La protezione dei dati personali in punto di legge*

Negli ultimi cinquant’anni la percezione su quali tipi di informazioni vogliamo restino private è notevolmente cambiata. Un tempo, sulla piazza del paese, si spettegolava delle informazioni carpite spiando i vicini dalla finestra. Oggigiorno, grazie ad internet, possiamo conoscere e divulgare vita, morte e miracoli di chiunque, compresi quelli di noi stessi, in pochi secondi.

Sebbene il numero di informazioni che consideriamo riservate è andato via via diminuendo, la necessità di proteggere i nostri dati contro utilizzi più o meno illeciti è aumentata.

Il diritto al rispetto della vita privata può essere definito come il diritto che ogni individuo ha di proteggere la propria sfera privata dalla curiosità e dal controllo altrui. Con il tempo, gli si è affiancato il diritto alla protezione dei dati personali, che riconosce al soggetto proprietario dei dati il potere di controllare come questi siano trattati da soggetti terzi.

Il diritto al rispetto della vita privata e alla protezione dei dati personali sono riconosciuti dalla nostra Carta Costituzionale solo in via interpretativa, mentre entrambi sono espressamente richiamati nella Carta dei Diritti Fondamentali dell’Unione Europea (articoli 7 e 8) e nel Trattato sul Funzionamento dell’Unione Europea (articolo 16).

Dal maggio 2018 è in vigore il Regolamento Generale Europeo per la protezione dei pati personali n. 2016/679 (“GDPR”) che ha introdotto una nuova disciplina per il trattamento dei dati personali raccolti a fini commerciali o professionali. Le nuove norme si applicano, quasi uniformemente, su tutto il territorio dell’Unione Europea; solo in limitate circostanze, vedi l’età per il consenso del minore, gli Stati Membri possono adottare delle regole differenti. Il GDPR disciplina quando il trattamento dei dati avviene in maniera lecita, elenca i diritti di cui gode il soggetto proprietario dei dati trattati, e prevede come debba essere assicurato il rispetto di tali diritti.

Il GDPR protegge i dati personali, intesi come quelle informazioni capaci di identificare il singolo individuo. Più precisamente, il Regolamento sancisce che è dato personale l’informazione che riguarda “una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (Articolo 4 GDRP). Il trattamento dei dati deve avvenire per finalità determinate, esplicite e legittime, e nel rispetto dei principi della liceità, correttezza e trasparenza. E’ permesso raccogliere solo i dati necessari al perseguimento della finalità dichiarata. Le informazioni possono essere conservate solo per un tempo adeguato al conseguimento della finalità per la quale sono state raccolte, secondo modalità che ne impediscano la distruzione, la perdita, l’uso non autorizzato o illecito (Articolo 5 GDPR).

Il trattamento dei dati personali è lecito solo nelle sei situazioni elencate all’articolo 6 del GDPR:

  1. Il soggetto interessato ha acconsentito liberamente al trattamento dei dati;
  2. Sussiste la necessità di eseguire un contratto in cui l’interessato è parte; o c’è la necessità di eseguire azioni preliminari alla conclusione di quel contratto, su richiesta dell’interessato;
  3. Il titolare del trattamento dei dati deve adempiere ad un obbligo legale;
  4. Vi è la necessità di proteggere un interesse vitale dell’interessato o di un’altra persona fisica;
  5. Esiste la necessità di eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri riconosciuti al titolare del trattamento;
  6. Si persegue il legittimo interesse del titolare del trattamento o di terzi, nel caso in cui non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato a che i suoi dati siano protetti, in particolare se si tratta di un minore (Articolo 6 GDPR).

Il consenso libero e informato del soggetto interessato

Per trattare i dati, il soggetto interessato deve aver espresso liberamente il consenso al trattamento per una o più specifiche finalità. La richiesta al consenso deve essere presentata in mondo “chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.” Per determinare se il consenso sia stato liberamente prestato si tiene in conto anche dell’ipotesi in cui l’esecuzione del contratto, compresa la prestazione del servizio, sia condizionata al consenso al trattamento di dati personali che non sono effettivamente necessari all’esecuzione del contratto. L’interessato ha il diritto di revocare il proprio consenso in ogni momento, secondo le medesime modalità con cui l’ha prestato (articolo 7 GDPR). La legislazione italiana ha stabilito che per quanto riguarda l’offerta diretta di servizi della società dell’informazione è possibile prestare il proprio consenso fin dal compimento del 14° anno di età. Nel caso di servizi offerti a minori di 14 anni, il trattamento è lecito solo se acconsente il titolare della potestà genitoriale (Articolo 8 GDPR e Articolo 2-Quinquies D. lgs. 196/2003 come modificato dal D. Lgs. 101/2018).

I diritti del soggetto interessato

L’interessato ha diritto:

  • ad accedere ai propri dati (articolo 15);
  • a chiederne la rettifica (articolo 16);
  • a chiederne la cancellazione (articolo 17);
  • di limitare il loro utilizzo (articolo 18);
  • a chiederne la portabilità (articolo 20);
  • di opporsi al trattamento dei dati per motivi connessi alla sua situazione specifica, o, anche senza alcun motivo quando i dati sono trattati per finalità di marketing diretto (articolo 21).

Questi diritti si esercitano facendo una richiesta al titolare del trattamento dei dati, che ha un mese di tempo per rispondere o comunicare le ragioni di eventuali ritardi. In caso di risposta insoddisfacente o non ricevuta entro i termini di legge è possibile presentare reclamo al Garante della privacy.

Conosci i principali diritti previsti dal Regolamento UE 2016 679
***
Continua a leggere:
*Questo post è stato preparato per una lezione incentrata sul diritto alla protezione dei dati personali e sull’uso dei dati generati durante la navigazione per studenti delle scuole superiori. Per avere maggiori informazioni sull’iniziativa potete scrivermi all’indirizzo email: avvocato (@) ottanelli.eu

 

4 comments

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s