Trattamento dei dati personali
L'articolo 4 del nuovo Regolamento generale definisce il trattamento dei dati personali come qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
Tipi di trattamento
La raccolta dei dati è la prima operazione e generalmente rappresenta l'inzio del trattamento.
Consiste nell'attività di acquisizione del dato.
La registrazione consiste nella memorizzazione dei dati su un qualsiasi supporto.
L'organizzazione consiste nella classificazione dei dati secondo un metodo prescelto.
La strutturazione consiste nell'attività di distribuzione dei dati secondi schemi precisi.
La conservazione consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto.
La consultazione è la mera lettura dei dati personali.
Anche la mera visualizzazione dei dati è un trattamento che può rientrare nell'operazione di consultazione.
L'elaborazione consiste nel'attività con la quale il dato personale subisce una modifica sostanziale.
La modificazione differisce dall'elaborazione in quanto può riguardare anche solo parte minima del dato personale.
La selezione consiste nell'individuazione di dati personali nell'ambito di gruppi di dati già memorizzati.
L'estrazione consiste nell'attività di estrapolazione di dati da gruppi già memorizzati.
Il raffronto è un'operazione di confronto tra dati, sia un conseguenza di elaborazione che di selezione o consultazione.
L'utilizzo è un'attività generica che ricopre qualsiasi tipo di impiego dei dati.
L'interconnessione consiste nell'utilizzo di più banche dati, e si riferisce all'impiego di strumenti elettronici.
Il blocco consiste nella conservazione con sospensione temporanea di ogni altra operazione di trattamento.
La comunicazione (o cessione) consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati.
In caso di comunicazione il dato viene trasferito a terzi, ed è quindi attività particolarmente delicata.
Per diffusione, invece, si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione.
Si ha, quindi, diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita.
La cancellazione consiste nell'eliminazione di dati tramite utilizzo di strumenti elettronici.
La distruzione è l'attività di eliminazione definitiva dei dati.
Consiste nell'attività di acquisizione del dato.
La registrazione consiste nella memorizzazione dei dati su un qualsiasi supporto.
L'organizzazione consiste nella classificazione dei dati secondo un metodo prescelto.
La strutturazione consiste nell'attività di distribuzione dei dati secondi schemi precisi.
La conservazione consiste nel mantenere memorizzate le informazioni su un qualsiasi supporto.
La consultazione è la mera lettura dei dati personali.
Anche la mera visualizzazione dei dati è un trattamento che può rientrare nell'operazione di consultazione.
L'elaborazione consiste nel'attività con la quale il dato personale subisce una modifica sostanziale.
La modificazione differisce dall'elaborazione in quanto può riguardare anche solo parte minima del dato personale.
La selezione consiste nell'individuazione di dati personali nell'ambito di gruppi di dati già memorizzati.
L'estrazione consiste nell'attività di estrapolazione di dati da gruppi già memorizzati.
Il raffronto è un'operazione di confronto tra dati, sia un conseguenza di elaborazione che di selezione o consultazione.
L'utilizzo è un'attività generica che ricopre qualsiasi tipo di impiego dei dati.
L'interconnessione consiste nell'utilizzo di più banche dati, e si riferisce all'impiego di strumenti elettronici.
Il blocco consiste nella conservazione con sospensione temporanea di ogni altra operazione di trattamento.
La comunicazione (o cessione) consiste nel dare conoscenza di dati personali ad uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati.
In caso di comunicazione il dato viene trasferito a terzi, ed è quindi attività particolarmente delicata.
Per diffusione, invece, si intende il dare conoscenza dei dati a soggetti indeterminati, in qualunque forma anche mediante la loro messa a disposizione o consultazione.
Si ha, quindi, diffusione anche quando si pubblica online, ad esempio una fotografia su un social network. In assenza di consenso tale attività deve ritenersi illecita.
La cancellazione consiste nell'eliminazione di dati tramite utilizzo di strumenti elettronici.
La distruzione è l'attività di eliminazione definitiva dei dati.
Il trattamento di dati personali può costituire un'ingerenza con il diritto al rispetto della vita privata, laddove però quest'ultimo diritto non è un diritto assoluto, ma relativo, cioè va contemperato opportunamente con gli altri diritti in gioco, sia privati sia pubblici. Qualsiasi trattamento deve, quindi, essere svolto in maniera lecità e secondo correttezza, i dati devono essere raccolti e trattati per scopi determinati, espliciti e legittimi, e utilizzati in termini compatibili con tali scopi. Inoltre, i dati devono essere esatti e aggiornati, pertinenti, completi e non eccedenti rispetto agli scopi del trattamento. Infine, devono essere conservati per un periodo non superiore al tempo necessario per raggiungere gli scopi del trattamento, trascorso il quale i dati vanno cancellati oppure anonimizzati.
Ovviamente i dati raccolti o trattati in modo illecito non possono essere in alcun modo utilizzati. In caso contrario l'utilizzatore può essere soggetto a sanzioni e condannato al risarcimento dei danni causati (art. 2050 cod. civ. e art. 13 Cod. Privacy).
Base giuridica del trattamento
Un trattamento per essere lecito deve trovare fondamento in una idonea base giuridica (consenso,legittimi interessi, ecc...). La normativa prevede, inoltre, che debba essere tenuto un registro dei trattamenti svolti dal titolare, da fornire alle autorità in caso di controllo.
Trattamenti non automatizzati
La regolamentazione della Convenzione 108 e della normativa europea, anche se si concentra principalmente sui trattamenti automatizzati (anche se solo parzialmente), considera anche i trattamenti manuali come oggetto di tutela. In particolare la Convenzione 108 prevede la possibilità che i singoli Stati estendano la definizione di trattamento anche ai trattamenti manuali. I trattamenti non automatizzati sono soggetti alle norme europee se contenuti o destinati a figurare in archivi.
Valutazione di impatto
Una novità prevista dal nuovo regolamento geenerale è data dalla DPIA, la valutazione di impatto del trattamento sui diritti degli interessati, che è diventato un elemento essenziale. Il titolare dovrà valutare il rischio per ogni trattamento, individuando, nei casi di rischio elevato, misure specifiche per l'eliminazione o attenuazione del rischio.
Esenzione per uso personale
Il Codice per la privacy (art. 5) permette, senza necessità di consenso, la raccolta di dati personali per uso strettamente personale purché non destinati alla comunicazione o alla diffusione sistematica a terzi (es. pubblicazione sul web). Il caso classico è l'agenda personale, compreso le agende automatizzate. Altre ipotesi di esenzioni si hanno con riferimento agli appunti e al materiale informativo (ritagli da giornali, cd-rom, libri) che chiunque è solito conservare nella propria sfera privata per esigenze culturali o altre esigenze della vita di relazione. L'eccezione va interpretata, secondo la Corte di Giustizia europea, in senso restrittivo rientrando nella previsione solo un trattamento di dati personali che sia effettuato nella sfera esclusivamente personale o domestica della persona che procede a tale trattamento. Quindi, la pubblicazione di foto online costituisce trattamento soggetto alla normativa in materia di data protection (quindi occorre informativae consenso).
Il regolamento europeo stabilisce (art. 2 lett c)) che non si applichi ai trattamenti di dati personali "effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico”. La norma ricalca quella del Codice privacy, senza la delimitazione della destinazione alla comunicazione o diffusione. Questo perché la Corte di Giustizia europea (caso C-101/01 e poi caso C-212/13) ha chiarito che il trattamento di dati personali sul web non può rientrare nell'eccezione delle attività per uso personale e familiare. L'eccezione, in conclusione, deve interpretarsi nel senso che rientrano in essa solo le attività della vita privata o familiare dei singoli, con esclusione della pubblicazione online che, invece, rende accessibili i dati ad un numero indefinito di persone.
In realtà il considerando 18 prevede che il regolamento europeo “non si applica al trattamento di dati personali effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con un’attività commerciale o professionale. Le attività a carattere personale o domestico potrebbero comprendere la corrispondenza e gli indirizzari, o l’uso dei social network e attività online intraprese nel quadro di tali attività”. In tal modo si è ampliata l'eccezione rispetto al passato.
Tuttavia sempre il medesimo considerando stabilisce che il “presente regolamento si applica ai titolari del trattamento o ai responsabili del trattamento che forniscono i mezzi per trattare dati personali nell’ambito di tali attività a carattere personale o domestico”. In tal modo sembra che la responsabilità sia spostata sugli intermediari della comunicazione. In tal senso ricordiamo che l'articolo 2, ultima comma, precisa che “Il presente regolamento non pregiudica pertanto l’applicazione della direttiva 2000/31/CE, in particolare le norme relative alla responsabilità dei prestatori intermediari di servizi di cui agli articoli da 12 a 15 della medesima direttiva”. In questo modo il legislatore chiarisce che il regolamento in materia di protezione dei dati personali non ha effetti giuridici sull'applicazione della direttiva eCommerce (2000/31/CE) e quindi sulle responsabilità in capo ai provider. In tale prospettiva non è chiaro il rapporto tra le due normative.
- Ultimo aggiornamento il .
- —