Istituto Statale Comprensivo

Suggerimenti | Consigli | Recensioni

Nuova Legge Privacy 2018 Cosa Cambia?

Legge

Nuova Legge Privacy 2018 Cosa Cambia
Non più codice della privacy ma GDPR 2018, che letteralmente sta per ” General Data Protection Regulation ” e dal maggio 2018 sarà il nuovo Regolamento Europeo Privacy, Un testo che detterà legge per tutti gli Stati Membri dell’Unione Europea, e che in Italia sostituirà in pieno il codice del 1995 e il successivo codice in materia di protezione dei dati personali del 2003.

La proposta di adozione di un nuovo Regolamento Europeo Privacy è arrivata nel gennaio 2012 e il Consiglio europeo, allora, si è orientato per l’adozione entro l’inizio del 2016. Dopo un lungo lavoro congiunto di Parlamento, Commissione e Consiglio, nell’aprile 2016 è arrivata l’adozione del testo da parte del Consiglio Europeo e del Parlamento europeo, e il 4 maggio 2016 i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola il trattamento dei dati personali sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea.

Il Regolamento Europeo Privacy sarà effettivamente applicabile in tutti gli Stati Membri, Italia inclusa, dal 25 maggio 2018, Importante, dunque, per le aziende e le amministrazioni pubbliche è capire con il Regolamento Europeo Privacy cosa cambia e come adeguarsi in tempo.

  • Le principali novità contenute nel Regolamento Europeo Privacy riguardano la diffusione dei dati personali e diritto all’oblio,
  • Il nuovo testo, infatti, introduce il ” diritto all’oblio “, regolamentato dall’ articolo 17 GDPR : ” L’ interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti: i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento; l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento; i dati personali sono stati trattati illecitamente; i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione”, si legge del testo.

Un passo avanti importante e decisivo per la diffusione e la divulgazione dei dati personali, soprattutto online. Per quanto riguarda le aziende, inoltre, ecco con il Regolamento Europeo Privacy cosa cambia : l’articolo 5 prevede una serie di principi importantissimi nell’ambito del trattamento dei dati, incluso quello della ” responsabilizzazione ” che attribuisce direttamente ai titolari del trattamento il compito di assicurare ed essere in grado di comprovare, tutti gli altri principi.

Quali sono le novità introdotte dal GDPR del 2018?

Tra le novità introdotte dal GDPR spiccano una maggiore responsabilizzazione richiesta alle organizzazioni in termini di consapevolezza degli adempimenti e degli obiettivi da raggiungere e, per chiunque non rispetti il Regolamento, l’applicazione di sanzioni pecuniarie fino a 20 milioni di euro o al 4% del fatturato

Qual’è la principale differenza tra il precedente Codice privacy ed il nuovo GDPR?

Le principali DIFFERENZE del GDPR rispetto all’attuale ” Legge Privacy” D.lgs 196/2003 – La novità principale del nuovo regolamento è che sparisce il concetto di “MISURE MINIME”, alla base dell’attuale normativa D.Lgs 196, per lasciare il posto a quello di “MISURE ADEGUATE”.

Ma, la vera rivoluzione, è l’introduzione del nuovo principio di “ACCOUNTABILITY ” (Responsabilizzazione), Tale principio di fatto attribuisce più discrezionalità ma, al tempo stesso, maggiore responsabilità al “Titolare del Trattamento” su tutto quello che concerne la protezione dati con un inasprimento consistente delle sanzioni previste in caso di inadempienza.

Se è vero che viene lasciato più spazio alla discrezionalità è anche vero che, il Titolare ed il Responsabile del Trattamento hanno il preciso dovere di dimostrare le ragioni che hanno determinato le scelte fatte. Nuova Legge Privacy 2018 Cosa Cambia In definitiva tutto ciò necessita di azioni molto ampie e strutturate, che andranno ad agire su più aree di intervento indicate nella grafica sottostante:

Cosa cambia con il nuovo GDPR?

GDPR : extraterritorialità Il GDPR protegge i dati dei cittadini europei e si applicano alle società che trattano tali dati indipendentemente dal Paese in cui hanno sede legale. Sono soggette alla stessa norma le aziende che monitorano il comportamento degli individui residenti in Unione europea.

Qual è la nuova normativa sulla privacy?

Ancora nel 2022 molte imprese e PA sono impreparate ad accogliere le novità del GDPR, il regolamento europeo sulla protezione dei dati personali del maggio 2018. Questo articolo contiene tutte le informazioni e i link alle risorse utili per potersi destreggiare nella rivoluzione 21 Gen 2022 Nuova Legge Privacy 2018 Cosa Cambia Dal 25 maggio 2018 è divenuto pienamente applicabile in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali,

Il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici ( a inizio ottobre 2017 il WP29 ha adottato tre fondamentali provvedimenti che hanno avuto importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.

A preoccupare sono, però, gli spazi di autonomia che permangono in capo ai singoli Stati Membri nel disciplinare in maniera più specifica rispetto al GDPR alcuni aspetti non ricompresi nella competenza dell’UE in base al principio di attribuzione. Tale circostanza potrebbe far sorgere contrasti tra le diverse Autorità di controllo nazionali che si trovino ad disciplinare nello specifico e applicare in concreto a livello nazionale le disposizioni del GDPR.

Cosa ha sostituito il GDPR?

Da Wikipedia, l’enciclopedia libera.

Regolamento generale sulla protezione dei dati
Titolo esteso Regolamento (UE) n.2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
Stato Unione europea
Tipo legge Regolamento dell’Unione europea
Date fondamentali
Promulgazione 25 maggio 2018
Testo
Rimando al testo EUR Lex

Il regolamento generale sulla protezione dei dati in sigla RGPD (o GDPR in inglese General Data Protection Regulation ), ufficialmente regolamento (UE) n.2016/679, è un regolamento dell’Unione europea in materia di trattamento dei dati personali e di privacy, adottato il 27 aprile 2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il 4 maggio 2016 ed entrato in vigore il 24 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018.

Con questo regolamento, la Commissione europea si propone come obiettivo quello di rafforzare la protezione dei dati personali di cittadini dell’ Unione europea (UE) e dei residenti nell’UE, sia all’interno che all’esterno dei confini dell’UE, restituendo ai cittadini il controllo dei propri dati personali, semplificando il contesto normativo che riguarda gli affari internazionali, unificando e rendendo omogenea la normativa privacy dentro l’UE.

Il testo affronta anche il tema dell’esportazione di dati personali al di fuori dell’UE e obbliga tutti i titolari del trattamento dei dati (anche con sede legale fuori dall’UE) che trattano dati di residenti nell’UE ad osservare e adempiere agli obblighi previsti.

Cosa cambia dal 10 gennaio privacy?

Il 10 gennaio 2022 entrano in vigore nuove norme per i cookie a cui i siti web dovranno adeguarsi. Il Garante Privacy, infatti, con le nuove ‘Linee guida sui cookie ed altri strumenti del tracciamento’, ha specificato le corrette modalità per fornire la Cookie Policy e impostare il Cookie Banner.

Per chi è obbligatorio il GDPR?

IL REGISTRO DEL TRATTAMENTO – All’ art.25 GDPR chi deve adeguarsi, è tenuto a farlo alla luce della “privacy by default” e della “privacy by design”. Cos’è la privacy by default ? È quel principio per cui il trattamento deve essere il meno invasivo possibile e i dati devono essere manipolati il meno possibile.

  • Cos’è la privacy by design ? È quel principio in base al quale il trattamento dei dati deve essere definito prima del trattamento stesso.
  • Alla luce di questi principi, l’ art.30 GDPR ha introdotto il registro dei trattamenti,
  • Si tratta di un documento che offre una fotografia completa delle attività di trattamento dei dati da parte dell’azienda e quindi uno strumento potenzialmente utile, e comunque necessario per adeguarsi al GDPR.

È obbligatorio per tutte le imprese, anche con meno di 250 dipendenti, qualora effettuino un trattamento dei dati in modo “non occasionale” e quindi, diventa obbligatorio, di fatto per qualsiasi titolare del trattamento. Il registro del trattamento deve contenere:

  1. Il nome e i dati del titolare del trattamento e del responsabile della protezione dei dati RPD ;
  2. Le finalità del trattamento e le misure di sicurezza;
  3. Una descrizione delle categorie degli interessati;
  4. Le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  5. Ove applicabile, i trasferimenti di dati personali verso paesi terzi e la loro identificazione;
  6. I termini ultimi per la cancellazione delle diverse categorie di dati.

Inoltre, ai sensi del GDPR chi deve adeguarsi a tenere il registro del trattamento, deve anche aggiornarlo, alla luce delle variazioni dei trattamenti effettuati, dei dati e degli interessati indicati.

Quale è l’attuale normativa che regola il trattamento di dati personali in Italia?

Il Regolamento generale per la protezione dei dati personali 2016/679 ( General Data Protection Regulation o GDPR ) è principale la normativa europea in materia di protezione dei dati personali,

Quali sono i nuovi diritti che il GDPR offre ai cittadini?

Il nuovo regolamento indica con precisione quali sono i diritti degli interessati rispetto al trattamento dei loro dati personali: l’accesso, la cancellazione, le limitazioni al trattamento, la portabilità dei dati.

See also:  Legge 208 Del 2015 Cosa Disciplina?

Qual è la nuova figura introdotta dal GDPR è obbligatoria?

Responsabile della protezione dati (DPO) – L’istituzione della nuova figura DPO è la principale novità normativa del Regolamento sulla Privacy europeo che mira al potenziamento del controllo dell’efficacia e della sicurezza dei sistemi di protezione dei dati personali.

  • quando attuare un audit interno o esterno in tema di protezione dei dati
  • le attività di formazione per il personale
  • a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato
  • sorvegliare l’osservanza del GDPR e delle altre normative relative alla protezione dei dati
  • fornire un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA)
  • cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto con detta Autorità
  • verificare la tenuta dei registri del Titolare e del/dei Responsabili sul trattamento

Se questi sono i compiti del DPO, va segnalato che gli stessi possono essere assegnati anche ad una figura professionale esterna, con particolare riferimento alla comprovata conoscenza specialistica della normativa e della prassi in materia di protezione dei dati. Per saperne di più, scarica il libro verde gratuito Regolamento generale sulla protezione dei dati – Guida alla conformità >>

Cosa cambia con il regolamento privacy europeo?

Cosa deve contenere l’informativa privacy secondo il GDPR? – Con l’entrata in vigore del nuovo Regolamento europeo all’utente è garantito il diritto a ricevere un’informazione corretta e trasparente sull’utilizzo dei dati che rilascia a un’impresa. In quest’ottica, un aspetto importante riguarda il rilascio del consenso al trattamento dei dati personali,

  1. Le imprese devono quindi indicare nell’ informativa sulla privacy con quali finalità richiedono il trattamento di questi dati, quali sono i diritti che hanno gli utenti per tutelarsi e in che modo possono esercitare questi diritti.
  2. Se l’informativa sulla privacy non contiene queste indicazioni, il consenso non è considerato valido.

Sempre nell’ informativa sulla privacy devono inoltre essere precisati: il diritto dell’utente di presentare reclamo all’autorità di controllo, il periodo di conservazione dei dati, i dati identificativi del Data Protection Officer (Dpo), vale a dire il soggetto che all’interno dell’azienda a cui ci si rivolge per un servizio ha il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento e la formazione del personale.

Quali sono i tre pilastri della nuova privacy ?:?

Il GDPR riguarda tutte e tre le competenze chiave, legale, cyber security e gestionale, essendo i tre pilastri su cui si basa lo stesso GDPR, la cui mancanza, anche di una di esse, rende fragile il sistema.

Quali sono i dati personali da proteggere?

Sono dati personali le informazioni che identificano o rendono identificabile una persona fisica. Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc.

  1. Particolarmente importanti sono: • i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc.
  2. E i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa); • i dati rientranti in particolari categorie : si tratta dei dati c.d.

“sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’ orientamento sessuale ; • i dati relativi a condanne penali e reati : si tratta dei dati c.d.

“giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza. Con l’evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.

LE PARTI IN GIOCO Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l”interessato” (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679 ); Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679 ); Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679 ).

Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. “sub-responsabile” (articolo 28, paragrafo 2). * (Scheda di sintesi redatta dall’Ufficio del Garante a mero scopo divulgativo.

Quali sono le principali leggi sulla privacy?

Da Wikipedia, l’enciclopedia libera.

Codice in materia di protezione dei dati personali
Titolo esteso Codice in materia di protezione dei dati personali
Tipo legge Testo Unico
Date fondamentali
Promulgazione 1º gennaio 2004
Testo
Rimando al testo Normattiva

Il codice in materia di protezione dei dati personali (informalmente noto anche come codice della privacy ), di cui al Decreto legislativo 30 giugno 2003, n.196, in vigore dal 1º gennaio 2004, contiene le norme nazionali relative alla tutela dei dati personali.

Cosa scrivere in fondo al CV 2022?

Esempi dicitura privacy: come inserire l’autorizzazione al trattamento dei dati personali nel CV? – Generalmente, si consiglia di inserire la dicitura relativa alla privacy e al trattamento dei dati personali in calce al curriculum, idealmente riducendo la dimensione del carattere.

Autorizzo il trattamento dei dati personali contenuti nel mio curriculum vitae in base al D. Lgs.196/2003, coordinato con il D. Lgs.101/2018, e al Regolamento UE 2016/679. Acconsento al trattamento dei dati personali contenuti nel mio curriculum vitae in base al D. Lgs.196/2003, integrato con le modifiche introdotte dal il D. Lgs.101/2018, e all’art.13 del GDPR (Regolamento UE 2016/679).

A fine frase, se vuoi essere certo che i tuoi dati vengano trattati solo per le finalità connesse alla selezione e non per altri scopi, puoi specificare la tua scelta: Autorizzo il trattamento dei miei dati personali ai sensi ai sensi del Decreto Legislativo 196/2003, coordinato con il Decreto Legislativo 101/2018, e dell’art.13 del GDPR (Regolamento UE 2016/679) ai fini della ricerca e selezione del personale.

Quando viene applicato il GDPR?

Il regolamento generale sulla protezione dei dati – Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

Il testo comprende la rettifica pubblicata nella GUUE del 23 maggio 2018. Il regolamento costituisce un passo essenziale per rafforzare i diritti fondamentali dei singoli nell’era digitale e agevolare le attività economiche rendendo chiare le regole per le imprese nel mercato unico digitale. Un unico atto legislativo porrà inoltre fine all’attuale frammentazione nei vari sistemi nazionali e agli oneri amministrativi superflui.

Il regolamento è entrato in vigore il 24 maggio 2016 e si applica dal 25 maggio 2018. Maggiori informazioni per le imprese e i cittadini, Informazioni sull’integrazione del regolamento generale sulla protezione dei dati (GDPR) nell’ accordo SEE, EU Member States notifications to the European Commission under the GDPR Study on Data Protection Certification Mechanisms

Chi è il garante della privacy 2022?

Provvedimento del 7 aprile 2022 Registro dei provvedimenti n.170 del 7 aprile 2022 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott.

Agostino Ghiglia e l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale; Viste la segnalazione di cui al prot.0010457/22 del 16 febbraio 2022 e quelle, di analogo contenuto, abbinatevi (fasc.178364); Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”).

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n.196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 144; Vista la documentazione in atti; Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n.1/2000; Relatore il prof.

Pasquale Stanzione; PREMESSO Sono state rivolte al Garante, ai sensi dell’articolo 144 del Codice, numerose segnalazioni d’analogo contenuto, volte a richiedere la declaratoria di illiceità del “trattamento di dati personali “certificazione verde” introdotto con d.l.52 del 2021 e successivi atti normativi” e la conseguente adozione di un provvedimento che “ne disponga la limitazione definitiva e il divieto in applicazione dell’art.58, par.2, lett.

f) GDPR”. Le segnalazioni contengono numerose censure, essenzialmente rivolte alle scelte di politica sanitaria sottese alla disciplina delle certificazioni verdi cui, ad avviso dei segnalanti, conseguirebbe (in via più o meno mediata) l’illiceità del trattamento dei dati personali dalla stessa previsto.

See also:  Cosa Dice La Legge Di Stabilità 2016?

In particolare, con un primo argomento si contesta la legittimità, in sé, delle certificazioni verdi quale strumento di politica sanitaria, privo di “rapporto con l’andamento del contagio” cui sarebbe connesso, in tesi, un trattamento di dati personali volto a perseguire “obiettivi di castigo, oppressione economica e mentale, umiliazione”, “usato strumentalmente per aggirare la Costituzione, dunque, alla lettera, eversivo”.

Ad avviso dei segnalanti, infatti, il green pass configurerebbe una sorta di obbligo vaccinale surrettizio, pur in assenza della previsione generalizzata di tale obbligo. In tal senso si adduce, peraltro, il rilievo della non equivalenza economica dei presupposti di rilascio del green pass, in ragione dell’onerosità del tampone a fronte della gratuità della vaccinazione.

Inoltre, anche richiamandosi i provvedimenti del 23 aprile 2021 e del 9 giugno 2021, si censura l’asserita indeterminatezza delle finalità perseguite e, laddove esse siano indicate, la mancata “esplicitazione del nesso causale tra green pass e finalità”; nonché l’assenza del “requisito di necessità imposto ex art.9.2 Gdpr” e del “requisito di proporzionalità tra trattamento e finalità”, come da artt.5, 6.3, 6.4″.

Tali carenze sono ravvisate, essenzialmente, in scelte di politica sanitaria non condivise nel merito e, in particolare, nella ritenuta assenza di fondatezza scientifica della presunzione di minore capacità virale dei soggetti vaccinati (“l’assunto che il vaccinato non contagi è semplicemente falso”).

Con un secondo argomento si contesta, poi, la legittimità, in sé, del “green pass rafforzato” quale requisito per l’accesso a determinati beni o servizi (d.l 172 del 2021), ritenendo che la conseguente preclusione, a soggetti risultati negativi al tampone, dell’accesso a determinati luoghi o servizi contrasti con le esigenze sanitarie, in difformità dalle previsioni del Regolamento (UE) 2021/1953 (tale dovendosi intendere il riferimento al “regolamento padre, ossia il 2021/953”), con conseguente violazione del principio di liceità di cui all’art.5, p.1, lett.a) del Regolamento (UE) 2016/679.

Con un terzo argomento, infine, si contesta, sul piano del metodo, la liceità del trattamento dei dati personali connesso alla verifica di validità del green pass, per asserita omessa consultazione del Garante sulle relative previsioni normative. RILEVATO Le suesposte censure riferite, dai segnalanti, al trattamento dei dati personali funzionale al sistema del green pass non sono fondate, per le ragioni di seguito esposte.

In relazione alle censure avanzate con il primo argomento, va anzitutto osservato come al Garante non spetti la valutazione di opportunità delle scelte di politica sanitaria in quanto tali, dovendo l’Autorità limitarsi a verificare la legittimità del trattamento connesso e funzionale a quelle scelte.

Il limite esterno del sindacato di questa Autorità è tracciato dalla sfera di discrezionalità politica rimessa al legislatore e di discrezionalità tecnica, che vincola la prima, soprattutto in scelte quali quelle di politica sanitaria, come precisato dalla sentenza della Corte costituzionale n.282 del 2002.

All’interno di quella sfera, andrà, certamente garantito quell’equilibrio non statico, ma dinamico tra diritti individuali e principio di solidarietà, tale da realizzare la tutela sistemica e non frazionata di cui ragiona la sentenza n.85 del 2013 della Corte costituzionale. Fermo questo presupposto, l’oggetto della valutazione del Garante è, tuttavia, circoscritto al limitato profilo del trattamento dei dati personali normativamente previsto e non, invece, all’asserito eccesso di potere legislativo per erronea valutazione dei presupposti scientifici della misura.

Sotto questo aspetto, dunque, le eccezioni avanzate dai segnalanti non sono fondate, non ravvisandosi – come già affermato più volte, in sede di audizione sui vari decreti-legge che hanno disciplinato la materia – profili d’illiceità del trattamento dei dati personali connesso al funzionamento (peraltro temporaneo) del sistema delle certificazioni verdi, sia nella loro versione base, sia in quella rafforzata introdotta con il d.l.172 del 2021, convertito, con modificazioni, dalla l.n.3 del 2022, per le ragioni di seguito descritte.

Va peraltro considerato come, rispetto al momento di presentazione delle segnalazioni, l’ambito applicativo delle certificazioni verdi (tanto nella versione “base” quanto in quella “rafforzata”) sia stato notevolmente circoscritto, per effetto del disposto di cui agli articoli 6 e 7 d.l.n.24 del 2022 (al momento di adozione di questo provvedimento in fase di conversione in legge).

Ne consegue una notevole limitazione, già attuata a partire dal 1^ aprile scorso, del perimetro del relativo trattamento di dati personali, che andrà progressivamente a restringersi a partire dal mese di maggio prossimo, come dispongono appunto i citati articoli del d.l.n.24.

Tale progressiva riduzione dell’ambito applicativo dell’istituto delle certificazioni verdi ne dimostra l’effettiva natura di misura transitoria, volta a contenere i contagi e gli effetti più gravi della pandemia nella sua fase più acuta. Si tratta di un profilo di particolare rilievo, avendo lo stesso parere congiunto n.4 del 2021, del Comitato europeo per la protezione dei dati e del Garante europeo della protezione dei dati, sulle proposte di Regolamenti europei sulle certificazioni verdi digitali, sottolineato l’importanza di configurare tale istituto come transitorio, ad efficacia strettamente limitata alla fase pandemica emergenziale.

RITENUTO In relazione al primo argomento addotto dai segnalanti, va in primo luogo considerato (anche ai fini del richiamo, contenuto nelle segnalazioni, ai provvedimenti del 23 aprile 2021 e del 9 giugno 2021 ) come, lungo il corso dell’evoluzione che l’ha caratterizzata, la disciplina delle certificazioni verdi abbia progressivamente e sensibilmente affinato le garanzie in termini di protezione dei dati personali.

Se, infatti, come osservato nei citati provvedimenti, le previsioni originarie presentavano un certo margine d’indeterminatezza nella descrizione delle finalità sottese al trattamento dei dati funzionale al sistema del green pass, questa carenza è stata progressivamente colmata con le modifiche normative succedute al d.l.n.52 del 2021.

In particolare, le certificazioni verdi sono state prima concepite per gli spostamenti tra regioni di “colore” diverso (d.l.52/21), poi per la fruizione di servizi o lo svolgimento di attività ritenute a rischio epidemico particolare (d.l.105/21), quindi per la scuola, i trasporti, il personale esterno anche delle rsa (dd.ll.111 e 122/21) e, infine, per il lavoro in ambito pubblico e privato (d.l.127/21).

L’ambito oggettivo di applicazione della misura è stato progressivamente circoscritto anche considerandone l’incidenza su materie coperte da riserva di legge statale: profilassi internazionale, autodeterminazione terapeutica- relativamente all’esigenza di evitare discriminazioni nei confronti di quanti non possano o non vogliano vaccinarsi e, quindi, di evitare obblighi vaccinali surrettizi- e, appunto, protezione dati (cfr.

Corte cost., sent.5/2018 sulle condizioni di legittimità dell’obbligo vaccinale, nonché, sulla riserva di legge statale in materia di vaccinazione, cfr. ordinanza Giudice del lavoro di Messina del 12 dicembre 2020; Corte cost., sent.271/2005 sulla riserva di legge statale sulla protezione dati; Corte cost., sent.37/2021 in ordine alla profilassi internazionale).

  1. E’ significativa in tal senso, la previsione, aggiunta in sede di conversione del d.l.105 del 2021, secondo cui “Ogni diverso o nuovo utilizzo delle certificazioni verdi COVID-19 e’ disposto esclusivamente con legge dello Stato” (art.9, c.10-bis, secondo periodo, d.l.52 del 2021).
  2. Si tratta di previsione quantomai opportuna in ragione dell’esigenza di evitare iniziative di singole Regioni che, proprio in ragione della riserva di legge statale che caratterizza le materie incise da queste misure, risulterebbero illegittime e non certo soltanto sotto il profilo privacy.

Nel corso dell’esame parlamentare del d.l.52 e, poi, dei decreti-legge successivi che hanno esteso l’ambito di applicazione delle certificazioni verdi, in particolare, si è conferita maggiore determinatezza alla disciplina anche sotto il profilo dell'”architettura” del trattamento.

Si sono, in particolare, individuati i soggetti istituzionali cui compete la responsabilità della gestione della “Piattaforma Nazionale DGC”, in ottemperanza al principio di trasparenza che impone un’adeguata informazione degli interessati circa le caratteristiche essenziali del trattamento, agevolando così anche l’esercizio dei diritti loro riconosciuti.

Inoltre, in virtù delle misure introdotte con il d.P.C.M.17 giugno 2021, attuativo dell’articolo 9, c.10 (su cui il Garante ha peraltro reso parere con il citato provvedimento del 9 giugno 2021), si è potuto garantire che oggetto della verifica – mediante l’app ufficiale Covid-19 – sia (oltre al nome, al cognome e alla data di nascita) il solo qr code attestante il possesso di una certificazione in corso di validità, senza alcun riferimento al presupposto del certificato, ovvero vaccinazione, guarigione, tampone (cfr.

  1. Anche Cons. St., Sez.
  2. III, ord.17 settembre 2021, n.5130 che in ragione di tali considerazioni esclude la sussistenza di “lesioni della riservatezza sanitaria”).
  3. Le previsioni attuative mirano ad evitare, in particolare, un’indebita conoscenza, da parte di terzi, della condizione sanitaria o, comunque, delle scelte vaccinali del soggetto.

Al fine di minimizzare l’impatto del trattamento, si è poi espressamente esclusa la raccolta, da parte dei soggetti verificatori, dei dati dell’intestatario della certificazione (art.13, c.5, d.P.C.M.17 giugno 2021). Ai sensi dell’articolo 17 dello stesso decreto, le misure per la sicurezza del trattamento sono periodicamente riesaminate e aggiornate sulla base della valutazione d’impatto di cui all’articolo 35 del Regolamento.

  1. Complessivamente, dunque, il trattamento dei dati personali funzionale al sistema del green pass può ritenersi correttamente circoscritto alle finalità normativamente previste ed assistito da misure idonee a minimizzarne l’impatto sugli interessati.
  2. Il parametro da considerare a tali fini è, in primo luogo, quel principio di proporzionalità sancito in via generale dall’art.52 CDFUE per le limitazioni dei diritti fondamentali e declinato in termini di minimizzazione dall’art.5, p.1, lett.c), Reg.

Ue 2016/679, secondo cui “le deroghe e le restrizioni alla tutela dei dati personali” devono intervenire “entro i limiti dello stretto necessario” (CGUE sent. Tele 2 Watson, 21.12.2016, cause riunite C 203/15 e C 698/15; sentenze del 16 dicembre 2008, Satakunnan Markkinapörssi e Satamedia, C 73/07, EU:C:2008:727, punto 56; del 9 novembre 2010, Volker und Markus Schecke e Eifert, C 92/09 e C 93/09, EU:C:2010:662, punto 77; Digital Rights, punto 52, nonché del 6 ottobre 2015, Schrems, C 362/14, EU:C:2015:650, punto 92).

See also:  Cosa Dice La Legge Sul Canone Rai?

In senso analogo, del resto, la Corte costituzionale ha ricordato come il principio di proporzionalità imponga di prevedere «oneri non sproporzionati rispetto ai fini perseguiti» e scegliere la «misura meno restrittiva dei diritti che si fronteggiano», «senza che la compressione della tutela dei dati personali risulti priva di adeguata giustificazione, in contrasto con il principio di proporzionalità» (sent.n.20 del 2019, punti nn.5 e 6).

Sotto questo profilo, l’esigenza di funzionalità del sistema del green pass (cui sono sottese scelte di politica sanitaria che non spetta al Garante sindacare) ben può rappresentare quella giustificazione per il trattamento dei dati sulla condizione vaccinale, di negatività al test o di guarigione, richiesta dalla Consulta ai fini della valutazione della ragionevolezza e proporzionalità della limitazione di diritti fondamentali, quale è il diritto alla protezione dei dati.

Analoghe considerazioni possono essere riferite, in riscontro al secondo argomento avanzato dai segnalanti, in ordine al “green pass rafforzato”, introdotto dall’articolo 5 del d.l.172 del 2021, convertito, con modificazioni, dalla legge n.3 del 2022. Come osservato in sede di audizione parlamentare sul disegno di legge di conversione del decreto-legge, infatti, pur in un contesto di differenziazione degli effetti delle certificazioni verdi- secondo che conseguano ad avvenuta vaccinazione o guarigione da un lato o a test dall’altro- dal punto di vista della protezione dei dati è essenziale evitare l’indebita rivelazione dei presupposti delle stesse.

Tale risultato è stato poi garantito dalle novelle apportate al dPCM 17 giugno 2021 (su cui cfr. il parere di cui al provvedimento n.430 del 13 dicembre 2021), minimizzando dunque anche l’impatto del “green pass rafforzato” sulla sfera individuale. La differenziazione negli effetti delle certificazioni in ragione del loro presupposto non pare, dunque, contrastare con il canone di proporzionalità, pur sulla base di una valutazione condotta “in relazione agli effetti pratici prodotti o producibili nei concreti rapporti della vita” (Corte cost., sent.163/1993).

In ordine al paventato contrasto della disciplina interna con quella di cui al Regolamento (UE) 2021/1953, basti qui richiamare la risposta della Commissione UE alla interrogazione P-005291/2021 sul green pass rafforzato, secondo cui “L’uso nazionale dei certificati COVID-19 per scopi diversi dall’agevolazione della libera circolazione all’interno dell’UE non rientra nell’ambito di applicazione di tale regolamento.

Gli Stati membri possono utilizzare il certificato COVID digitale dell’UE a fini nazionali, ma sono tenuti a prevedere in tal senso una base giuridica nel diritto nazionale che rispetti, tra l’altro, i requisiti in materia di protezione dei dati. Spetta agli Stati membri stabilire quali misure di protezione della salute ritengano più appropriate per accedere, ad esempio, a determinati luoghi.

Le condizioni di accettazione per fini nazionali non rientrano nell’ambito di applicazione del regolamento relativo al certificato COVID digitale dell’UE, ma sono di competenza degli Stati membri nel settore della sanità pubblica.”. Le disposizioni interne sul “green pass rafforzato” si muovono, pertanto, nel margine di discrezionalità rimesso agli Stati membri dal Regolamento (UE) 2021/1953, dovendosi escludere, anche sotto questo profilo, possibili violazioni- sia pur mediate da incompatibilità della fonte primaria interna con quella europea- del principio di liceità del trattamento ex art.5, par.1, lett.a), del Regolamento.

Parimenti non fondate sono, infine, le eccezioni avanzate dai segnalanti, sul piano del metodo, con il terzo argomento. il Garante è stato, infatti, sistematicamente audito, dalle Camere, sui disegni di legge di conversione dei principali decreti-legge in materia e, finanche, sullo stesso istituto del green pass.

Di seguito si elencano le principali audizioni in materia, rilevanti ai fini di cui all’articolo 36, paragrafo 4 del Regolamento: 1) audizione dinanzi alla 1^ Commissione del Senato sui profili costituzionali dell’eventuale introduzione di un “passaporto vaccinale” per i cittadini cui è stato somministrato il vaccino anti SARS-COV2 (8 aprile 2021, doc.

web 9574242 ); 2) audizione dinanzi alle Commissioni riunite I, II e XII della Camera dei Deputati, sulle tematiche relative alla certificazione verde Covid-19 – 6 maggio 2021 (doc. web 9583365 ); 3) contributo sul decreto-legge 21 settembre 2021, n.127, recante misure urgenti per assicurare lo svolgimento in sicurezza del lavoro pubblico e privato mediante l’estensione dell’ambito applicativo della certificazione verde COVID-19 e il rafforzamento del sistema di screening (1^ Commissione Senato, 5 ottobre 2021, doc.

web 9707961 ); 4) audizione dinanzi alla 1^ Commissione del Senato sul decreto-legge 26 novembre 2021, n.172 recante “Misure urgenti per il contenimento dell’epidemia da COVID-19 e per lo svolgimento in sicurezza delle attività economiche e sociali (7 dicembre 2021, in www.gpdp.it – doc web.9725434 ).; 5) audizione dinanzi alla XII Commissione della Camera dei deputati sul decreto-legge n.1 del 2022: Misure urgenti per fronteggiare l’emergenza COVID-19, in particolare nei luoghi di lavoro, nelle scuole e negli istituti della formazione superiore (10 febbraio 2022, doc web 9744445 ).

L’Autorità è stata, inoltre, sistematicamente consultata sugli schemi di provvedimenti attuativi in materia (corredati delle relative valutazioni d’impatto), ovvero il dPCM 17 giugno 2021 e i successivi che lo hanno novellato (cfr. pareri di cui ai provv.

  1. Nn.229 del 9 giugno 2021, doc.
  2. Web n.9668064 ; 306 del 31 agosto 2021, doc.
  3. Web n.9694010 ; 363 dell’ 11 ottobre 2021, doc.
  4. Web n.9707431 ; 430 del 13 dicembre 2021, doc.
  5. Web n.9727220 n.18 del 27 gennaio 2022, doc.
  6. Web n.9742129 ; n.57 del 18 febbraio 2022, doc.
  7. Web n.9746905 ).
  8. Il Garante è stato, quindi, consultato in ordine agli aspetti rilevanti, in termini di protezione dei dati, della disciplina delle certificazioni verdi, sia di rango primario sia di carattere attuativo non regolamentare, fornendo indicazioni che sono state progressivamente recepite (ad eccezione di quella sulla consegna del green pass al datore di lavoro di cui agli ultimi due periodi del comma 5 dell’art.9-quinquies e del comma 5 dell’articolo 9-septies d.l.52 del 2021).

Per tali ragioni e, in linea più generale, per l’identità delle questioni oggetto di segnalazione con quelle già esaminate dal Garante in sede di consultazione preventiva sui provvedimenti, anche di carattere normativo, in materia, il procedimento relativo alle segnalazioni in esame dev’essere archiviato, non ravvisandosi i presupposti per l’adozione delle misure invocate (cfr., peraltro, art.11, c.1, lett.d), Regolamento Garante n.1 del 2019).

  1. IL GARANTE ai sensi degli articoli 57, par.1, lett.a) e v) del Regolamento e 144 del Codice, delibera a maggioranza l’archiviazione del procedimento relativo alle segnalazioni di cui in premessa.
  2. Ai sensi dell’art.78 del Regolamento, nonché degli artt.152 del Codice e 10 del d.
  3. Lgs.1° settembre 2011, n.150, avverso il presente provvedimento può essere proposta opposizione all’autorità giudiziaria ordinaria, con ricorso depositato, alternativamente, presso il tribunale del luogo ove risiede o ha sede il titolare del trattamento ovvero presso quello del luogo di residenza dell’interessato entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso ovvero di sessanta giorni se il ricorrente risiede all’estero.

Roma, 7 aprile 2022 IL PRESIDENTE Stanzione IL RELATORE Stanzione IL SEGRETARIO GENERALE Mattei

Cosa vuol dire Continua senza accettare i cookie?

Che cosa succede quando non si accettano i cookie? – Principalmente, dovrai reinserire delle informazioni ogni volta che avvii il browser e non potrai navigare con impostazioni personalizzate, ma a parte questo disattivare i cookie non comporta nessun problema.

Quando si viola la legge sulla privacy?

Una violazione di sicurezza che comporta – accidentalmente o in modo illecito – la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Qual è la nuova figura introdotta dal GDPR?

Responsabile della protezione dati (DPO) – L’istituzione della nuova figura DPO è la principale novità normativa del Regolamento sulla Privacy europeo che mira al potenziamento del controllo dell’efficacia e della sicurezza dei sistemi di protezione dei dati personali.

  • quando attuare un audit interno o esterno in tema di protezione dei dati
  • le attività di formazione per il personale
  • a quali trattamenti dedicare maggiori risorse e tempo in relazione al rischio riscontrato
  • sorvegliare l’osservanza del GDPR e delle altre normative relative alla protezione dei dati
  • fornire un parere in merito alla valutazione di impatto sulla protezione dei dati (DPIA)
  • cooperare con il Garante per la protezione dei dati personali e fungere da punto di contatto con detta Autorità
  • verificare la tenuta dei registri del Titolare e del/dei Responsabili sul trattamento

Se questi sono i compiti del DPO, va segnalato che gli stessi possono essere assegnati anche ad una figura professionale esterna, con particolare riferimento alla comprovata conoscenza specialistica della normativa e della prassi in materia di protezione dei dati. Per saperne di più, scarica il libro verde gratuito Regolamento generale sulla protezione dei dati – Guida alla conformità >>

Cosa cambia con il regolamento privacy europeo?

Cosa deve contenere l’informativa privacy secondo il GDPR? – Con l’entrata in vigore del nuovo Regolamento europeo all’utente è garantito il diritto a ricevere un’informazione corretta e trasparente sull’utilizzo dei dati che rilascia a un’impresa. In quest’ottica, un aspetto importante riguarda il rilascio del consenso al trattamento dei dati personali,

  • Le imprese devono quindi indicare nell’ informativa sulla privacy con quali finalità richiedono il trattamento di questi dati, quali sono i diritti che hanno gli utenti per tutelarsi e in che modo possono esercitare questi diritti.
  • Se l’informativa sulla privacy non contiene queste indicazioni, il consenso non è considerato valido.

Sempre nell’ informativa sulla privacy devono inoltre essere precisati: il diritto dell’utente di presentare reclamo all’autorità di controllo, il periodo di conservazione dei dati, i dati identificativi del Data Protection Officer (Dpo), vale a dire il soggetto che all’interno dell’azienda a cui ci si rivolge per un servizio ha il compito di garantire la tutela della privacy attraverso la verifica della corretta applicazione del Regolamento e la formazione del personale.