di Antonio Serriello

La raccolta e il trattamento di dati personali porta con sé responsabilità e obblighi informativi per gli utenti da non sottovalutare. In questo articoli, scoprirai tutti gli obblighi in capo al Titolare e Responsabile Privacy e le sanzioni previste in caso di trattamento illecito dei dati personali.

Hai un Blog? Un e-commerce? Un semplice sito internet? Qualunque attività tu svolga, ti sarà certamente capitato di raccogliere iscritti alla tua newsletter, inviare comunicazioni commerciali profilate ai tuoi clienti, vendere i dati a società terze. In tutti questi casi, hai avuto a che fare con dati personali, magari anche sensibili. E il loro uso, per qualsiasi scopo, deve avvenire nel rispetto della disciplina legale in materia di trattamento dei dati personali, dettata dal Codice della Privacy e dal nuovo GDPR.

Scopri GoPrivacy: il Software per la gestione dei nuovi adempimenti del GDPR >>

Il D.lgs. 30 giugno 2003, n. 196 impone una rigida disciplina a tutela del diritto alla privacy, vietando il trattamento dei dati personali in assenza di consenso e obbligando il titolare del trattamento ad adottare cautele tecniche ed organizzative idonee a trattare i dati altrui in modo sicuro, nel rispetto dei diritti e delle libertà personali nonché della dignità dell’interessato.

Oggetto della normativa sulla privacy sono quindi i dati personali (tra cui i dati sensibili e i dati giudiziari), ovvero tutte quelle le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, abitudini, stile di vita, relazioni personali, orientamento sessuale, situazione economica, stato civile, stato di salute etc. Oggi, per via delle nuove tecnologie, assumono sempre più rilievo anche quelli relativi alle comunicazioni elettroniche e che consentono la geolocalizzazione di una persona fisica.

I dati personali: modalità e finalità del trattamento

Di fatto, come vanno trattati questi dati? La legge stabilisce il principio della necessità del consenso al trattamento dei dati personali, che deve sempre essere libero e consapevole, ispirato al principio di necessità. In base a tale principio, l’utilizzo di dati personali e identificativi è da escludere quando le medesime finalità possano essere realizzate mediante dati anonimi oppure modalità che permettano di identificare l’interessato solo in caso di necessità.

La normativa prevede altresì una serie di obblighi in capo al titolare e al responsabile del trattamento, la cui violazione può configurare un illecito amministrativo o penale, legittimando una richiesta di risarcimento danni da parte del soggetto leso. In base a tale disciplina, i dati personali devono essere trattati in modo lecito e secondo correttezza, devono essere raccolti e registrati per scopi determinati, espliciti e legittimi e, se utilizzati in altre operazioni, in modo compatibile con tali scopi, devono essere esatti (e aggiornati, se necessario), pertinenti, completi e non eccedenti le finalità per le quali sono stati raccolti. Devono essere conservati in modo sicuro, in luoghi a tal fine dichiarati, garantendo all’interessato specifici strumenti a tutela degli stessi, come il diritto ad ottenere informazioni, aggiornamenti e modifiche sui dati, il diritto di opporsi al trattamento nonché alla cancellazione, blocco o rettifica dei dati trattati illegittimamente.

Trattamento illecito di dati personali: la disciplina sanzionatoria

Sono previste sanzioni in caso di trattamento non conforme alla legge? Si, sotto il profilo sia civile che penale.

Per quanto riguarda la responsabilità civile, il trattamento illecito di dati personali configura in capo al soggetto leso il diritto al risarcimento dei danni, a meno che il titolare del trattamento non dimostri che l’evento dannoso non sia a lui imputabile. L’art. 15 del Codice della Privacy richiama in tutto e per tutto la disciplina civilistica in materia di risarcimento del danno da illecito (art. 2050 c.c., assimilando la disciplina del trattamento dei dati personali a quella dello svolgimento di attività pericolose). Tale disciplina riconosce in capo al soggetto leso il diritto al risarcimento a prescindere dalla volontarietà del comportamento illecito, ovvero per il solo fatto di aver subito un danno. Attenzione quindi. Spetta al titolare del trattamento dimostrare di aver adottato tutte le misure idonee ad evitare il danno, che si è quindi verificato per caso fortuito o forza maggiore. La responsabilità sorge in capo al titolare del trattamento, sia in caso di dolo o colpa; in capo al responsabile, nel caso in cui quest’ultimo ometta di vigilare sull’attività degli incaricati (o non impartisca le necessarie istruzioni), disattenda le direttive del titolare del trattamento o non adotti le misure minime di sicurezza.

Per quanto riguarda gli illeciti amministrativi, si configura una responsabilità civile in caso di omessa o inidonea informativa all’interessato, trattamento in assenza di consenso, cessione dei dati in violazione delle norme, omessa o incompleta notificazione al garante, omessa informazione o esibizione di documenti richiesti al Garante.

Gli illeciti penali invece sono previsti dagli articoli 167-172 del Codice della Privacy. In particolare, è punito con la reclusione da 6 a 18 mesi, il trattamento illecito di dati personali (ovvero in violazione del Codice della Privacy) da cui derivi nocumento al titolare degli stessi, ovvero con la reclusione da 6 a 24 mesi, la comunicazione o diffusione di dati illecitamente trattati, indipendentemente dal potenziale danno che derivi a terzi. Entrambe le fattispecie di reato presuppongono il dolo specifico nonché un preventivo trattamento dei dati personali, effettuato però in violazione delle disposizioni contenute negli articoli 18, 19, 23, 123, 126 e 130 del Codice della Privacy.

Scopri come le grandi aziende gestiscono i nuovi adempimenti del GDPR: scarica il case-study >>

Tra questi, una particolare attenzione merita la violazione dell’articolo 23. Si tratta del trattamento di dati personali in assenza di consenso da parte dell’interessato: l’unica fattispecie di illecito penale configurabile in capo a privati. La norma tuttavia prevede alcune “deroghe ed eccezioni quando si tratti di far valere in giudizio il diritto di difesa” oppure di tutelare il diritto di cronaca o il diritto all’informazione costituzionalmente garantito. Si pensi, ad esempio, a chi esercita attività giornalistica, ai quali è permesso il trattamento dei dati personali, la comunicazione e la diffusione anche senza il consenso dell’interessato e, solo per i dati sensibili e giudiziari, senza la preventiva autorizzazione del Garante se giustificati – e nei limiti dettati – dal diritto di cronaca, ovvero dell’essenzialità della notizia e nell’interesse pubblico. Mentre l’art. 169 Codice Privacy punisce invece l’omessa adozione di misure necessarie alla sicurezza dei dati, contravvenzione che prevede anche la possibilità di regolarizzare il trattamento nel termine di sei mesi, l’art. 170 punisce l’inosservanza dei provvedimento del Garante.

Unolegal: consulenza privacy per le aziende

Per questi motivi, è fondamentale raccogliere e trattare in modo corretto i dati personali, avvalendosi di consulenza di esperti specializzati in materia di classificazione e trattamento dei dati, analisi dei rischi e misure di sicurezza nonché di strumenti appositamente studiati per migliorare la gestione documentale della Privacy Compliance.

Ti interesserà leggere anche

Non perdere le novità

Non perdere le ultime novità dal mondo della Privacy e GDPR

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.

Condividi su twitter
Condividi su linkedin
Condividi su email

Informativa al trattamento dei dati ex art. 13 Regolamento UE 2016/679

La informiamo che, ai sensi del Regolamento UE 2016/679 (infra: “Regolamento”), i Suoi Dati Personali saranno trattati da Sistemi HS S.p.A. con sede Via Torino 176 10093 Collegno (TO), in qualità di titolare del trattamento (“Titolare”).
Il Responsabile della Protezione dei Dati (“DPO”) è raggiungibile ai seguenti indirizzi: dpo@sistemihs.it  – sistemihsdpo@cert.unonet.it
Il Titolare tratterà i Suoi dati personali per la finalità di gestione delle comunicazioni e delle newsletter relative alla community PrivacyRevolution.
La base giuridica del trattamento è riferita all’espressione del consenso da parte dell’interessato al trattamento dei propri dati personali (art. 6(1)(a) del Regolamento).
Il conferimento dei Suoi Dati Personali per la finalità di cui sopra è facoltativo; non è prevista alcuna conseguenza in caso di un Suo rifiuto. In mancanza dei dati però, non sarà possibile per il Titolare inviarle alcuna comunicazione.
L’interessato ha la possibilità di revocare il consenso prestato e di opporsi a tale trattamento in ogni momento in maniera agevole e gratuita, anche scrivendo al Servizio Privacy presso il Titolare all’indirizzo: compliance@sistemiuno.it
I Suoi dati personali potranno essere condivisi con persone fisiche autorizzate dalla Titolare al trattamento di dati personali previa sottoscrizione di un accordo di riservatezza (es. dipendenti e amministratori di sistema); soggetti terzi coinvolti nella gestione delle attività legate alla predetta finalità, alcuni dei quali agiscono in qualità di responsabili del trattamento (l’elenco completo ed aggiornato è disponibile e consultabile previa richiesta a compliance@sistemiuno.it); soggetti, enti o autorità a cui sia obbligatorio comunicare i suoi dati personali in forza di disposizioni di legge o di ordini delle autorità.
Il Titolare non trasferisce i Suoi Dati Personali al di fuori dello Spazio Economico Europeo.
I suoi Dati Personali saranno conservati fino alla revoca del consenso prestato. È fatto salvo in ogni caso l’ulteriore conservazione prevista dalla normativa applicabile tra cui quella prevista dall’art. 2946 cod. civ. Maggiori informazioni sono disponibili presso il Titolare
Lei ha diritto di chiedere al Titolare, in qualunque momento, l’accesso ai Suoi Dati, la rettifica o la cancellazione degli stessi o di richiedere la limitazione del trattamento, o di ottenere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati che La riguardano nei casi previsti dall’art. 20 del Regolamento.
È possibile formulare una richiesta di opposizione al trattamento dei Suoi dati ex articolo 21 del GDPR nella quale dare evidenza delle ragioni che giustifichino l’opposizione: il Titolare si riserva di valutare l’istanza, che non verrebbe accettata in caso di esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgano sui tuoi interessi, diritti e libertà.
In qualsiasi momento potrà revocare ex art. 7 del Regolamento, il consenso già prestato, senza che ciò pregiudichi la liceità del trattamento effettuato anteriormente alla revoca del consenso.
Le richieste vanno rivolte per iscritto al Titolare o al DPO ai recapiti sopra indicati. In ogni caso Lei ha sempre diritto di proporre reclamo all’autorità di controllo competente (Garante per la Protezione dei Dati Personali), ai sensi dell’art. 77 del Regolamento, qualora ritenga che il trattamento dei Suoi dati sia contrario alla normativa in vigore.

Unisciti a Privacy Revolution!

Iscrivendoti a Privacy Revolution riceverai gratuitamente aggiornamenti sulle ultime novità in campo Privacy, GDPR e Compliance, inviti a webinar ed eventi speciali!

Cliccando su ISCRIVITI esprimi il tuo consenso a ricevere comunicazioni e aggiornamenti su PrivacyRevolution da parte di Sistemi H.S. S.p.A., Titolare del trattamento.