DOSSIER PRIVACY

DOSSIER PRIVACY

22/10/2018

DOSSIER PRIVACY

Il Governo ha emanato il decreto legislativo n. 101 del 2018, che detta disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (c.d. GDPR). Il Regolamento europeo è entrato in vigore il 25 maggio 2018.

Sullo schema di decreto legislativo (A.G. n. 22) aveva espresso parere favorevole, con numerose condizioni, la Commissione speciale per l'esame di atti urgenti del Governo.

Il decreto legislativo n. 101 del 2018 modifica ed abroga numerose disposizioni del c.d. Codice della privacy (d.lgs. n. 196 del 2003) e va ad aggiungersi al decreto legislativo n. 51 del 2018, con il quale l'ordinamento italiano ha attuato la direttiva 2016/680, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, completando il recepimento del c.d. pacchetto protezione dati dell'Unione europea.

CHIUDI TUTTI I PARAGRAFI

 Il cd. pacchetto protezione dati identifica i recenti (2016) atti normativi di matrice europea relativi altrattamento, la protezione e la libera circolazione dei dati personali, e volti a rispondere alle sfide poste dagli sviluppi tecnologici e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini dei Paesi dell'Unione europea. L'attuale contesto economico-sociale esige  una maggiore attenzione alla tutela della sicurezza dei cittadini e della circolazione (anche transfrontaliera) dei loro dati personali, in un'ottica di bilanciamento con il principio comunitario di libera circolazione all'interno dell'UE. Il nuovo apparato normativo, dunque, mira proprio ad intensificare e innalzare il livello di sicurezza di ciascun cittadino europeo in materia di trattamento dati personali.

Il "pacchetto protezione dati" è composto da distinti atti normativi: 

• il Regolamento 2016/679 UE, concernente "la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati", volta a disciplinare i trattamenti di dati personali sia nel settore privato sia nel settore pubblico, e destinata a sostituire la Direttiva 95/46. Il Regolamento UE, entrato in vigore il 25 maggio 2016,  reca una disciplina direttamente esecutiva nell'ordinamento degli Stati membri a partire dal 25 maggio 2018.

• la Direttiva 2016/680/UE relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.

Inoltre, nel gennaio del 2017 la Commissione europea ha avviato la revisione della disciplina in materia di tutela della riservatezza delle comunicazioni elettroniche, sia per allinearla agli standard di protezione stabiliti nel pacchetto protezione dati, sia per aggiornarla e renderla tecnologicamente neutra rispetto alla continua evoluzione delle tecnologie in materia di comunicazione e informazione. In particolare, la Commissione europea ha presentato una proposta di regolamento COM(2017)10con l'obiettivo di sostituire la direttiva 2002/58/CE (cosiddetta e-privacy)  con una normativa direttamente applicabile che garantisca i medesimi livelli di protezione per tutti i cittadini UE utenti delle comunicazioni elettroniche e di certezza giuridica per le imprese fornitrici di servizi in tale settore.

Con riguardo alle principali novità introdotte dal Regolamento 2016/679 UE volte a dare vita ad un quadro più solido e coerente in materia di privacy si segnalano:

  • l'ambito di applicazione territoriale: le norme regolamentari si applicano anche al trattamento di dati personali di soggetti stabiliti nell'Unione Europea da parte di un soggetto stabilito al di fuori della stessa;
  • la liceità del trattamento è ancorata a due requisiti alternativi: la necessità del trattamento, o il consenso dell'interessato. Il consenso dei minori, in relazione ai servizi della società dell'informazione, può essere validamente espresso a partire dai 16 anni (gli Stati possono abbassare tale limite fino a 13 anni); prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci;
  • il trattamento di "particolari categorie di dati", corrispondenti sostanzialmente a quelli che nel nostro ordinamento sono definiti come "sensibili e giudiziari". Con particolare riferimento al trattamento di dati genetici, biometrici e relativi alla salute, è consentito agli Stati membri di introdurre disposizioni più stringenti;
  • l'espressa previsione sia del diritto all'oblio (ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), che del diritto alla portabilità dei dati da un titolare del trattamento ad un altro, su richiesta degli interessati;
  • la disciplina relativa al titolare del trattamento e al responsabile del trattamento basata sulla "responsabilizzazione" (accountability) dei suddetti soggetti – ossia, sull'adozione di comportamenti proattivi e tali da dimostrare la concreta adozione di misure finalizzate ad assicurare l'applicazione del regolamento; viene affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali;
  • l'introduzione del concetto di protezione dei dati personali "by design" e "by default", ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso;
  • la previsione, in capo al titolare, un obbligo di notifica all'autorità di controllo e di comunicazione all'interessato in presenza di violazioni di dati personali che possano compromettere le libertà e i diritti dei soggetti interessati (c.d. data breach);
  • la necessità di  un'analisi e una preventiva valutazione del rischio inerente al trattamentoall'esito della quale il titolare potrà decidere, in autonomia, se iniziare il trattamento ovvero consultare l'autorità di controllo competente che non avrà il compito di autorizzare il trattamento, bensì di indicare le misure ulteriori eventualmente da implementare a cura del titolare;
  • l'introduzione della figura del Data protection officer con riguardo agli enti pubblici e agli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui;
  • il nuovo sistema sanzionatorio che si fonda principalmente sulla previsione di sanzioni amministrative pecuniarie per molte violazioni, espressamente indicate dal Regolamento UE; si tratta di sanzioni particolarmente elevate (fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo) ma definite solo nella misura massima, che dunque lasciano ampi spazi di discrezionalità alle autorità di controllo.

Per quanto concerne la Direttiva (UE) 2016/680, essa ha natura di lex specialis rispetto al regolamento generale sulla protezione dei dati, di cui declina princìpi e obblighi con riguardo allo specifico contesto di attività e ai poteri delle autorità di polizia e giudiziarie.

ULTIMO AGGIORNAMENTO: 8 GIUGNO 2018

Al fine di provvedere all'adeguamento del quadro normativo interno al Regolamento 2016/679 UE, legge n. 163 del 2017  (art. 13), ha delegato il Governo ad adottare uno o più decreti legislativi volti ad abrogare espressamente le disposizioni del Codice della privacy incompatibili con quelle del regolamento (UE); a modificare il Codice limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento; a coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni adottate in sede europea; ad adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

In attuazione della predetta delega il Governo ha trasmesso alle Camere, il 10 maggio 2018, lo schema di decreto legislativo AG 22,  assegnato alle Commissioni speciali per l'esame di atti del Governo del Senato e della Camera. Dopo un ampio ciclo di audizioni informali, la Commissione della Camera ha espresso, il 20 giugno 2018, un articolato parere favorevole, con numerose condizioni e osservazioni.

Per effetto dello "scorrimento dei termini" necessario a consentire l'espressione del parere parlamentare, il nuovo termine per l'esercizio della delega è individuato nel 21 agosto 2018. 

 

La nuova normativa sulla protezione dei dati personali risulterà quindi dalle norme del Regolamento UE, direttamente applicabili, nonché dalle residue disposizioni del Codice della privacy così come riformato dall'AG 22.

L'AG 22 contiene un corpus di norme  complesso e interviene con abrogazioni e modificazioni sulla quasi totalità dei 186 articoli del codice della privacy vigente.

In particolare, articoli 1 e 2 dello schema modificano la Parte I del Codice della privacy dedicata alledisposizioni generali. Gli attuali 46 articoli che compongono la Parte I sono infatti abrogati dalla riforma e ridotti a 16: le disposizioni generali sul trattamento dei dati personali sono infatti ora prevalentemente contenute nel Regolamento.

Sono introdotte nella I parte del Codice 14 nuove disposizioni (articoli da 2-bis a 2-quinquiesdecies) che integrano quanto disposto dal Regolamento in materia di fondamento giuridico del trattamento, limitazioni ai diritti degli interessati, titolare e responsabile del trattamento, regole deontologiche e categorie particolari di dati.

Tra le novità più significative:

  • con riguardo ai trattamenti per motivi di interesse pubblico si conferma la necessità di un fondamento legislativo; è peraltro consentita, anche a prescindere da tale fondamento, ma previa necessaria notifica al Garante, la comunicazione dei dati tra soggetti che li trattano per finalità pubbliche. Tale possibilità è offerta, non solo ai soggetti pubblici, come attualmente, ma anche ai privati purché gli stessi trattino i dati per finalità di interesse pubblico (nuovo articolo 2-ter del Codice).
  • la previsione della promozione da parte del Garante dell'adozione di regole deontologiche sulla base della possibilità offerta dal legislatore europeo agli Stati di dettare disposizioni più stringenti per la disciplina del trattamento dati in determinati settori. Il rispetto di tali regole, che dovranno essere emanate previa sottoposizione a consultazione pubblica, costituisce requisito di liceità del trattamento (nuovo articolo 2-quater del Codice). Conseguentemente, è prevista (articolo 20) una disciplina transitoria specifica per i codici di deontologia e di buona condotta vigenti.
  • per i trattamenti dei dati nell'ambito dei servizi della società dell'informazione che richiedono ilconsenso dell'interessato, tale consenso può essere espresso direttamente dai minori che hanno compiuto 16 anni. Per tutti gli altri minori il consenso deve essere espresso da coloro che esercitano la responsabilità genitoriale (nuovo articolo 2-quinquies del Codice).
  • la ridefinizione della disciplina dei c.d. "dati sensibili": con l'entrata in vigore del Regolamento UE, tale categoria di dati sensibili, è assorbita nella definizione di «categorie particolari di dati personali». In generale, il trattamento di questi dati  - che sostanzialmente sono gli stessi già definiti "sensibili" con l'aggiunta dei dati genetici e biometrici e relativi all'orientamento sessuale - è vietato, a meno che non trovi fondamento nel consenso esplicito dell'interessato ovvero nella necessità del trattamento stesso per una serie di motivi tassativamente elencati. Per dare attuazione a questa disposizione il nuovo articolo 2-sexies del Codice, disciplina il trattamento delle categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante, consentendolo solo in presenza di un fondamento legislativo o regolamentare che specifichi i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante. Tra i dati particolari si colloca anche la categoria deidati genetici, biometrici e relativi alla salute, per il cui trattamento il regolamento UE consente agli Stati membri di introdurre garanzie supplementari, e dunque di mantenere o introdurre ulteriori condizioni, comprese limitazioni. A tal fine, il nuovo articolo 2-septies prevede che il trattamento di questi dati sia subordinato all'osservanza di misure di garanzia, stabilite dal Garante con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica. Inoltre, l'articolo 2-septies, in relazione esclusiva ai dati genetici ed a quelli relativi ad ambito sanitario, diagnostico e alle prescrizioni di medicinali, prevede che nell'ambito delle misure di garanzia sia possibile anche, in caso di particolare ed elevato livello di rischio, introdurre il consenso come ulteriore misura di protezione dei diritti dell'interessato.
  • con riguardo alla categoria dei dati giudiziari, essa è sostituita dai dati relativi a condanne penali e reati, il cui trattamento può essere svolto in base alle specifiche norme del Regolamento e al nuovo articolo 2-octies del Codice. In particolare, la riforma ribadisce, anche per questi dati, la necessità che il trattamento abbia un fondamento normativo che lo autorizzi e che preveda garanzie appropriate per i diritti degli interessati. In mancanza di esso dovrà intervenire, entro 18 mesi, un decreto del Ministro della giustizia, che dovrà anche, per le disposizioni già in vigore, verificare che le stesse contengano garanzie, provvedendo alla loro eventuale integrazione.
  • la disciplina dei diritti dell'interessato dal trattamento dei dati, è ora integralmente contenuta nel Regolamento, che consente agli Stati membri di limitare, in presenza di specifiche circostanze, l'esercizio dei diritti stessi. A tal fine provvedono i nuovi articoli 2-decies e 2-undecies del Codice che limitano l'esercizio dei diritti dell'interessato quando dall'esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto ad alcuni specifici interessi (art. 2-decies) o alla salvaguardia e l'indipendenza della magistratura (art. 2-undecies). La riforma differenzia il perimetro delle possibili limitazioni, che a salvaguardia dell'indipendenza della magistratura possono essere più estese comprendendo anche il diritto all'informativa e alla comunicazione in caso di data breach.
  • definizioni, compiti e obblighi dei titolari e dei responsabili dei trattamenti sono contenuti nelle disposizioni del Regolamento, direttamente applicabili. Per questo, nonostante lo schema di decreto legislativo inserisca nel Codice della privacy un nuovo Titolo I-quater dedicato al titolare del trattamento e al responsabile del trattamento, in realtà le relative disposizioni vanno cercate nella disciplina europea. Lo schema si limita: a disciplinare la facoltà del titolare e del responsabile di delegare compiti e funzioni a persone fisiche che operano sotto la sua autorità che, a tal fine, dovranno essere espressamente designate (all'articolo 2-terdecies); a prevedere che il Garante possa emanare d'ufficio provvedimenti di carattere generale per prescrivere misure e accorgimenti da applicare a garanzia dell'interessato nei trattamenti svolti per l'esecuzione di un compito di pubblico interesse che presentano un rischio particolarmente elevato all'articolo 2-quaterdecies; a designare l'organismo nazionale competente per l'accreditamento degli organismi di certificazione della protezione dei dati all'articolo 2-quinquiesdecies,.

 

Oggetto di modifica è anche la Parte II del Codice della privacy, dedicata al trattamento dei dati personali negli specifici settori, in esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (articoli da 3 a 12) In tali settori il Regolamento consente agli Stati di prevedere una disciplina del trattamento dati che, nel bilanciare i diritti dell'interessato con un interesse pubblico al trattamento, individui misure più specifiche e stringenti. A tal fine, gli articoli da 4 a 12 intervengono sui vari titoli del Codice, adeguando la relativa disciplina alle disposizioni del Regolamento e alle modifiche apportate dallo schema alla prima parte del Codice. Si tratta in particolare dei trattamenti: per fini di sicurezza nazionale o difesa (articolo 4 dello schema);  in ambito pubblico (articolo 5 dello schema); in ambito sanitario (articolo 6 dello schema); per finalità di istruzione (articolo 7); a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (articolo 8) nell'ambito del rapporto di lavoro (articolo 9) relativi alla banca dati dei sinistri (articolo 10); relativi alle comunicazioni elettroniche (articolo 11); nell'ambito dell'attività giornalistica e della manifestazione del pensiero (articolo 12).

 

Significative modifiche intervengono sulla Parte III del Codice della privacy, relativa alla tutela (amministrativa e giurisdizionale) dell'interessato, quella relativa al Garante nonché la disciplina sanzionatoria per le violazioni della normativa in materia di dati personali (articoli da 13 a 16).

In particolare:

  • con riguardo alla tutela dei diritti, l'interessato può proporre reclamo al Garante oppure ricorrere al giudice (articolo 13)
  • si interviene inoltre sulla disciplina dell'autorità Garante, con riferimento tanto ai suoi compiti e poteri – in gran parte direttamente determinati dal Regolamento - quanto all'Ufficio del Garante, ovvero il supporto amministrativo che coadiuva l'autorità di controllo nell'esercizio delle sue funzioni e al trattamento economico del personale che viene equiparato a quello del personale dell'Autorità per le garanzie nelle comunicazioni – AGCOM (articolo 14):
  • il nuovo quadro sanzionatorio amministrativo è previsto dal Regolamento UE, le cui disposizioni sono direttamente applicabili. Peraltro, lo stesso Regolamento impone agli Stati membri di stabilire le norme relative alle altre sanzioni in caso di violazione di disposizioni diverse da quelle già sanzionate dal Regolamento garantendo, anche in questo caso, che le sanzioni siano effettive, proporzionate e dissuasive. A tal fine provvede l'articolo 15 dello schema che, ferme le sanzioni del Regolamento, prevede all'art. 166 del Codice l'applicazione delle suddette sanzioni anche a una serie di violazioni delle disposizioni del Codice stesso. L'entità delle sanzioni amministrative, fissate solo nel limite massimo, appare particolarmente elevata (nei casi meno gravi è individuato in 10 milioni di euro e nei più gravi in 20 milioni di euro. Per le imprese il regolamento prevede sanzioni fino al 2% - 4% nei casi più gravi – del fatturato). Si tratta, dunque, di un quadro sanzionatorio potenzialmente molto più severorispetto all'attuale; tali sanzioni, peraltro, non sono modificabili dal provvedimento in esame
  • per quanto riguarda gli illeciti penali, il regolamento non interviene ma consente agli Stati di introdurre "altre sanzioni". Questo giustifica l'intervento dell'articolo 15 della riforma sul quadro sanzionatorio penale, attraverso la modifica di alcuni illeciti vigenti e l'introduzione di nuovi: oltre all'integrazione della fattispecie di trattamento illecito di dati (art. 167), vengono introdotti i reati di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone (art. 167-bis) e di acquisizione fraudolenta di dati personali (art. 167-ter).  La condotta penalmente rilevante potrebbe integrare anche gli estremi di un illecito amministrativo; a tal fine la riforma  prevede che se per uno stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria, la pena – all'esito della condanna penale – sia diminuita (art. 167, comma 6). Peraltro, essendo l'impianto sanzionatorio del Regolamento improntato esclusivamente su sanzioni amministrative, ne deriva che per le condotte qualificate dal regolamento come illeciti amministrativi, l'ordinamento nazionale non può prevedere sanzioni penali. Ciò comporta la necessaria depenalizzazione (attraverso l'abrogazione) degli articoli 169 e 170 del Codice relativi, rispettivamente, alla violazione delle misure minime di sicurezza e all'inosservanza dei provvedimenti del Garante.

 

Ulteriori disposizioni  (articoli da 17 a 27 dello schema) non novellano il Codice della privacy ma:

  • modificano alcuni profili del rito civile applicabile alle controversie in materia di protezione dei dati;
  • dettano disposizioni transitorie in relazione, in particolare, ai procedimenti sanzionatori amministrativi in corso alla data di entrata in vigore della riforma, alla definizione dei reclami, delle segnalazioni e dei ricorsi già pendenti davanti al Garante, ai vigenti codici di deontologia e di buona condotta, all'efficacia delle attuali autorizzazioni generali del Garante;
  • dettano disposizioni di coordinamento della legislazione vigente  e di quella in corso di emanazione.
  • dettano la disciplina transitoria relativa alla depenalizzazione delle violazioni del Codice che, attualmente sanzionate a titolo di illecito penale, sono con la riforma ricondotte alle sanzioni amministrative previste dal Regolamento;
  • recano la copertura finanziaria della riforma;
  • abrogano le disposizioni del Codice della privacy incompatibili con il regolamento e la riforma.
ULTIMO AGGIORNAMENTO: 8 GIUGNO 2018

La Direttiva 2016/680, che regola il trattamento dei dati personali per finalità di prevenzione e repressione di reati, esecuzione di sanzioni penali, salvaguardia contro le minacce alla sicurezza pubblica e prevenzione delle stesse, da parte sia dell'autorità giudiziaria, sia delle forze di polizia, è stata recepita nell'ordinamento interno con il decreto legislativo n. 51 del 2018 (attuativo della delega contenuta negli artt. 1 e 11 della legge n. 163 del 2017, legge di delegazione europea 2016-2017).

Il D.lgs. n. 51 del 2018 è un testo unitario, dedicato alla complessiva disciplina del trattamento di dati personali in ambito penale, e contiene principi generali di regolamentazione della materia e disposizioni di dettaglio nei vari settori in cui si può articolare il trattamento dei dati personali. La nuova normativa supera e sostituisce in gran parte quella attualmente contemplata nei titoli primo e secondo della parte seconda del Codice sul trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, dedicate a specifici settori, in particolare quello giudiziario e quello dei trattamenti da parte delle forze di polizia.

In particolare, il testo prescrive che i dati siano conservati per il tempo necessario al conseguimento delle finalità per le quali sono trattati, sottoposti a esame periodico per verificarne la persistente necessità di conservazione e cancellati o anonimizzati una volta decorso tale termine e introduce una nuova disciplina riguardo alla differenziazione tra categorie di dati e di interessati, in ragione della loro specifica posizione processuale.

Inoltre, riguardo ai diritti dell'interessato (ricezione di informazioni, accesso, rettifica, cancellazione, limitazione del trattamento), il testo prevede che rispetto ai dati personali contenuti in una decisione giudiziaria, in atti o documenti oggetto di trattamento nel corso di accertamenti o indagini, nel casellario giudiziale o in un fascicolo oggetto di trattamento nel corso di un procedimento penale o in fase di esecuzione penale, l'esercizio di tali diritti è regolato dalle disposizioni normative che disciplinano tali atti e procedimenti. In ambito giudiziario, la tutela degli interessati è quindi assicurata, per le parti, dalle garanzie che riconoscono i diritti di difesa all'interno del procedimento penale, anche con riguardo ai dati personali necessariamente oggetto di trattamento, assicurando quindi la possibilità di limitare l'esercizio dei diritti dell'interessato, conformemente alle esigenze di prevenzione, di indagine e processuali. Per garantire i diritti in ambito giudiziario anche con riferimento ai terzi, si è previsto uno speciale procedimento attraverso il quale qualsiasi interessato, durante il procedimento penale o dopo la sua definizione, può chiedere la rettifica, la cancellazione o la limitazione dei dati personali che lo riguardano.

In materia di sicurezza del trattamento, si prevede come obbligatoria anche per l'autorità giudiziaria la nomina del responsabile della protezione dati, in ragione dell'ausilio che tale figura può fornire nella gestione di trattamenti complessi e spesso inerenti dati sensibili, quali appunto quelli svolti in sede giurisdizionale. Per quanto riguarda i trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, si stabilisce che esso sia consentito solo nei confronti delle autorità competenti e per le finalità di pubblica sicurezza oggetto della direttiva e in presenza di specifiche condizioni, tra cui l'adozione, da parte della Commissione dell'Unione europea, di una decisione di adeguatezza o, in mancanza, vi siano garanzie adeguate.

Il decreto individua nel Garante nazionale l'autorità deputata a vigilare sul rispetto delle norme, in funzione della tutela dei diritti e delle libertà fondamentali delle persone fisiche, coinvolte dalle attività di trattamento di dati personali, escludendo il potere di controllo del Garante in ordine al trattamento svolto dall'autorità giudiziaria nell'esercizio delle funzioni giurisdizionali, comprese quelle del pubblico ministero. Infine, per quanto riguarda la violazione delle nuove norme, il testo prevede sanzioni amministrative (che nei casi più gravi possono estendersi da 50.000 a 150.000 euro) per le violazioni inerenti alle modalità del trattamento e introduce sanzioni penali per il trattamento operato con finalità illegittime. Con riguardo a queste ultime è punito, salvo che il fatto non costituisca più grave reato, il  trattamento illecito di dati finalizzato al profitto o al danno a terzi con la reclusione da 6 a 18 mesi o - in caso di diffusione dei dati - da 6 a 24 mesi. Inoltre, sempre che il fatto non costituisca più gravo reato, è punito con la reclusione da uno a tre anni chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della specifica normativa su particolari categorie di dati (i c.d. dati sensibili) o in violazione del divieto di profilazione finalizzata alla discriminazione di persone fisiche sulla base delle suddette categorie particolari di dati personali, se dal fatto deriva nocumento. Inoltre si punisce la falsità nelle dichiarazioni e notificazioni al Garante, riproducendo anche nelle sanzioni (reclusione da 6 mesi a 3 anni) Anche in questo caso si tratta di un reato comune potendo essere commesso da chiunque ma non è richiesto alcun dolo specifico essendo sufficiente la coscienza e la volontà di dichiarare o attestare falsamente notizie o circostanze o produrre atti o documenti falsi. Il novero delle condotte per cui è configurabile questo reato, pertanto, è assai ampio includendovi tutte quelle condotte che possono influire l'attività del Garante attraverso la comunicazione di notizie o circostanze non vere. Infine è sanzionata l'inosservanza del blocco o del divieto del trattamentodisposto dal Garante (reclusione da 3 mesi a 2 anni). 

 

PRODOTTI CORRELATI

 


pin it

fbq('track', 'AddToCart')