Indice dei contenuti
Tra i numerosi cambiamenti introdotti dal Regolamento Europeo 2016/679 (di seguito GDPR) nel contesto normativo italiano in ambito privacy vi è senza dubbio il riferimento a una nuova serie di definizioni, che in alcuni casi si aggiungono, in altri si sovrappongono a quelle presenti nel D. Lgs 2003/196 (di seguito Codice della Privacy).
Oltre al noto caso degli ex-dati sensibili, ribattezzati nel GDPR come "categorie particolari di dati personali", vi sono infatti una serie di altre aggiunte e modifiche meritevoli di attenzione: in questo articolo cercheremo di analizzarle insieme.
Prima di procedere, è importante tenere presente che il Codice della Privacy in vigore in Italia non è altro che l'attuazione della Direttiva 95/46/CE e delibere successive, un contesto normativo europeo dal quale il GDPR "eredita" gran parte del lessico e della terminologia: per questo motivo alcune definizioni del GDPR risulteranno sorprendentemente simili alla normativa pre-vigente italiana.
Dati Personali
Il Codice della Privacy definisce "dato personale" qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.
Il GDPR fornisce una definizione che, partendo dalle medesime basi, fornisce un quadro più preciso e articolato, intendendo per "dato personale" qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dati Identificativi, Sensibili, Giudiziari et al.
Il Codice della Privacy definisce in maniera autonoma determinate tipologie di dati: dati identificativi, sensibili, giudiziari, anonimi, la comunicazione elettronica e i dati relativi al traffico e all’ubicazione. Ad esempio, con "dati identificativi" si riferisce ai dati personali che permettono l´identificazione diretta dell´interessato.
Al contrario, il GDPR racchiude tutte queste tipologie nella precedente definizione di Dati Personali, differenziando unicamente (Art. 9) alcune categorie particolari di dati personali, ovvero i dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Ci troviamo quindi di fronte a un insieme composto dagli ex dati sensibili e dalle nuove definizioni di dati biometrici e dati genetici.
Titolare
Noto anche come Titolare del Trattamento, nel Codice della Privacy è definito come la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza.
Nel GDPR troviamo una definizione pressoché identica, con la sola differenza che il quadro normativo di riferimento si allarga a comprendere il nuovo contesto Europeo: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri.
Responsabile
Noto anche come Responsabile del Trattamento o Responsabile Esterno, nel Codice della Privacy è definito come la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
Nel GDPR la definizione è sostanzialmente la medesima, formulata però in modo ancora più stringato: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
Incaricato
Il Codice della Privacy (art. 302) contempla il concetto di incaricati al trattamento, definendoli come le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile. Si tratta di una figura che non è presente in nessuna delle altre ventisette legislazioni degli Stati membri dell’Unione e che è stata oggetto di forti critiche da parte delle altre DPA europee. La presenza dell'incaricato al trattamento nel nostro ordinamento ha portato al Garante italiano non pochi problemi in passato, finendo per deresponsabilizzare in modo eccessivo i soggetti realmente responsabili del trattamento - i quali, in più di un'occasione, si sono "difesi" sostenendo che le circostanze oggetto di contestazione erano dovute solo ed esclusivamente ad azioni compiute in qualità di incaricati, ovvero sotto la diretta autorità del titolare, eseguendo unicamente le istruzioni da questo impartite.
Il GDPR, ovviamente, non prevede la figura giuridica autonoma dell'incaricato, che viene dunque considerato alla stregua degli altri responsabili del trattamento.
Interessato
Nel Codice della Privacy, l'interessato è la persona fisica cui si riferiscono i dati personali.
Nel GDPR, come abbiamo già avuto modo di vedere, la definizione di interessato è insita in quella di Dati Personali: si tratta dunque di una persona fisica identificata o identificabile.
Autorità di Controllo (Garante)
Nel Codice della Privacy l'autorità di controllo è chiamata Garante, ed è definita come l'autorità di cui all´articolo 153, istituita dalla legge 31 dicembre 1996, n. 675, rimandando dunque interamente al testo normativo di riferimento.
Nel GDPR si fa invece distinzione tra "autorità di controllo", ovvero l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51, e "autorità di controllo interessata", la cui definizione è la seguente: l'autorità di controllo interessata dal trattamento di dati personali in quanto: a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo; b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure c) un reclamo è stato proposto a tale autorità di controllo.
Ancora una volta, appare evidente come il nuovo Regolamento prenda in considerazione un quadro di riferimento più ampio e globale, prendendo in considerazione l'Italia nel suo ruolo di stato membro dell'Unione Europea.
Dati Biometrici
Il Codice della Privacy parla di dati biometrici soltanto in due occasioni: nell'articolo 37 e nell'articolo 55, senza fornire peraltro una definizione precisa.
Nel GDPR, al contrario, i dati biometrici fanno parte delle definizioni poste nella parte iniziale del Regolamento e identificano quei dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici.
Dati Genetici e Relativi alla Salute
Le stesse considerazioni fatte per i dati biometrici valgono anche per i dati genetici, ovvero i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione, e per i dati relativi alla salute, intesi come i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Appare evidente che, con l'introduzione del GDPR, il legislatore Europeo ha voluto introdurre per queste particolari tipologie di dati una disciplina normativa particolarmente rigida, basata sull'osservanza di una serie di cautele al fine di evitare che si verifichino dei pregiudizi a danno dei soggetti interessati.
Consenso dell'Interessato
Il Codice della Privacy fornisce una definizione di consenso all'interno dell'articolo 23, in cui chiarisce che: il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell´interessato; il consenso può riguardare l´intero trattamento ovvero una o più operazioni dello stesso; il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all´articolo 13; il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
Il GDPR definisce il consenso dell'interessato nel seguente modo: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Anche in questo caso, la formulazione adottata dal GDPR risulta più efficace e semplice da ricordare.
Conclusioni
Per il momento è opportuno fermarci qui: ho evitato di citare le numerose definizioni presenti nel Codice della Privacy e non contemplate nel GDPR (comunicazione, diffusione, blocco, banca dati, password, contraente, utente et al.) e viceversa (destinatario, terzo, stabilimento principale, norme vincolanti d'impresa et al.): le prime sono in gran parte diventate obsolete in virtù dell'evoluzione tecnologica e informatica della società, che prevede necessariamente una trattazione specifica di ciascuno di quegli argomenti; le seconde sono una diretta conseguenza del nuovo contesto sociale, economico e gestionale che ha visto la nascita del GDPR: una società globale e sempre più interconnessa, dove i trattamenti sono diventati parte integrante dei processi aziendali e del core-business della maggior parte delle società e organizzazioni che operano nel settore dei servizi.
Nel prossimo articolo proveremo a confrontare i diritti dell'interessato, evidenziando anche in quel caso gli importanti cambiamenti che hanno investito gli aspetti sociali e normativi degli ultimi 20 anni.
Hai bisogno di organizzare un corso per te o per la tua azienda? Consulta il programma del nostro Corso di Formazione su GDPR e Privacy e/o chiedici un preventivo senza impegno!