Dati Sensibili

L’avvento del GDPR ha modificato in modo massivo il vecchio ‘Codice della Privacy’ – D. Lgs.196/2003 sopratutto sul tema dati sensibili.

GDPR - PrivacyIl provvedimento del Garante della Privacy riguardante le “Prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’articolo 21, comma 1 del decreto legislativo 10 agosto 2018, n. 101.”

L’art. 21 del D. Lgs. n. 101/2018 (intervenuto in modo consistente sul ‘Codice’ – D. Lgs.196/2003 – per il citato adeguamento) aveva demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX, del Regolamento (disposizioni riferite, rispettivamente, a trattamenti di dati necessari per l’adempimento di obblighi di legge cui è soggetto il Titolare, trattamenti necessari per l’esecuzione di un compito di interesse pubblico o per l’esercizio di un pubblico potere di cui è investito il Titolare, trattamenti di dati sensibili in materia di diritto del lavoro e della sicurezza e protezione sociale, disposizioni che attribuiscono agli Stati la facoltà di introdurre norme più stringenti in materia di trattamento di dati genetici, biometrici e relativi alla salute, nonché disposizioni relative a specifiche situazioni di trattamento) che risultavano compatibili con le nuove disposizioni comunitarie, provvedendo, se del caso, al loro aggiornamento.

Su tale atto, sempre in base al suddetto art. 21 (comma 1), veniva avviata una consultazione pubblica finalizzata alla acquisizione di osservazioni e proposte che si concludeva nei termini previsti (60 giorni dalla data di pubblicazione dell’avviso in G.U., avvenuta l’11 gennaio scorso) ed al cui esito ha fatto seguito l’adozione del presente Provvedimento, con il relativo Allegato 1 il cui contenuto comprende, per l’appunto, una serie di prescrizioni (misure di sicurezza, adempimenti e cautele) concernenti:


VISTO il Regolamento (Ue) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali, di seguito il “Codice”) come novellato dal d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679”;

VISTE le autorizzazioni generali adottate ai sensi degli artt. 26 e 40 del Codice;

CONSIDERATO che gli artt. 26 e 40 del Codice sono stati abrogati dall’art. 27, comma 1, lett. a), n. 2), del citato d.lgs. n. 101/2018;

CONSIDERATO che l’art. 21 del d.lgs. n. 101/2018, in attuazione delle disposizioni del Regolamento, ha demandato al Garante il compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX, del Regolamento, che risultano compatibili con le disposizioni comunitarie e il decreto medesimo che ha novellato il Codice, provvedendo, altresì, al loro aggiornamento ove occorrente;

RITENUTO di dare attuazione al citato art. 21 del d.lgs. n. 101/2018 a mezzo del presente provvedimento, che produce effetti fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies del Codice;

RILEVATO che l’autorizzazione generale al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici n. 7/2016, alla luce della disciplina applicabile ai medesimi dati contenuta nel Regolamento e nel Codice (art. 10 Regolamento; 2-octies del Codice e art. 21 del d.lgs. n. 101/2018), ha cessato di produrre effetti giuridici alla data del 19 settembre u.s., ai sensi del comma 3 della citata disposizione;

CONSIDERATO che a decorrere dal 25 maggio 2018 l’espressione “dati sensibili” si intende riferita alle categorie particolari di dati di cui al citato art. 9 del Regolamento (art. 22, comma 2, del d.lgs. n.101/2018);

VISTO l’art. 9 del Regolamento, che individua i presupposti per il trattamento dei dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dei dati genetici, dei dati biometrici intesi a identificare in modo univoco una persona fisica e dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (c.d. “categorie particolari di dati personali”, par. 1) e che consente agli Stati membri di introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, biometrici o relativi alla salute (par. 4);

RILEVATO che restano in ogni caso fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa eurounitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali;

VISTO l´art. 2-decies, del Codice, secondo cui i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati, salvo quanto previsto dall’art. 160-bis dello stesso Codice;

CONSIDERATO che, in base all’art. 21, comma 5, del d.lgs. n. 101/2018, la violazione delle prescrizioni contenute nel presente provvedimento generale sono soggette alla sanzione amministrativa di cui all’art. 83, par. 5, del Regolamento;

VISTO il provvedimento generale del 13 dicembre 2018, n. 497 con il quale il Garante ha individuato le prescrizioni contenute nelle Autorizzazioni generali nn. 1/2016, 3/2016, 6/2016, 8/2016 e 9/2016 che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice;

VISTO che con il medesimo provvedimento il Garante ha deliberato, come richiesto dall’art. 21, comma 1, d. lgs. 101/2018, di avviare unaconsultazione pubblica volta ad acquisire osservazioni e proposte riguardo alle predette prescrizioni che si è conclusa decorsi 60 giorni dalla data di pubblicazione del relativo avviso (G. U. n. 9 dell’11 gennaio 2019);

VISTE le osservazioni e le proposte pervenute al Garante inerenti ai risvolti applicativi del richiamato provvedimento prescrittivo da parte di soggetti interessati, associazioni di categoria e organizzazioni rappresentative dei settori di riferimento;

RITENUTO di apportare specifiche modifiche e integrazioni, alla luce dei contributi maggiormente significativi e pertinenti inviati dai partecipanti alla consultazione, anche al fine di rendere maggiormente chiare e precise le prescrizioni indicate nonché di armonizzarle nel contesto normativo vigente;

VISTO l’art. 170 del Codice come sostituito dall’art. 15, comma 1, lett. e), del d.lgs. n. 101/2018;

VISTI gli articoli 21, comma 5, del d.lgs. n. 101/2018 e 83, par. 5 del Regolamento;

VISTI gli atti d´ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la dott.ssa Augusta Iannini;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101, adotta il presente provvedimento recante le prescrizioni relative alle situazioni di trattamento di cui agli artt. 6, par. 1, lett. c) ed e), 9, par. 2, lett. b) e 4, nonché al Capo IX del Regolamento riportate nell’allegato 1 facente parte integrante del provvedimento medesimo, e ne dispone la pubblicazione nella Gazzetta Ufficiale della Repubblica italiana ai sensi dell’art. 21, comma 2, del d.lgs. n. 101/2018.

Roma, 5 giugno 2019


  • trattamenti di categorie particolari di dati nei rapporti di lavoro (Aut. gen. 1/2016)

  • trattamenti di categorie particolari di dati da parte degli organismi di tipo associativo, delle fondazioni, delle chiese e associazioni o comunità religiose (Aut. gen. 3/2016)

  • trattamenti di categorie particolari di dati da parte degli investigatori privati (Aut. gen. 6/2016)

  • trattamenti di dati genetici (Aut. gen. 8/2016)

  • trattamenti di dati personali effettuati per scopi di ricerca scientifica (Aut. gen. 9/2016)


 

 

Linee guida sulla notifica delle violazioni dei dati personali

Linee guida sulla notifica delle “violazioni dati personali” (data breach) ai sensi del regolamento (UE) 2016/679
adottate il 3 ottobre 2017
Versione emendata e adottata in data 6 febbraio 2018

Il regolamento generale sulla protezione dei dati introduce l’obbligo di notificare una violazione dei dati personali (in appresso: “violazione”) all’autorità di controllo nazionale competente (oppure, in caso di violazione transfrontaliera, all’autorità capofila) e, in alcuni casi, di comunicare la violazione alle singole persone fisiche i cui dati personali sono stati interessati dalla violazione.
Attualmente l’obbligo di notifica delle violazioni esiste già per determinate organizzazioni, quali i fornitori di servizi di comunicazione elettronica accessibili al pubblico (come specificato nella direttiva 2009/136/CE e nel regolamento (UE) n. 611/2013)2. Inoltre, alcuni Stati membri dell’UE prevedono già un obbligo nazionale di notifica delle violazioni, che può consistere nell’obbligo di notificare violazioni che coinvolgono categorie di titolari del trattamento diversi dai fornitori di servizi di comunicazione elettronica accessibili al pubblico (ad esempio Germania e Italia) oppure nell’obbligo di segnalare tutte le violazioni riguardanti dati personali (ad esempio Paesi Bassi). Altri Stati membri dispongono di codici di buona pratica (ad esempio Irlanda). Sebbene un certo numero di autorità di protezione dei dati dell’UE incoraggi già il titolare del trattamento a segnalare le violazioni, la direttiva 95/46/CE sulla protezione dei dati, che viene sostituita dal regolamento generale sulla protezione dei dati, non contiene uno obbligo specifico di notifica delle violazioni, pertanto tale obbligo sarà nuovo per numerose organizzazioni. Il regolamento generale sulla protezione dei dati rende ora la notifica obbligatoria per tutti i titolari del trattamento a meno che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. Anche i responsabili del trattamento hanno un ruolo importante da svolgere e devono notificare qualsiasi violazione al proprio titolare del trattamento.
Il Gruppo di lavoro articolo 29 (“Gruppo di lavoro”) ritiene che il nuovo obbligo di notifica presenti una serie di vantaggi. All’atto della notifica all’autorità di controllo, il titolare del trattamento può ottenere consulenza sull’eventuale necessità di informare le persone fisiche interessate. In effetti l’autorità di controllo può ordinare al titolare del trattamento di informare le persone fisiche interessate dalla violazione. La comunicazione della violazione alle persone fisiche interessate consente al titolare del trattamento di fornire loro informazioni sui rischi derivanti dalla violazione e sui provvedimenti che esse possono prendere per proteggersi dalle potenziali conseguenze della violazione. Qualsiasi piano di risposta alle violazioni dovrebbe mirare a proteggere le persone fisiche e i loro dati personali. Di conseguenza, la notifica della violazione dovrebbe essere vista come uno strumento per migliorare la conformità in materia di protezione dei dati personali. Allo stesso tempo, va osservato che la mancata segnalazione di una violazione a una persona fisica o all’autorità di controllo può comportare l’imposizione di una sanzione al titolare del trattamento ai sensi dell’articolo 83.
I titolari e i responsabili del trattamento sono pertanto incoraggiati a pianificare anticipatamente e a mettere in atto processi per essere in grado di rilevare e limitare tempestivamente gli effetti di una violazione, valutare il rischio per le persone fisiche e stabilire se sia necessario notificare la violazione all’autorità di controllo competente e comunicarla alle persone fisiche interessate, ove necessario. La notifica all’autorità di controllo dovrebbe costituire parte del piano di intervento in caso di incidente.
Il regolamento contiene disposizioni che specificano quando e a chi la violazione deve essere notificata e quali informazioni devono essere fornite nel contesto della notifica. Le informazioni richieste per la notifica possono essere fornite procedendo per fasi, tuttavia il titolare del trattamento deve agire sempre in maniera tempestiva in caso di violazione.
Nel parere 03/2014 sulla notifica delle violazioni dei dati personali, il Gruppo di lavoro ha fornito orientamenti ai titolari del trattamento per aiutarli a decidere se effettuare la notifica agli interessati in caso di violazione. Il parere ha preso in considerazione l’obbligo dei fornitori di comunicazioni elettroniche ai sensi della direttiva 2002/58/CE e ha fornito esempi afferenti a più settori, nel contesto dell’allora progetto di regolamento generale sulla protezione dei dati, e ha illustrato le buone prassi per tutti i titolari del trattamento.
Le presenti linee guida spiegano gli obblighi di notifica e di comunicazione delle violazioni sanciti dal regolamento, nonché alcune misure che i titolari e i responsabili del trattamento possono intraprendere per soddisfare questi nuovi obblighi. Forniscono inoltre esempi di vari tipi di violazioni e i soggetti ai quali esse devono essere notificate nei diversi scenari.


Schermo intero

Cosa è il diritto alla protezione dei dati personali?

Il diritto alla protezione dei dati personali è un diritto fondamentale dell’individuo ai sensi della Carta dei diritti fondamentali dell’Unione europea (art. 8). Oggi è tutelato, in particolare, dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), oltre che da vari altri atti normativi italiani e internazionali e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101.

 

In particolare, il Regolamento (UE) 2016/679 disciplina il trattamento dei dati personali indipendentemente dal fatto che questo sia effettuato o meno nell’Unione europea, sia quando svolto da titolari o responsabili stabiliti in Ue o in un luogo soggetto al diritto di uno Stato membro dell’Ue in virtù del diritto internazionale pubblico (per esempio l’ambasciata o la rappresentanza consolare di uno Stato membro), sia quando il titolare o il responsabile non è stabilito nell’Unione europea ma le attività di trattamento riguardano:

• l’offerta di beni o la prestazione di servizi ai suddetti interessati nell’Unione europea, indipendentemente dall’obbligatorietà di un pagamento dell’interessato;

• il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione europea.

 

Il Regolamento (UE) 2016/679 ha ampliato i diritti riconosciuti all’interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all’utilizzo della rete.


Schermo intero

 

Reset della password
Per favore inserisci la tua email. Riceverai una nuova password via email.

Pin It on Pinterest