Aggiornamenti in pillole

La Storia Infinita della protezione dei dati personali

Il presente articolo è l’ideale prosecuzione e integrazione del precedente Professione avvocato: questione di… privacy.

La redazione

Il roboante e ridondante monito che da ogni parte, Garante in primis, ci aveva coinvolto prima del 25 maggio 2018, non ha cessato di ricordarci di ottemperare gli obblighi della nuova normativa un materia di privacy che, come si era detto, attendeva di trovare una propria definizione nell’ambito nazionale.

In particolare si trattava di creare un raccordo fra il precedente Codice della Privacy, che sembrava dover cadere nel dimenticatoio, ed essere soppiantato del tutto dal nuovo Regolamento UE n. 2016/679, altrimenti noto con l’acronimo di G.D.P.R. Con una operazione normativa chirurgica, invece non solo è “sopravvissuta” una parte del Codice della Privacy, ma sono state introdotte norme del tutto nuove, che hanno costretto tutti a “rivedere” i propri adeguamenti alla recente normativa, con il consueto tempismo italico.

Il D.Lgs. 101/18, secondo cui sono state introdotte modifiche che definiscono la Italian privacy Law,

  • definisce in modo chiaro cosa si intenda per comunicazione e diffusione dei dati personali dei dati personali;
  • individua nel Garante della privacy l’autorità incaricata del controllo e della promozione delle regole deontologiche in materia;
  • stabilisce che il consenso al trattamento dei dati personali potrà essere espresso solo al compimento dei 14 anni di età per la fruizione dei servizi della Società dell’Informazione. Chi ha un’età inferiore necessita del consenso di chi esercita la sua responsabilità genitoriale. Il consenso poi deve essere richiesto dal titolare del trattamento in modo chiaro e semplice, facilmente comprensibile dal minore (Capo II art. 2 del Decreto);
  • tutti gli organi giudiziari avranno l’obbligo di nominare il DPO e si precisano le limitazioni ai diritti degli interessati in relazione a ragioni di giustizia. Si rafforza il divieto di pubblicazione dei dati dei minori, e si prevede una relativa sanzione penale a riguardo;
  • considera ovviamente rilevante l’interesse pubblico, che può portare ad utilizzare i dati personali di determinati soggetti;
  • dovranno essere adottate misure adeguate di sicurezza, come tecniche di cifratura e di pseudonomizzazione a tutela del dato personale, misure di minimizzazione e le specifiche modalità per l’accesso selettivo ai dati;
  • le misure di garanzia che riguardano i dati genetici e il trattamento dei dati relativi alla salute per finalità di prevenzione, diagnosi e cura sono adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità;
  • è ammesso l’utilizzo dei dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia e protezione;
  • al Garante viene assegnato il compito di scrivere le misure di garanzia per il trattamento di dati genetici, biometrici, sanitari;
  • viene introdotto il concetto di diritto all’eredità del dato in caso di decesso, con l’introduzione di una norma che consente di disporre post mortem dei propri dati caricati nei servizi informativi delle società;
  • viene data la possibilità (su autorizzazione dell’interessato) di comunicare i dati personali degli studenti universitari, per favorirne l’inserimento nel mondo del lavoro, la formazione e l’orientamento professionale;
  • come forma di tutela, viene introdotto il reclamo, alternativo al ricorso in tribunale.

A questo punto quest’ultimo intervento normativo del nostro Legislatore pareva, anche agli addetti ai lavori, avere chiarito ogni aspetto inerente alla protezione dei dati personali… tuttavia, proprio di qualche giorno or sono, il Garante italiano ha avvertito l’Agenzia delle Entrate che il nuovo obbligo della fatturazione elettronica, così come è stato regolato da quest’ultima, “presenta rilevanti criticità in ordine alla compatibilità con la normativa in materia di protezione dei dati personali”. In particolare il nuovo obbligo di fatturazione elettronica – esteso a partire dal 1 gennaio 2019 anche ai rapporti tra fornitori e tra fornitori e consumatori – presenterebbe, secondo il Garante, un rischio elevato per i diritti e le libertà degli interessati, comportando un trattamento sistematico, generalizzato e di dettaglio di dati personali su larga scala, potenzialmente relativo ad ogni aspetto della vita quotidiana dell’intera popolazione, sproporzionato rispetto all’obiettivo di interesse pubblico, pur legittimo, perseguito.

Tale preoccupazione pare assolutamente fondata, laddove peraltro, non solo ciò sia in contrasto con il principio di minimizzazione tanto invocato dal Regolamento Europeo, ma per questa ragione esponga nella sostanza tutti i soggetti tenuti alla fatturazione elettronica ad assolvere adempimenti prescritti dal garante non irrilevanti, come la nomina di un D.P.O.

La Storia continua, non resta che aspettare di capire, cosa succederà in seguito.

Avv. Laura Lecchi
Foro di Bologna
Membro della Commissione Privacy dell’ODCEC di Bologna
Cultore della Materia della Cattedra di Diritto dell’Informatica presso la Scuola di Ingegneria dell’Università di Bologna

Informazioni sull'autore

Laura Lecchi