potrebbero interessarti

Anna Maria D'Andrea

Anna Maria D’Andrea

1 settimana fa

GDPR, per le sanzioni periodo transitorio di otto mesi

GDPR, per le sanzioni periodo transitorio di otto mesi

Commenta

Condividi