Codice Privacy e GDPR (D.Lgs. 196/2003, UE 2016/679)

La tutela dei dati personali si è progressivamente affermata come diritto fondamentale nel corso del XX secolo, in parallelo all'evoluzione delle tecnologie informatiche. La prima legge italiana fu la L. 31 dicembre 1996 n. 675, attuativa della Direttiva 95/46/CE, che introdusse nell'ordinamento il concetto di "trattamento dei dati personali" e istituì il Garante per la protezione dei dati personali. Nel 2003 fu emanato il D.Lgs. 30 giugno 2003 n. 196 (Codice Privacy), che riordinò la materia. Il Regolamento (UE) 2016/679 (GDPR), di portata storica, ha unificato la disciplina a livello europeo, sostituendo la Direttiva 95/46/CE con un atto direttamente applicabile in tutti gli Stati membri. Caratteristica fondamentale del GDPR è il principio di accountability (responsabilizzazione): il titolare del trattamento non si limita a rispettare formalmente le norme, ma deve dimostrare proattivamente di averle rispettate, attraverso documentazione, procedure, valutazioni d'impatto. Il GDPR ha inoltre rafforzato i diritti dell'interessato, introdotto il diritto all'oblio digitale, la portabilità dei dati, la figura del Data Protection Officer (DPO), l'obbligo di notifica delle violazioni entro 72 ore e un severo apparato sanzionatorio (fino a 20 milioni di euro o 4% del fatturato globale annuo).

Il quadro normativo di riferimento

Carta dei diritti fondamentali dell'UE, art. 8 (Protezione dei dati di carattere personale);
Trattato sul funzionamento dell'UE (TFUE), art. 16 (Protezione dei dati di carattere personale);
Convenzione del Consiglio d'Europa n. 108 del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati personali (rat. L. 98/1989) e Convenzione 108+ (2018);
Regolamento (UE) 2016/679 (GDPR) — Regolamento generale sulla protezione dei dati;
Direttiva (UE) 2016/680 sul trattamento dei dati da parte delle autorità di polizia e giudiziarie (recepita in Italia con D.Lgs. 18 maggio 2018 n. 51);
D.Lgs. 30 giugno 2003 n. 196 — Codice Privacy (oggetto della guida);
D.Lgs. 10 agosto 2018 n. 101 — Decreto di adeguamento al GDPR;
Costituzione, artt. 2 (diritti inviolabili), 13 (libertà personale), 15 (libertà e segretezza della corrispondenza), 21 (libertà di manifestazione del pensiero);
Provvedimenti del Garante Privacy;
Linee guida EDPB (European Data Protection Board, ex Working Party 29).

I concetti fondamentali

Il GDPR (art. 4) definisce numerosi concetti chiave per la protezione dei dati:

Concetto	Definizione
Dato personale	Qualsiasi informazione riguardante una persona fisica identificata o identificabile
Trattamento	Qualsiasi operazione sui dati: raccolta, registrazione, organizzazione, conservazione, modifica, estrazione, consultazione, uso, comunicazione, cancellazione, ecc.
Titolare del trattamento	Persona fisica/giuridica/PA che, singolarmente o insieme ad altri, determina finalità e mezzi del trattamento
Responsabile del trattamento	Soggetto che tratta i dati per conto del titolare (es. outsourcing)
Interessato	La persona fisica cui si riferiscono i dati
Consenso	Manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato
Violazione dei dati (data breach)	Violazione di sicurezza che comporta distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati
Profilazione	Trattamento automatizzato per valutare aspetti personali (rendimento, situazione economica, salute, ecc.)
Pseudonimizzazione	Trattamento che impedisce di attribuire i dati a un interessato specifico senza informazioni aggiuntive

I principi del trattamento (art. 5 GDPR)

L'art. 5 del GDPR enuncia i sette principi fondamentali del trattamento dei dati personali:

Liceità, correttezza e trasparenza: il trattamento deve essere effettuato in modo lecito, leale e trasparente nei confronti dell'interessato;
Limitazione della finalità: i dati sono raccolti per finalità determinate, esplicite e legittime; non possono essere trattati per finalità incompatibili con quelle originarie;
Minimizzazione: i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità;
Esattezza: i dati devono essere esatti e, se necessario, aggiornati; quelli inesatti vanno cancellati o rettificati;
Limitazione della conservazione: i dati sono conservati in forma che consenta l'identificazione per il tempo strettamente necessario alle finalità;
Integrità e riservatezza: i dati devono essere trattati con adeguate misure di sicurezza che li tutelino da trattamenti non autorizzati, perdita, distruzione, danno accidentale;
Responsabilizzazione (accountability): il titolare è competente per il rispetto dei principi e deve essere in grado di comprovarlo.

Le basi giuridiche del trattamento (art. 6 GDPR)

Il trattamento di dati personali è lecito solo se sussiste almeno una delle sei basi giuridiche previste dall'art. 6:

Consenso dell'interessato per una o più specifiche finalità;
Necessità contrattuale: per l'esecuzione di un contratto di cui l'interessato è parte o di misure precontrattuali;
Obbligo legale: per adempiere a un obbligo legale al quale è soggetto il titolare;
Salvaguardia di interessi vitali dell'interessato o di altra persona fisica;
Interesse pubblico o esercizio di pubblici poteri di cui è investito il titolare;
Legittimo interesse del titolare o di terzi, salvo prevalenza degli interessi/diritti/libertà dell'interessato (in particolare se è un minore).

Importante: la base del legittimo interesse non si applica al trattamento da parte delle pubbliche amministrazioni nell'esercizio dei loro compiti istituzionali.

Le categorie particolari di dati (art. 9 GDPR)

L'art. 9 GDPR identifica le "categorie particolari di dati personali" (i tradizionali "dati sensibili"), il cui trattamento è di regola vietato:

Origine razziale o etnica;
Opinioni politiche;
Convinzioni religiose o filosofiche;
Appartenenza sindacale;
Dati genetici;
Dati biometrici intesi a identificare in modo univoco una persona fisica;
Dati relativi alla salute;
Dati relativi alla vita sessuale o all'orientamento sessuale.

Il divieto è derogato in specifici casi (art. 9 c. 2): consenso esplicito; necessità per obblighi di diritto del lavoro; tutela interessi vitali; trattamento da parte di organizzazioni senza scopo di lucro; dati già resi pubblici dall'interessato; necessità per giudizio; interesse pubblico rilevante; finalità mediche/sanitarie; sanità pubblica; archiviazione, ricerca scientifica o storica.

I dati relativi a condanne penali e reati (art. 10 GDPR) sono soggetti a disciplina ancora più rigorosa: il loro trattamento è ammesso solo sotto il controllo dell'autorità pubblica o se autorizzato dalla legge.

I diritti dell'interessato (artt. 15-22 GDPR)

Il GDPR riconosce all'interessato un articolato sistema di diritti, da esercitarsi nei confronti del titolare del trattamento:

Articolo	Diritto	Contenuto sintetico
Art. 13-14	Informazione	Ricevere informazioni chiare e complete sul trattamento
Art. 15	Accesso	Ottenere conferma del trattamento, copia dei dati e informazioni
Art. 16	Rettifica	Far correggere dati inesatti o incompleti
Art. 17	Cancellazione ("diritto all'oblio")	Ottenere la cancellazione dei dati in specifiche ipotesi
Art. 18	Limitazione del trattamento	Limitare temporaneamente il trattamento
Art. 19	Comunicazione rettifica/cancellazione	Notifica a terzi destinatari delle modifiche
Art. 20	Portabilità dei dati	Ricevere i dati in formato strutturato per trasferirli ad altro titolare
Art. 21	Opposizione	Opporsi al trattamento (es. marketing diretto)
Art. 22	No a decisioni automatizzate	Non essere sottoposto a decisioni basate unicamente su trattamento automatizzato (inclusa la profilazione)

Il titolare deve rispondere all'esercizio dei diritti dell'interessato entro un mese dalla richiesta (prorogabile di altri due mesi in casi complessi). Il riscontro è di regola gratuito.

Il diritto all'oblio digitale (art. 17 GDPR)

Il diritto alla cancellazione, noto come "diritto all'oblio", consente all'interessato di ottenere la cancellazione dei propri dati quando:

I dati non sono più necessari per le finalità per cui sono stati raccolti;
L'interessato revoca il consenso e non sussiste altra base giuridica;
L'interessato si oppone al trattamento e non prevalgono motivi legittimi del titolare;
I dati sono stati trattati illecitamente;
I dati devono essere cancellati per adempiere a un obbligo legale;
I dati sono stati raccolti relativamente all'offerta di servizi della società dell'informazione a un minore.

Il diritto all'oblio è limitato da specifiche eccezioni (libertà di espressione, obbligo legale, interesse pubblico, ricerca storica/scientifica/statistica, esercizio o difesa di un diritto). La sentenza Google Spain (CGUE 13 maggio 2014, C-131/12, "Costeja") aveva anticipato questo principio per i motori di ricerca.

Il titolare e il responsabile del trattamento

Il GDPR distingue ruoli e responsabilità:

Titolare del trattamento (art. 4 n. 7): determina finalità e mezzi del trattamento; è il principale responsabile della conformità; deve dimostrare il rispetto del GDPR (accountability);
Responsabile del trattamento (art. 4 n. 8): tratta i dati per conto del titolare (es. fornitore di servizi cloud, agenzia di marketing); deve essere designato con contratto scritto o atto giuridico (art. 28);
Co-titolari (art. 26): determinano congiuntamente finalità e mezzi; concludono accordo che disciplini i rispettivi ruoli;
Sub-responsabili: il responsabile può subappaltare solo con autorizzazione scritta del titolare.

Il Data Protection Officer (DPO) (artt. 37-39 GDPR)

Il Data Protection Officer (DPO) — in italiano "Responsabile della Protezione dei Dati (RPD)" — è una figura chiave introdotta dal GDPR. La nomina è obbligatoria per:

Autorità pubbliche e organismi pubblici (incluso Comuni, ASL, scuole, ecc.);
Soggetti privati le cui attività principali consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
Soggetti privati le cui attività principali consistono nel trattamento di categorie particolari di dati (art. 9) o dati relativi a condanne penali su larga scala.

Le funzioni del DPO:

Informare e consigliare il titolare e il responsabile in merito agli obblighi GDPR;
Vigilare sull'osservanza del GDPR e delle politiche aziendali;
Fornire pareri in merito alle valutazioni d'impatto (DPIA);
Cooperare con il Garante Privacy ed essere punto di contatto per gli interessati;
Indipendenza nell'esercizio delle funzioni; non riceve istruzioni sull'esecuzione dei suoi compiti.

Il registro dei trattamenti (art. 30 GDPR)

I titolari e i responsabili devono tenere un registro delle attività di trattamento, contenente:

Dati identificativi del titolare e del DPO;
Finalità del trattamento;
Descrizione delle categorie di interessati e di dati;
Categorie di destinatari;
Trasferimenti verso paesi terzi;
Tempi di conservazione;
Descrizione generale delle misure di sicurezza tecniche e organizzative.

L'obbligo non si applica alle imprese o organizzazioni con meno di 250 dipendenti, salvo che il trattamento presenti rischi per i diritti degli interessati, sia non occasionale o riguardi categorie particolari (in tali casi resta dovuto).

Il data breach (artt. 33-34 GDPR): notifica entro 72 ore

In caso di "violazione dei dati personali" (data breach), il GDPR impone:

Art. 33: notifica al Garante Privacy entro 72 ore dal momento in cui il titolare ne è venuto a conoscenza, salvo che non sia improbabile che la violazione presenti un rischio per i diritti delle persone fisiche;
Art. 34: comunicazione all'interessato "senza ingiustificato ritardo" quando la violazione presenta un rischio elevato per i diritti e le libertà;
La comunicazione all'interessato non è necessaria se il titolare ha adottato misure di sicurezza adeguate (es. cifratura) che rendono i dati incomprensibili a terzi;
Tutte le violazioni vanno documentate internamente dal titolare (anche quelle non notificate).

La valutazione d'impatto (DPIA) (art. 35 GDPR)

Quando un trattamento può presentare un rischio elevato per i diritti delle persone, il titolare deve effettuare una valutazione d'impatto sulla protezione dei dati (DPIA — Data Protection Impact Assessment), in particolare nei seguenti casi:

Valutazione sistematica e globale di aspetti personali mediante profilazione;
Trattamento su larga scala di categorie particolari di dati;
Sorveglianza sistematica su larga scala di una zona accessibile al pubblico (es. videosorveglianza);
Lista dei trattamenti soggetti a DPIA pubblicata dal Garante Privacy.

I trasferimenti verso paesi terzi (artt. 44-50 GDPR)

Il trasferimento di dati personali verso paesi al di fuori dell'UE è ammesso in presenza di:

Decisione di adeguatezza della Commissione UE (art. 45): es. Giappone, Regno Unito, Svizzera, Stati Uniti (con riserve, dopo la sentenza Schrems II del 16/7/2020 e l'attuale "Data Privacy Framework");
Garanzie adeguate (art. 46): clausole contrattuali standard, regole vincolanti d'impresa (BCR);
Deroghe specifiche (art. 49): consenso esplicito, esecuzione contratto, motivi di interesse pubblico, ecc.

Le sanzioni amministrative (art. 83 GDPR)

Il GDPR prevede uno dei più severi apparati sanzionatori del diritto UE:

Soglia	Importo massimo	Esempi violazioni
Soglia base	Fino a € 10 milioni o, per imprese, fino al 2% del fatturato globale annuo dell'esercizio precedente, se superiore	Violazione obblighi di registro, sicurezza, designazione DPO, valutazione impatto, notifica data breach
Soglia maggiorata	Fino a € 20 milioni o, per imprese, fino al 4% del fatturato globale annuo, se superiore	Violazione principi base, basi giuridiche, diritti interessati, trasferimenti extra-UE

Le fattispecie penali nel Codice Privacy

Il Codice Privacy italiano (D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) prevede specifiche fattispecie penali a tutela dei dati:

Art. 167: Trattamento illecito di dati (reclusione 6 mesi - 1 anno e 6 mesi; oppure 1-3 anni se da pubblico ufficiale, o per fine di profitto/danno);
Art. 167-bis (introdotto dal D.Lgs. 101/2018): Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (reclusione 1-6 anni);
Art. 167-ter: Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (reclusione 1-4 anni);
Art. 168: Falsità nelle dichiarazioni al Garante (reclusione 6 mesi - 3 anni);
Art. 170: Inosservanza di provvedimenti del Garante (reclusione 3 mesi - 2 anni);
Art. 171: Violazione delle disposizioni relative alle attività di controllo dei lavoratori (art. 4 e 8 St. Lavoratori).

Il Garante per la protezione dei dati personali

Il Garante è l'autorità di controllo italiana, istituita dalla L. 675/1996 e disciplinata dagli artt. 153 ss. del Codice Privacy. Caratteristiche:

Composizione: 4 componenti eletti dal Parlamento (2 Camera, 2 Senato);
Durata mandato: 7 anni non rinnovabile;
Indipendenza: opera in piena autonomia rispetto al Governo;
Funzioni:
1. Vigilanza sull'applicazione del GDPR e del Codice;
2. Trattazione di reclami degli interessati;
3. Emanazione di provvedimenti e linee guida;
4. Adozione di codici di condotta;
5. Irrogazione di sanzioni amministrative;
6. Cooperazione con altre autorità UE nel meccanismo "one-stop-shop" (EDPB);
7. Partecipazione al Comitato europeo per la protezione dei dati (EDPB);
Tutela giurisdizionale: l'interessato può proporre reclamo al Garante (art. 77 GDPR) o ricorso giurisdizionale al giudice ordinario o all'AGO (art. 79 GDPR).

La privacy nei contesti specifici

Il Codice Privacy disciplina aspetti particolari del trattamento in vari ambiti:

Sanità (artt. 75-92): trattamento dei dati sanitari; "dossier sanitario" e "fascicolo sanitario elettronico" (D.Lgs. 101/2018 ha eliminato in molti casi l'obbligo di consenso per finalità di diagnosi e cura, valorizzando le basi giuridiche dell'art. 9 GDPR);
Lavoro (artt. 111-114): trattamento dei dati dei lavoratori; coordinamento con art. 4 St. Lavoratori (controlli a distanza); video-sorveglianza nei luoghi di lavoro;
Ricerca scientifica e statistica (artt. 97-110);
Giornalismo (artt. 136-139): regole deontologiche speciali;
Forze di polizia: D.Lgs. 51/2018 (recepimento Direttiva 2016/680);
Marketing diretto e profilazione: regole su consenso e diritto di opposizione;
Videosorveglianza: provvedimenti del Garante 8 aprile 2010 e successivi.

Il consenso e l'informativa

Il consenso (art. 7 GDPR) deve essere:

Libero: non condizionato da pregiudizi in caso di rifiuto;
Specifico: per ogni finalità di trattamento;
Informato: preceduto da informativa chiara e comprensibile;
Inequivocabile: dichiarazione o azione positiva (NO "consenso pre-cliccato" o "silenzio assenso");
Revocabile in qualsiasi momento, con stessa semplicità con cui è stato dato;
Per i minori, è richiesta l'età di 14 anni in Italia (D.Lgs. 101/2018 art. 2-quinquies); per i minori di 14 anni, deve essere prestato dai titolari della responsabilità genitoriale.

L'informativa (artt. 13-14 GDPR) deve contenere:

Identità e contatti del titolare e del DPO;
Finalità del trattamento e basi giuridiche;
Eventuali destinatari;
Trasferimenti extra-UE;
Periodo di conservazione;
Diritti dell'interessato;
Diritto di reclamo al Garante;
Conseguenze di un eventuale rifiuto.

I profili applicativi per la Polizia Municipale

La normativa privacy ha rilevanti implicazioni per l'attività della Polizia Municipale:

Trattamento da PA: il Comune è titolare; il Comandante e i dirigenti possono essere designati responsabili interni;
Videosorveglianza urbana: rispetto delle Linee guida del Garante; ordinanze sindacali; informativa visibile in loco; conservazione limitata (di regola 24-72 ore, in alcuni casi 7 giorni o oltre per fini sicurezza pubblica);
Body camera: nuova frontiera, con specifici Provvedimenti del Garante;
Dati delle violazioni stradali: trattamento per obbligo legale; conservazione secondo le previsioni del CdS;
Indagini di polizia giudiziaria: applicazione del D.Lgs. 51/2018 (recepimento Direttiva 2016/680);
Coordinamento con il DPO comunale;
Accesso ai dati nei sistemi (SDI, MCTC, ANPR): rispetto del principio di minimizzazione, solo nei casi previsti dalla legge;
Profilazione algoritmica: divieto di decisioni automatizzate senza intervento umano significativo (art. 22 GDPR);
Data breach: protocollo interno per la notifica entro 72 ore;
Coordinamento con la disciplina della trasparenza (D.Lgs. 33/2013): bilanciamento tra pubblicità degli atti e tutela dei dati personali.

Per gli aspiranti operatori della PA e delle forze di polizia — La normativa Privacy/GDPR è materia ricorrente nei concorsi pubblici. Vanno padroneggiati: (i) fonti: Reg. UE 2016/679 (GDPR) del 27/4/2016, applicabile dal 25/5/2018; D.Lgs. 30/6/2003 n. 196 (Codice Privacy) come modificato dal D.Lgs. 10/8/2018 n. 101 (vigore 19/9/2018); (ii) fondamento: art. 8 Carta UE, art. 16 TFUE; (iii) concetti: dato personale, trattamento, titolare, responsabile, DPO, interessato; (iv) art. 5 GDPR — 7 principi: liceità/correttezza/trasparenza, limitazione finalità, minimizzazione, esattezza, limitazione conservazione, integrità/riservatezza, accountability; (v) art. 6 — 6 basi giuridiche: consenso, contratto, obbligo legale, interessi vitali, interesse pubblico, legittimo interesse; (vi) art. 9 — categorie particolari (dati sensibili): razza, opinioni politiche, religione, sindacati, genetici, biometrici, salute, vita sessuale; (vii) diritti artt. 15-22: accesso, rettifica, oblio (art. 17), limitazione, portabilità (art. 20), opposizione (art. 21), no decisioni automatizzate (art. 22); (viii) DPO artt. 37-39 (RPD), obbligo PA; (ix) registro trattamenti art. 30 (esonero <250 dip. ma con limiti); (x) data breach art. 33 — notifica Garante 72 ore, art. 34 — interessato se rischio elevato; (xi) DPIA art. 35; (xii) trasferimenti extra-UE artt. 44-50; (xiii) sanzioni art. 83: 2% / 4% fatturato globale, € 10 mln / 20 mln; (xiv) reati Codice: artt. 167, 167-bis (introdotto D.Lgs. 101/2018), 167-ter, 168, 170; (xv) Garante: 4 componenti, 7 anni; reclamo art. 77; (xvi) consenso minori: 14 anni Italia (art. 2-quinquies); (xvii) sentenze: Google Spain CGUE C-131/12 (2014), Schrems II CGUE C-311/18 (2020).

Sintesi per concorsi pubblici

Domanda tipo: "Il candidato illustri il quadro normativo italiano di protezione dei dati personali, con particolare riferimento al GDPR, ai principi del trattamento, ai diritti dell'interessato e al ruolo del DPO".

Risposta strutturata: (i) quadro normativo: Reg. UE 2016/679 (GDPR) del 27/4/2016, applicabile dal 25/5/2018, 99 articoli e 173 considerando in 11 Capi; D.Lgs. 30/6/2003 n. 196 (Codice Privacy) novellato dal D.Lgs. 10/8/2018 n. 101 (vigore 19/9/2018); fondamento art. 8 Carta UE, art. 16 TFUE, Convenzione 108 del 1981; (ii) concetti base art. 4: dato personale, trattamento, titolare, responsabile, interessato, consenso, data breach, profilazione, pseudonimizzazione; (iii) art. 5 — 7 principi: liceità/correttezza/trasparenza, limitazione finalità, minimizzazione, esattezza, limitazione conservazione, integrità/riservatezza, accountability (responsabilizzazione); (iv) art. 6 — 6 basi giuridiche: consenso, contratto, obbligo legale, interessi vitali, interesse pubblico/pubblici poteri, legittimo interesse (non per PA); (v) art. 9 — categorie particolari: razza/etnia, opinioni politiche, religione, sindacato, dati genetici, biometrici, salute, vita sessuale (vietato salvo deroghe); art. 10 dati condanne penali; (vi) diritti interessato artt. 13-22: informazione, accesso (art. 15), rettifica (art. 16), cancellazione/oblio (art. 17), limitazione (art. 18), portabilità (art. 20), opposizione (art. 21), no decisioni automatizzate (art. 22); termine risposta 1 mese; (vii) titolare/responsabile/co-titolari artt. 24-28; (viii) DPO artt. 37-39: obbligatorio per PA; informa, vigila, coopera con Garante; indipendenza; (ix) registro trattamenti art. 30; (x) data breach: notifica Garante entro 72 ore (art. 33), interessato se rischio elevato (art. 34); (xi) DPIA art. 35; (xii) trasferimenti extra-UE artt. 44-50 (decisione adeguatezza, garanzie adeguate, BCR, deroghe); (xiii) sanzioni amministrative art. 83: € 10 mln / 2% fatturato (soglia base) o € 20 mln / 4% fatturato (soglia maggiorata); (xiv) reati: artt. 167 (trattamento illecito), 167-bis (comunicazione/diffusione illecita su larga scala, introdotto D.Lgs. 101/2018), 167-ter, 168, 170; (xv) Garante Privacy: 4 componenti, mandato 7 anni; reclamo art. 77, ricorso giurisdizionale art. 79; (xvi) consenso minori: 14 anni in Italia (D.Lgs. 101/2018); (xvii) Direttiva 2016/680 per forze di polizia (D.Lgs. 51/2018).

Il Codice Privacy (D.Lgs. 196/2003) e il GDPR (Reg. UE 2016/679)