Archivio rubriche 2019

Garante per la protezione dei dati personali (3/2019)

Aggiornato al 30/9/2019

Rubrica a cura di Giovanna De Minico

Scheda di Miriam Viggiano

Nel periodo di riferimento considerato (Aprile 2019-Settembre 2019) si registrano due provvedimenti di carattere generale del Garante per la protezione dei dati personali (di seguito ‘Garante’)[1].

Nell’economia delle presenti note, la cui funzione è dare conto dell’attività svolta dalla predetta Autorità di protezione dei dati nel periodo considerato, si descrivono in ordine cronologico i principali contenuti dei predetti provvedimenti, rinviando – anche considerando la particolare complessità degli argomenti affrontati – al testo integrale e ai riferimenti normativi ivi presenti, per i dovuti ulteriori approfondimenti.

 

1) Provvedimento in materia di propaganda elettorale e comunicazione politica[2].

Si tratta di un provvedimento con il quale il Garante interviene in relazione alle «iniziative di propaganda elettorale e di comunicazione politica, collegate a consultazioni elettorali o referendarie o alla selezione di candidati alle elezioni», invitando «tutti i soggetti, a vario titolo coinvolti nel contesto delle elezioni e delle campagne politiche, alla puntuale osservanza dei principi vigenti in materia di protezione dei dati [evidenziando] la necessità di garantire agli interessati l’esercizio dei propri diritti» (artt. 5; 15-22, del Regolamento UE 679/2016-Regolamento Generale sulla Protezione dei Dati, di seguito RGPD).

Nello specifico, sono sottolineati «i presupposti di liceità del trattamento dei dati nell’ambito dell’attività elettorale (consenso, legittimo interesse e altri presupposti)».

In particolare, è previsto che per il trattamento di dati per finalità di propaganda elettorale e connessa comunicazione politica è, in generale, necessario acquisire il consenso dell’interessato.

Fanno eccezione a tale regola i casi in cui il trattamento dei predetti dati personali «è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato (art. 6, par. 1, lett. f), [del RGPD])».

Al riguardo, nel provvedimento è precisato che si fa riferimento a quelle ipotesi in cui i dati sono «provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque […], nonché quelli effettuati da associazioni, enti, organismi senza scopo di lucro in riferimento agli aderenti e ai soggetti che hanno con essi contatti regolari nell’ambito delle legittime finalità come individuate nello statuto o nell’atto costitutivo».

Non sono in ogni caso utilizzabili a scopo di propaganda elettorale; dati personali raccolti o utilizzati «per lo svolgimento di attività istituzionali» (come, ad esempio, quelli contenuti nell’anagrafe della popolazione residente; negli archivi dello stato civile; negli elenchi di iscritti ad albi e collegi professionali; nell´Indice nazionale dei domicili digitali delle imprese e dei professionisti e nell’Indice nazionale dei domicili digitali delle persone fisiche e degli altri enti di diritto privato, ecc.); «Dati raccolti da titolari di cariche elettive e di altre funzioni pubbliche» (ad esempio quelli ottenuti tramite accesso agli atti da parte dei consiglieri comunali e provinciali ai sensi dell’art. 43, comma 2, del d. lgs. 18 agosto 2000, n. 267); «Dati raccolti nell’esercizio di attività professionali, di impresa e di cura»; «Dati contenuti negli elenchi telefonici»; «Dati reperiti sul web» (ad esempio quelli raccolti automaticamente «tramite appositi software (v. c.d. web or data scraping)»; «liste di abbonati ad un provider»; «dati consultabili in Internet solo per le finalità di applicazione della disciplina sulla registrazione dei nomi a dominio»; «dati pubblicati dagli interessati sui social network», ecc.).

Resta fermo l’obbligo di fornire l’informatica «in merito alle caratteristiche del trattamento ai sensi dell’art. 13, del RGPD e di assicurare l’esercizio dei diritti dell’interessato di cui agli artt. 15 ss. del RGPD, rivolgendosi al titolare del trattamento.

Il Garante evidenzia, infine, che in caso di violazione della disciplina richiamata «trova applicazione il quadro sanzionatorio previsto dall’art. 83 del [RGPD], ove sono ricomprese sanzioni amministrative pecuniarie, in ipotesi, fino a 20 milioni di euro».

2) Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101[3].

Si tratta di un provvedimento con il quale il Garante dà attuazione all’art. 21 del d.lgs. n. 101 del 10/8/2018, ai sensi del quale lo stesso ha il «compito di individuare, con proprio provvedimento di carattere generale, le prescrizioni contenute nelle autorizzazioni generali già adottate», che risultano ancora compatibili il nuovo quadro normativo in materia di protezione dei dati personali (RGPD e d. lgs. n. 196 del 30/6/2003-Codice in materia di protezione dei dati personali, di seguito “Codice privacy), provvedendo, quindi al relativo aggiornamento.

In tal senso, l’Autorità di protezione dei dati è intervenuta in relazione alle prescrizioni relative al trattamento di «categorie particolari di dati personali»[4]: nei rapporti di lavoro (aut. gen. n. 1/2016); nel caso di organismi di tipo associativo, fondazioni, chiese e associazioni o comunità religiose (aut. gen. n. 3/2016); nel caso di investigatori privati (aut. gen. n. 6/2016); in relazione al trattamento dei dati genetici (aut. gen. n. 8/2016) e dei dati per scopi di ricerca scientifica (aut. gen. n. 9/2016).

Le predette prescrizioni produrranno effetti «fino all’adozione, per le parti di pertinenza, delle regole deontologiche e delle misure di garanzia di cui agli artt. 2-quater e 2-septies» del Codice privacy.

Per le singole fattispecie il Garante ha precisato l’ambito di applicazione, i soggetti interessati, finalità e modalità del trattamento, fornendo specifiche prescrizioni per le diverse categorie di dati affinché i singoli trattamenti effettuati possano ritenersi conformi alla disciplina in materia di protezione dei dati personali.

 

[1] Sulla portata giuridica di provvedimenti prescrittivi di carattere generale approvati dal Garante privacy, si rinvia alle considerazioni già svolte, e alla bibliografia ivi citata, in M. Viggiano, Osservatorio Garante per la protezione dei dati personali (fasc. 1/2014), in www.osservatoriosullefonti.it, Archivio rubriche 2014, Garante privacy (url: https://www.osservatoriosullefonti.it/archivio-rubriche-2014/agcm-agcom-avcp-garante-privacy/976-garante-per-la-protezione-dei-dati-personali-12014).

[2] Provv. n. 96 del 18 aprile 2019, in G.U. n. 105 del 7 maggio 2019 e in www.gpdp.it, doc. web n. 9105201.

[3] Provv. n. 146 del 5 giugno 2019, in G.U. n. 176 del 29 luglio 2019 e in www.gpdp.it, doc. web n. 9069653.

[4] Come noto, si tratta dei dati personali che rivelano «l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, […] dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona» (art. 9, par. 1, RGPD).

Osservatorio sulle fonti

Rivista telematica registrata presso il Tribunale di Firenze (decreto n. 5626 del 24 dicembre 2007). ISSN 2038-5633.

L’Osservatorio sulle fonti è stato riconosciuto dall’ANVUR come rivista scientifica e collocato in Classe A.

Contatti

Per qualunque domanda o informazione, puoi utilizzare il nostro form di contatto, oppure scrivici a uno di questi indirizzi email:

Direzione scientifica: direzione@osservatoriosullefonti.it
Redazione: redazione@osservatoriosullefonti.it

Il nostro staff ti risponderà quanto prima.

© 2017 Osservatoriosullefonti.it. Registrazione presso il Tribunale di Firenze n. 5626 del 24 dicembre 2007 - ISSN 2038-5633