Cosa cambia con la nuova legge sulla privacy?

Il Decreto Legge 139 ha portato ulteriori modifiche al “Codice privacy”, che da anni regola la protezione dei dati personali insieme al GDPR. Il nuovo comma stabilisce che qualsiasi trattamento svolto da una pubblica amministrazione “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”, ma con tutte le garanzie previste dal GDPR: indicazione del titolare, della finalità del trattamento ecc. In sostanza, per le pubbliche amministrazioni non vale il divieto generale di trattare i dati, anche “particolari”, fermi restando però i principi fondamentali per la protezione dei dati. L’articolo abrogato stabiliva che “con riguardo ai trattamenti svolti per l’esecuzione di un compito di interesse pubblico – che possono presentare rischi elevati ai sensi dell’articolo 35 del Regolamento – il Garante può (sulla base di quanto disposto dall’articolo 36, paragrafo 5 del medesimo Regolamento e con provvedimenti di carattere generale adottati d’ufficio) prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare“. Eliminato l’art. 2-quinquiesdecies dunque, ora è il nuovo comma 1-bis dell’art. 2-ter a sancire l’autonomia della pubblica amministrazione “per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”. Specificando che “La finalità del trattamento – se non espressamente prevista da una norma di legge o, nei casi previsti dalla legge, di regolamento – è indicata dall’amministrazione, dalla società a controllo pubblico in coerenza al compito svolto o al potere esercitato, assicurando adeguata pubblicità all’identità del titolare del trattamento, alle finalità del trattamento e fornendo ogni altra informazione necessaria ad assicurare un trattamento corretto e trasparente con riguardo ai soggetti interessati e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano”.

La legge sulla protezione dei dati è un'area in costante evoluzione. Per esempio, l'articolo 9 del DL 139/2021 ha introdotto modifiche importanti, stabilendo che il trattamento dei dati da parte di una pubblica amministrazione "è sempre consentito se necessario per l'adempimento di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri a essa attribuiti". Inoltre, il Garante Privacy può prescrivere specifiche misure di protezione che il titolare del trattamento è obbligato ad adottare. Allo stato attuale, nel 2024, la legge sulla privacy in Italia è ancora fortemente basata sul GDPR. Essendo l'Italia uno Stato membro dell'Unione Europea, il regolamento europeo rappresenta il testo di riferimento, mantenendo l'obiettivo di un'armonizzazione della normativa a livello comunitario. In sintesi, conoscere le leggi e i regolamenti sulla privacy aggiornati al 2024 è essenziale per tutti coloro che maneggiano dati personali, sia nel contesto lavorativo che personale, per navigare in un panorama legale in rapida evoluzione.

Con l’entrata in vigore del nuovo Regolamento europeo all’utente è garantito il diritto a ricevere un’informazione corretta e trasparente sull’utilizzo dei dati che rilascia a un’impresa. Le imprese devono quindi indicare nell’informativa sulla privacy con quali finalità richiedono il trattamento di questi dati, quali sono i diritti che hanno gli utenti per tutelarsi e in che modo possono esercitare questi diritti. Se l’informativa sulla privacy non contiene queste indicazioni, il consenso non è considerato valido. In base al nuovo regolamento, l’utente deve fornire il proprio consenso per ogni singolo utilizzo che le imprese intendono fare dei suoi dati. Inoltre, deve rispondere in modo affermativo a ogni richiesta specifica. L’utente ha diritto a ritirare il consenso al trattamento dei suoi dati personali con la stessa facilità con cui l’ha dato. Il nuovo regolamento europeo riconosce all’utente anche il diritto alla portabilità dei dati, in base al quale potrà chiedere e ottenere copia dei dati forniti a un’impresa in modo da poterli poi presentare a un’altra impresa. È previsto anche il diritto alla cancellazione dei dati personali. L’utente può avvalersi di questo diritto nei seguenti casi: se ritiene che i suoi dati non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati; quando revoca il consenso; se si oppone al trattamento oppure ritene che non vi sono più legittimi motivi per continuare il trattamento; infine se i suoi dati sono stati trattati illecitamente. Le sanzioni in caso di mancato adeguamento al nuovo regolamento europeo sono le seguenti: fino a 20 milioni di euro o il 4% del fatturato globale.

La protezione dei dati personali è una tematica che sta assumendo una rilevanza sempre più elevata non solo all’interno del contesto puramente legale, ma anche in tutti gli ambiti del mondo del lavoro, per tutte le figure professionali, per tutti i cittadini, in particolar modo nell’Unione Europea, dove l’attenzione sul tema è massima. La normativa in vigore in Italia si basa sul GDPR e sul d.lgs 196/2003. Il decreto legislativo 196 del 2003, abbreviato in d.lgs 196/2003, contiene tutte le norme nazionali in materia di tutela dei dati personali. Come detto, parliamo di un vero e proprio riferimento su una disciplina in costante evoluzione, influenzato, ovviamente, da quanto accade in Europa. Stiamo parlando del GDPR, il General Data Protection Regulation - Regolamento UE 2016/679, in italiano noto come Regolamento generale sulla protezione dei dati. Un testo in vigore a partire dal 25 maggio 2016, che gli Stati europei hanno dapprima recepito e poi operativo dal 25 maggio 2018. Un testo di grandissima importanza, che rappresenta la volontà dell’UE di concretizzare le proprie esigenze di certezza giuridica, armonizzazione e maggiore semplicità delle norme. La materia della protezione dei dati personali rappresenta un elemento in costante evoluzione. È per questo che assistiamo a degli aggiornamenti della legge sulla privacy, come ad esempio l’articolo 9 del DL 139/2021 tratta proprio questo tema, che introduce che qualsiasi trattamento svolto da una pubblica amministrazione “è sempre consentito se necessario per l’adempimento di un compito svolto nel pubblico interesse o per l’esercizio di pubblici poteri a essa attribuiti”, e che il Garante Privacy può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare“. Al momento, a livello macro, la legge sulla privacy nel 2023 in Italia si basa sul GDPR. Trattandosi di uno Stato membro dell’Unione Europea, il regolamento di riferimento è ancora il testo in vigore dal 2018. Ciò è anche in ragione del fatto che il GDPR è stato creato proprio per armonizzare la normativa e creare un punto comune tra tutti gli Stati della Comunità.

La Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali chiarisce i principali aspetti che imprese e soggetti pubblici devono tenere presenti per dare piena attuazione al Regolamento per il rispetto della privacy. Fornisce anche consigli pratici su diritti dell’interessato, doveri dei titolari, trasparenza sull’uso dei dati personali, liceità del loro trattamento. Il Garante ricorda anche che con il GDPR la gestione della privacy è diventata parte integrante delle attività di un’organizzazione, per la quale i titolari devono adottare comportamenti proattivi e attività dimostrabili, finalizzati al rispetto della normativa. Il Regolamento Ue 679 2016 ha introdotto anche nuovi diritti riconosciuti alle persone, tra i quali si segnalano la possibilità di trasferire i propri dati da un titolare del trattamento a un altro, compresi i social network, il diritto all’oblio, cioè il diritto di non veder riproposte informazioni personali quando non sono più necessarie rispetto alle finalità per le quali sono state raccolte. Attenzione particolare è dedicata inoltre a informativa privacy agli interessati, notifica delle violazioni al Garante privacy, designazione del Responsabile della protezione dei dati, trasferimento dei dati personali in altri Paesi.