I principi generali del trattamento dei dati personali PDF

Summary

This document provides an overview of the general principles of data processing. It covers topics such as the accountability principle, the lawfulness of data processing, and the treatment of data in the public domain. The document is part of a larger course or study.

Full Transcript

Corso Diritto delle tecnologie cloud
Docenti Proff. Salvatore Sica - Giorgio Giannone Codiglione
Argomento I principi generali del tra9amento dei da; personali
I principi generali del trattamento dei dati personali 1 di 34
 Secondo i principi generali del GDPR (art. 5), i da;
personali devono essere:
a) tra9a; in modo lecito, corre9o e trasparente;
b) raccol; per finalità determinate, esplicite e legiGme e
tra9a; in maniera compa;bile con queste ul;me;
c) adegua; ed esaG;
d) conserva; in modo tale da rendere iden;ficabile
l’interessato solo per il lasso di tempo necessario ai
fini del perseguimento delle finalità, ecce9o nelle
ipotesi di conservazione per interesse pubblico,
scien;fico, storico o sta;s;co;
e) tra9a; in maniera sicura.

I principi generali del trattamento dei dati personali 2 di 34
 La c.d. Accountability (Responsabilizzazione)
del 3tolare o del responsabile del tra6amento

Il titolare del trattamento è chiamato a dare prova in ogni momento dell’adempimento di tali obblighi, in virtù
del principio di responsabilizzazione o accountability.
La responsabilizzazione richiede l’adozione attiva di misure da parte dei titolari del trattamento dei dati per
la promozione e la salvaguardia della protezione dei dati nel corso delle loro attività di trattamento.
Esempi di tali nuove misure sono:
1) L’obbligo di tenuta del registro dei trattamenti (+ 250 dipendenti, trattamenti rischiosi per i diritti e la libertà
dell’interessato, non occasionale e avente come oggetto particolari tipologie di dati);
2) Obbligo di designazione del Responsabile della protezione dei dati personali (v. infra).
I titolari del trattamento sono responsabili per e devono essere in grado di provare in ogni momento
l’osservanza dei principi in materia di protezione dei dati alle persone interessate, al pubblico in generale e
alle autorità di controllo.
Il GDPR stabilisce inoltre nuovi obblighi in termini di responsabilizzazione che richiedono altresì l’adozione di
nuove significative misure di carattere tecnico e organizzativo per dimostrare il rispetto del GDPR.

I principi generali del trattamento dei dati personali 3 di 34
 Il principio del tra2amento lecito
Nella normativa in materia di protezione dei dati nell’ambito dell’UE e del CoE, il principio del
trattamento lecito è il primo principio a essere nominato; esso è espresso in modo pressoché
identico nell’articolo 5 della Convenzione n. 108 del CoE e nell’articolo 5 del GDPR.
Non esiste una definizione precisa di cosa si intenda per trattamento lecito e, per determinarlo,
occorre fare riferimento alle ingerenze ammissibili ai sensi dell’articolo 8, paragrafo2 della CEDU,
per come interpretate nella giurisprudenza della Corte EDU, e alle condizioni per le limitazioni
legittime ai sensi dell’articolo 52 della Carta dei diritti fondamentali dell’UE.
In base all’articolo 52, paragrafo 1, il trattamento dei dati personali è ammissibile solo se:
è previsto dalla legge
rispetta il contenuto essenziale del diritto alla protezione dei dati
è necessario, nel rispetto del principio di proporzionalità
risponde effettivamente a finalità di interesse generale riconosciute dall’Unione o
all’esigenza di proteggere i diritti e le libertà altrui.

I principi generali del trattamento dei dati personali 4 di 34
 I motivi di liceità del trattamento possono derivare, oltre
che:
a1) dall’integrità e validità del consenso prestato
dall’interessato,
anche da altri fattori, quali:
a2) l’esecuzione di un contratto in cui una delle parti
coincide con l’interessato;
a3) l’adempimento di un obbligo legale da parte del titolare
o il perseguimento di un legittimo interesse del titolare
o di un terzo, a patto che esso non prevalga sulle
prerogative dell’interessato;
a4) l’esecuzione di un compito di interesse pubblico o,
ancora, la salvaguardia degli interessi vitali
dell’interessato o dei consociati.

I principi generali del trattamento dei dati personali 5 di 34
 Il tra'amento dei da. personali in ambito pubblico

I principi generali del trattamento dei dati personali 6 di 34
 Ai sensi dell’art. 6, par. 1, lett. c) GDPR, il trattamento dei dati è lecito ove necessario per
adempiere un obbligo legale o eseguire un compito di interesse pubblico o connesso
all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.
Considerando n. 45: È opportuno che il trattamento effettuato in conformità a un obbligo legale al quale il titolare del
trattamento è soggetto o necessario per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici
poteri sia basato sul diritto dell'Unione o di uno Stato membro. Il presente regolamento non impone che vi sia un atto legislativo
specifico per ogni singolo trattamento. Un atto legislativo può essere sufficiente come base per più trattamenti effettuati
conformemente a un obbligo legale cui è soggetto il titolare del trattamento o se il trattamento è necessario per l'esecuzione di
un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri. Dovrebbe altresì spettare al diritto dell'Unione o
degli Stati membri stabilire la finalità del trattamento. Inoltre, tale atto legislativo potrebbe precisare le condizioni generali del
presente regolamento che presiedono alla liceità del trattamento dei dati personali, prevedere le specificazioni per stabilire il
titolare del trattamento, il tipo di dati personali oggetto del trattamento, gli interessati, i soggetti cui possono essere comunicati
i dati personali, le limitazioni della finalità, il periodo di conservazione e altre misure per garantire un trattamento lecito e
corretto. Dovrebbe altresì spettare al diritto dell'Unione o degli Stati membri stabilire se il titolare del trattamento che esegue un
compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri debba essere una pubblica autorità o altra persona fisica
o giuridica di diritto pubblico o, qualora sia nel pubblico interesse, anche per finalità inerenti alla salute, quali la sanità pubblica e
la protezione sociale e la gestione dei servizi di assistenza sanitaria, di diritto privato, quale un'associazione professionale.

I principi generali del trattamento dei dati personali 7 di 34
 Ai sensi dell’art. 6, par. 3 GDPR la base su cui si fonda il trattamento dei dati di cui al paragrafo 1, lettere c)
ed e), deve essere stabilita: a) dal diritto dell'Unione; o b) dal diritto dello Stato membro cui è soggetto
il titolare del trattamento.

La finalità del trattamento è determinata in tale base giuridica o, per quanto riguarda il trattamento di cui
al paragrafo 1, lettera e), è necessaria per l'esecuzione di un compito svolto nel pubblico interesse o
connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Tale base giuridica potrebbe contenere disposizioni specifiche per adeguare l'applicazione delle norme
del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del
titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui
possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della
finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte
a garantire un trattamento lecito e corretto, quali quelle per altre specifiche situazioni di trattamento di
cui al capo IX.Il diritto dell'Unione o degli Stati membri persegue un obiettivo di interesse pubblico ed è
proporzionato all'obiettivo legittimo perseguito.

I principi generali del trattamento dei dati personali 8 di 34
 Art. 2-ter d. lgs. 196/2003 (c.d. Codice privacy)
(Base giuridica per il tra6amento di da3 personali effe6uato per l'esecuzione di un compito di interesse
pubblico o connesso all'esercizio di pubblici poteri)

1. La base giuridica prevista dall'arNcolo 6, paragrafo 3, leOera b), del regolamento è cosNtuita
esclusivamente da una norma di legge o, nei casi previs3 dalla legge, di regolamento.

2. La comunicazione fra Ntolari che effeOuano traOamenN di daN personali, diversi da quelli ricompresi
nelle par3colari categorie di cui all'ar3colo 9 del Regolamento e di quelli rela3vi a condanne penali e
rea3 di cui all'ar3colo 10 del Regolamento, per l'esecuzione di un compito di interesse pubblico o
connesso all'esercizio di pubblici poteri è ammessa se prevista ai sensi del comma 1. In mancanza di tale
norma, la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di compi3 di
interesse pubblico e lo svolgimento di funzioni is3tuzionali e può essere iniziata se è decorso il termine
di quarantacinque giorni dalla rela3va comunicazione al Garante, senza che lo stesso abbia ado6ato
una diversa determinazione delle misure da ado6arsi a garanzia degli interessa3.

I principi generali del trattamento dei dati personali 9 di 34
3. La diffusione e la comunicazione di daN personali, traOaN per l'esecuzione di un compito di interesse
pubblico o connesso all'esercizio di pubblici poteri, a soggeU che intendono tra6arli per altre finalità sono
ammesse unicamente se previste ai sensi del comma 1.

a) "comunicazione", il dare conoscenza dei daN personali a uno o più soggeS determina3 diversi
dall'interessato, dal rappresentante del Ntolare nel territorio dell'Unione europea, dal responsabile o dal
suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'arNcolo 2-
quaterdecies, al traOamento dei daN personali soOo l'autorità direOa del Ntolare o del responsabile, in
qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante
interconnessione;

b) "diffusione", il dare conoscenza dei daN personali a soggeU indetermina3, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione.

N.B.: la comunicazione di daN sulla salute, biometrici e geneNci è vietata (art. 2-sep,es, comma 8, del
Codice)

I principi generali del trattamento dei dati personali 10 di 34
 Ar>colo 9
TraAamento di categorie par>colari di da> personali

1. È vietato traNare daO personali che rivelino l'origine razziale o etnica, le opinioni poliOche, le convinzioni religiose
o filosofiche, o l'appartenenza sindacale, nonché traNare daO geneOci, daO biometrici intesi a idenOficare in modo
univoco una persona fisica, daO relaOvi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
(…)

Art. 2-sexies Codice privacy
(TraAamento di categorie par>colari di da> personali necessario per mo>vi di interesse pubblico rilevante)

1. I traNamenO delle categorie parOcolari di daO personali di cui all'arOcolo 9, paragrafo 1, del Regolamento,
necessari per mo>vi di interesse pubblico rilevante ai sensi del paragrafo 2, leNera g), del medesimo arOcolo,
sono ammessi qualora siano previs> dal diriAo dell'Unione europea ovvero, nell'ordinamento interno, da
disposizioni di legge o, nei casi previs> dalla legge, di regolamento che specifichino i >pi di da> che possono
essere traAa>, le operazioni eseguibili e il mo>vo di interesse pubblico rilevante, nonché le misure appropriate
e specifiche per tutelare i diriN fondamentali e gli interessi dell'interessato.

I principi generali del trattamento dei dati personali 11 di 34
(…) si considera rilevante l'interesse pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o
connessi all'esercizio di pubblici poteri nelle seguenti materie:

a) accesso a documenti amministrativi e accesso civico;
b) tenuta atti e registri dello stato civile, anagrafi, liste elettorali, rilascio di documenti di riconoscimento o di viaggio o cambiamento
delle generalità;
c) registri pubblici relativi a beni immobili o mobili;
d) anagrafe nazionale degli abilitati alla guida e dell'archivio nazionale dei veicoli;
e) cittadinanza, immigrazione, asilo, condizione dello straniero e del profugo, stato di rifugiato;
f) elettorato attivo e passivo ed esercizio di altri diritti politici, protezione diplomatica e consolare, documentazione attività
istituzionali di organi pubblici, (redazione di verbali e resoconti assemblee rappresentative, commissioni e altri organi collegiali o
assembleari);
g) esercizio del mandato degli organi rappresentativi (sospensione, scioglimento, accertamento delle cause di ineleggibilità,
incompatibilità o di decadenza, ovvero di rimozione o sospensione da cariche pubbliche);
h) funzioni di controllo, indirizzo politico, inchiesta parlamentare o sindacato ispettivo, accesso a documenti riconosciuto dalla legge
e dai regolamenti degli organi interessati per esclusive finalità direttamente connesse all'espletamento di un mandato elettivo;
i) attività dei soggetti pubblici dirette all'applicazione, anche tramite i loro concessionari, delle disposizioni in materia tributaria e
doganale;
l) attività di controllo e ispettive;

I principi generali del trattamento dei dati personali 12 di 34
(…) m) concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni, elargizioni, altri emolumenti e abilitazioni;
n) conferimento di onorificenze e ricompense, riconoscimento della personalità giuridica di associazioni, fondazioni ed enti, anche di culto,
accertamento dei requisiti di onorabilità e di professionalità per le nomine, per i profili di competenza del soggetto pubblico, ad uffici anche di
culto e a cariche direttive di persone giuridiche, imprese e di istituzioni scolastiche non statali, nonchè rilascio e revoca di autorizzazioni o
abilitazioni, concessione di patrocini, patronati e premi di rappresentanza, adesione a comitati d'onore e ammissione a cerimonie ed incontri
istituzionali;
o) rapporti tra i soggetti pubblici e gli enti del terzo settore;
p) obiezione di coscienza;
q) attività sanzionatorie e di tutela in sede amministrativa o giudiziaria;
r) rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose;
s) attività socio-assistenziali a tutela dei minori e soggetti bisognosi, non autosufficienti e incapaci;
t) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, i trapianti d'organo e di tessuti e
trasfusioni di sangue umano;
u) servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della
popolazione, protezione civile, salvaguardia della vita e incolumità fisica;
v) programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, instaurazione, gestione, pianificazione e controllo dei rapporti tra
l'amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale;
z) vigilanza sulle sperimentazioni, farmacovigilanza, autorizzazione all'immissione in commercio e all'importazione di medicinali e di altri prodotti
di rilevanza sanitaria;

I principi generali del trattamento dei dati personali 13 di 34
(…) aa) tutela sociale della maternità ed interruzione volontaria della gravidanza, dipendenze, assistenza,
integrazione sociale e diriV dei disabili;
bb) istruzione e formazione in ambito scolasOco, professionale, superiore o universitario;
cc) traNamenO effeNuaO a fini di archiviazione nel pubblico interesse o di ricerca storica, concernenO la
conservazione, l'ordinamento e la comunicazione dei documenO detenuO negli archivi di Stato negli archivi storici
degli enO pubblici, o in archivi privaO dichiaraO di interesse storico parOcolarmente importante, per fini di ricerca
scienOfica, nonché per fini staOsOci da parte di soggeV che fanno parte del sistema staOsOco nazionale (Sistan);
dd) instaurazione, gesOone ed esOnzione, di rapporO di lavoro di qualunque Opo, anche non retribuito o onorario, e
di altre forme di impiego, materia sindacale, occupazione e collocamento obbligatorio, previdenza e assistenza,
tutela delle minoranze e pari opportunità nell'ambito dei rapporO di lavoro, adempimento degli obblighi retribuOvi,
fiscali e contabili, igiene e sicurezza del lavoro o di sicurezza o salute della popolazione, accertamento della
responsabilità civile, disciplinare e contabile, aVvita' ispeVva.

N.B.: il Codice recepisce le indicazioni del GDPR introducendo disposizioni specifiche per i da> gene>ci, biometrici
e rela>vi alla salute (art. 2-sep&es); da> giudiziari (art. 2-oc&es).

I principi generali del trattamento dei dati personali 14 di 34
 Il consenso al tra2amento dei da; personali
Ai sensi dell’art. 7 del GDPR, il Otolare del traNamento deve essere in grado di dimostrare che l'interessato
ha prestato il proprio consenso al traAamento dei da> personali. Nel caso di dichiarazione scriNa, il
consenso deve essere disOnto chiaramente dalle eventuali altre dichiarazioni rese dall’interessato, in forma
comprensibile e facilmente accessibile, con un linguaggio semplice e chiaro. L'interessato può revocare il
proprio consenso in qualsiasi momento.
Un’importante novità normaOva è poi prevista dall’art. 8: nel caso di offerta direAa ai minori di servizi on
line (ad es. social network), il traNamento di daO personali del minore è lecito soltanto se il minore ha
compiuto 16 anni (il GDPR autorizza gli StaO membri a stabilire per legge un'età ancora inferiore, sino a un
limite di 13 anni). In caso di minore di sedici anni, il traNamento è comunque lecito se il consenso è
prestato o autorizzato dal >tolare della responsabilità genitoriale.
Sulla falsariga dell’esperienza statunitense del Children Online Privacy Protec5on Act entrato in vigore nel
2000, l’art. 8, par. 2 del GDPR obbliga i Otolari/gestori di siO e piaNaforme on line accessibili ai minori a
predisporre sistemi di verifica della genuinità del consenso o dell’autorizzazione del genitore “in
considerazione delle tecnologie disponibili”, ad esempio basaO sull’idenOficazione dei traV somaOci
associata alla leNura dei documenO rilasciaO dagli enO governaOvi (Carta d'idenOtà eleNronica).

I principi generali del trattamento dei dati personali 15 di 34
 Considerando n. 43: è opportuno che il consenso non
cosNtuisca un valido fondamento giuridico per il
traOamento dei daN personali in un caso specifico,
qualora esista un evidente squilibrio tra l'interessato e il
Ntolare del traOamento, specie quando il Ntolare del
traOamento è un'autorità pubblica e ciò rende pertanto
improbabile che il consenso sia stato prestato
liberamente in tuOe le circostanze di tale situazione
specifica. Si presume che il consenso non sia stato
liberamente prestato se non è possibile prestare un
consenso separato a dis3n3 tra6amen3 di da3
personali, nonostante sia appropriato nel singolo caso, o
se l'esecuzione di un contra6o, compresa la prestazione
di un servizio, è subordinata al consenso sebbene esso
non sia necessario per tale esecuzione.

I principi generali del trattamento dei dati personali 16 di 34
 Il principio di tra2amento corre2o e trasparente dei da; personali
TraAamento correAo significa trasparenza del traNamento e ragioni legiVme per la raccolta e l’uOlizzo dei
daO, specialmente in rapporto alle persone interessate. Questo significa che non ci devono essere
conseguenze negaOve ingiusOficate per gli individui coinvolO.
I Otolari del traNamento dei daO devono informare le persone interessate prima di traNare i loro daO,
quantomeno con riferimento alla finalità del traNamento e all’idenOtà e all’indirizzo del Otolare del
traNamento.
A meno che ciò non sia specificatamente autorizzato dalla legge, il traNamento dei daO non può essere
coperto da segreto.
Nel sistema europeo, la persona interessata ha il diriNo di accedere ai propri daO ogni qualvolta siano
elaboraO.
Il principio di trasparenza disciplina, in parOcolare, il rapporto tra il Otolare del traNamento dei daO e la
persona interessata. Le aVvità di traNamento devono essere spiegate alle persone interessate in una
maniera facilmente accessibile che assicuri la piena comprensione di cosa accadrà ai loro daO. Clicca qui per
maggiori deNagli.

I principi generali del trattamento dei dati personali 17 di 34
 Nel caso K.H. et al. c. Slovacchia, i ricorrenti erano otto donne di origine etnica Rom che
erano state curate in due ospedali in Slovacchia durante la gravidanza e il parto.
Successivamente, nessuna di loro era stata in grado di concepire altri figli nonostante i
ripetuti tentativi. I tribunali nazionali avevano ordinato agli ospedali di permettere alle
ricorrenti e ai loro avvocati di consultare e trascrivere manualmente estratti della
documentazione medica ma avevano rigettato la loro richiesta di fotocopiare i documenti
apparentemente per prevenirne l’abuso.

I principi generali del trattamento dei dati personali 18 di 34
 Gli obblighi positivi in capo allo Stato ai sensi dell’articolo 8 della CEDU includevano necessariamente
l’obbligo di mettere a disposizione delle persone interessate copie delle loro cartelle. Spettava allo
Stato determinare le modalità per copiare i dossier contenenti i dati personali, o, ove appropriato,
dimostrare l’esistenza di ragioni convincenti per rifiutarsi di fare ciò. I tribunali nazionali giustificavano
il divieto di fotocopiare la documentazione medica sulla base dell’esigenza di salvaguardare le
informazioni rilevanti da possibili abusi.
Tuttavia, la Corte EDU non era persuasa di come le ricorrenti, alle quali era stato in ogni caso garantito
pieno accesso alle proprie cartelle cliniche, avrebbero potuto abusare delle informazioni che le
riguardavano. Lo Stato non era riuscito a dimostrare l’esistenza di motivazioni sufficientemente
convincenti per negare alle ricorrenti l’accesso effettivo alle informazioni concernenti il loro stato di
salute. La Corte EDU riscontrava una violazione dell’articolo 8.

I principi generali del trattamento dei dati personali 19 di 34
 Nel GDPR, i principi di correBezza e trasparenza del tra9amento
(art. 5 GDPR) trovano compiuta espressione nel rapporto
sussistente tra l’eventuale consenso dell’interessato (o altra
causa di liceità del tra9amento) e l’obbligo d’informazione posto
in capo al ;tolare.
L’art. 12 del GDPR obbliga il ;tolare ad ado9are misure
appropriate al fine di fornire all'interessato tuBe le informazioni
relaDve al traBamento. Le informa;ve devono essere rese in
forma concisa, trasparente, intelligibile e facilmente accessibile,
con un linguaggio semplice e chiaro, per iscri9o o con mezzi
ele9ronici.
I successivi ar9. 13 e 14 del GDPR introducono dei requisi;
obbligatori delle informa;ve nei casi in cui i da; personali
vengano raccol; o meno presso l'interessato.

I principi generali del trattamento dei dati personali 20 di 34
 L'interessato dovrebbe ricevere le informazioni relative al
trattamento di dati personali che lo riguardano al
momento della raccolta presso l'interessato o, se i dati
sono ottenuti da altra fonte, entro un termine
ragionevole, in funzione delle circostanze del caso.
Se i dati personali possono essere legittimamente
comunicati a un altro destinatario, l'interessato dovrebbe
esserne informato nel momento in cui il destinatario
riceve la prima comunicazione dei dati personali.
Il titolare del trattamento, qualora intenda trattare i dati
personali per una finalità diversa da quella per cui essi
sono stati raccolti, dovrebbe fornire all'interessato, prima
di tale ulteriore trattamento, informazioni in merito a tale
finalità diversa e altre informazioni necessarie.

I principi generali del trattamento dei dati personali 21 di 34
 Qualora non sia possibile comunicare all'interessato l'origine dei
da; personali, perché sono state u;lizzate varie fon;, dovrebbe
essere fornita un'informazione di cara9ere generale.
Per contro, non è necessario imporre l'obbligo di fornire
l'informazione se l'interessato dispone già dell'informazione, se
la registrazione o la comunicazione dei da; personali sono
previste per legge o se informare l'interessato si rivela
impossibile o richiederebbe uno sforzo sproporzionato.
Quest'ul;ma eventualità potrebbe verificarsi, ad esempio, nei
tra9amen; esegui; a fini di archiviazione nel pubblico interesse,
di ricerca scien;fica o storica o a fini sta;s;ci. In tali casi si può
tener conto del numero di interessa;, dell'an;chità dei da; e di
eventuali garanzie adeguate in essere.

I principi generali del trattamento dei dati personali 22 di 34
 Articolo 12 - Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato

1. Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le
comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e
facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai
minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto
dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.
2. Il titolare del trattamento agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all'articolo
11, paragrafo 2, il titolare del trattamento non può rifiutare di soddisfare la richiesta dell'interessato al fine di esercitare i suoi
diritti ai sensi degli articoli da 15 a 22, salvo che il titolare del trattamento dimostri che non è in grado di identificare l'interessato.
3. Il titolare del trattamento fornisce all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta ai sensi
degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa.
Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il
titolare del trattamento informa l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della
richiesta. Se l'interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi
elettronici, salvo diversa indicazione dell'interessato.
4. Se non ottempera alla richiesta dell'interessato, il titolare del trattamento informa l'interessato senza ritardo, e al più tardi entro
un mese dal ricevimento della richiesta, dei motivi dell'inottemperanza e della possibilità di proporre reclamo a un'autorità di
controllo e di proporre ricorso giurisdizionale.

I principi generali del trattamento dei dati personali 23 di 34
5. Le informazioni fornite ai sensi degli ar3coli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli ar3coli
da 15 a 22 e dell'ar3colo 34 sono gratuite. Se le richieste dell'interessato sono manifestamente infondate o eccessive,
in par3colare per il loro cara@ere ripe33vo, il 3tolare del tra@amento può:
a) addebitare un contributo spese ragionevole tenendo conto dei cos3 amministra3vi sostenu3 per fornire le
informazioni o la comunicazione o intraprendere l'azione richiesta; oppure
b) rifiutare di soddisfare la richiesta.
Incombe al 3tolare del tra@amento l'onere di dimostrare il cara@ere manifestamente infondato o eccessivo della
richiesta.
6. Fa@o salvo l'ar3colo 11, qualora il 3tolare del tra@amento nutra ragionevoli dubbi circa l'iden3tà della persona fisica che
presenta la richiesta di cui agli ar3coli da 15 a 21, può richiedere ulteriori informazioni necessarie per confermare
l'iden3tà dell'interessato.
7. Le informazioni da fornire agli interessa3 a norma degli ar3coli 13 e 14 possono essere fornite in combinazione con
icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del
tra@amento previsto. Se presentate ele@ronicamente, le icone sono leggibili da disposi3vo automa3co.
8. Alla Commissione è conferito il potere di ado@are aQ delega3 conformemente all'ar3colo 92 al fine di stabilire le
informazioni da presentare so@o forma di icona e le procedure per fornire icone standardizzate.

I principi generali del trattamento dei dati personali 24 di 34
 Ar3colo 13 - Informazioni da fornire qualora i da3 personali siano raccol3 presso l'interessato

1. In caso di raccolta presso l'interessato di daN che lo riguardano, il Ntolare del traOamento fornisce
all'interessato, nel momento in cui i daN personali sono oOenuN, le seguenN informazioni:
a) l'idenNtà e i daN di contaOo del Ntolare del traOamento e, ove applicabile, del suo rappresentante;
b) i daN di contaOo del responsabile della protezione dei daN, ove applicabile;
c) le finalità del traOamento cui sono desNnaN i daN personali nonché la base giuridica del traOamento;
d) qualora il traOamento si basi sull'arNcolo 6, paragrafo 1, leOera f), i legiSmi interessi perseguiN dal
Ntolare del traOamento o da terzi;
e) gli eventuali desNnatari o le eventuali categorie di desNnatari dei daN personali;
f) ove applicabile, l'intenzione del Ntolare del traOamento di trasferire daN personali a un paese terzo o a
un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della
Commissione o, nel caso dei trasferimenN di cui all'arNcolo 46 o 47, o all'arNcolo 49, secondo comma, il
riferimento alle garanzie appropriate o opportune e i mezzi per oOenere una copia di tali daN o il luogo
dove sono staN resi disponibili.

I principi generali del trattamento dei dati personali 25 di 34
2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento
fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la
cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla
portabilità dei dati;
c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza
del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato
prima della revoca;
d) il diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di
un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata
comunicazione di tali dati;
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in
tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per
l'interessato.
3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi
sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni
ulteriore informazione pertinente di cui al paragrafo 2.
4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni.

I principi generali del trattamento dei dati personali 26 di 34
 Ar3colo 14
Informazioni da fornire qualora i da3 personali non siano sta3 o6enu3 presso l'interessato

1. Qualora i daN non siano staN oOenuN presso l'interessato, il Ntolare del traOamento fornisce
all'interessato le seguenN informazioni:
a) l'idenNtà e i daN di contaOo del Ntolare del traOamento e, ove applicabile, del suo rappresentante;
b) i daN di contaOo del responsabile della protezione dei daN, ove applicabile;
c) le finalità del traOamento cui sono desNnaN i daN personali nonché la base giuridica del
traOamento;
d) le categorie di daN personali in quesNone;
e) gli eventuali desNnatari o le eventuali categorie di desNnatari dei daN personali;
f) ove applicabile, l'intenzione del Ntolare del traOamento di trasferire daN personali a un desNnatario
in un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di
adeguatezza della Commissione o, nel caso dei trasferimenN di cui all'arNcolo 46 o 47, o all'arNcolo 49,
secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per oOenere una copia di
tali daN o il luogo dove sono staN resi disponibili.

I principi generali del trattamento dei dati personali 27 di 34
2. Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all'interessato le seguenti informazioni
necessarie per garantire un trattamento corretto e trasparente nei confronti dell'interessato:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale
periodo;
b) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del
trattamento o da terzi;
c) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la
cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro
trattamento, oltre al diritto alla portabilità dei dati;
d) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a),
l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul
consenso prima della revoca;
e) il diritto di proporre reclamo a un'autorità di controllo;
f) la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al
pubblico;
g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e,
almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale
trattamento per l'interessato.

I principi generali del trattamento dei dati personali 28 di 34
3. Il Utolare del traVamento fornisce le informazioni di cui ai paragrafi 1 e 2:
a) entro un termine ragionevole dall'oVenimento dei daU personali, ma al più tardi entro un mese, in considerazione delle
specifiche circostanze in cui i daU personali sono traVaU;
b) nel caso in cui i daU personali siano desUnaU alla comunicazione con l'interessato, al più tardi al momento della prima
comunicazione all'interessato; oppure
c) nel caso sia prevista la comunicazione ad altro desUnatario, non oltre la prima comunicazione dei daU personali.
4. Qualora il Utolare del traVamento intenda traVare ulteriormente i daU personali per una finalità diversa da quella per cui essi
sono staU oVenuU, prima di tale ulteriore traVamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni
informazione perUnente di cui al paragrafo 2.
5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui:
a) l'interessato dispone già delle informazioni;
b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in parUcolare per il traVamento a
fini di archiviazione nel pubblico interesse, di ricerca scienUfica o storica o a fini staUsUci, faVe salve le condizioni e le garanzie di
cui all'arUcolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente arUcolo rischi di rendere
impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale traVamento. In tali casi, il Utolare del traVamento
adoVa misure appropriate per tutelare i diriY, le libertà e i legiYmi interessi dell'interessato, anche rendendo pubbliche le
informazioni;
c) l'oVenimento o la comunicazione sono espressamente previsU dal diriVo dell'Unione o dello Stato membro cui è soggeVo il
Utolare del traVamento e che prevede misure appropriate per tutelare gli interessi legiYmi dell'interessato; oppure
d) qualora i daU personali debbano rimanere riservaU conformemente a un obbligo di segreto professionale disciplinato dal
diriVo dell'Unione o degli StaU membri, compreso un obbligo di segretezza previsto per legge.
I principi generali del trattamento dei dati personali 29 di 34
 Informa;va e Informazioni: Codice privacy vs. GDPR

Dall’assolvimento di un mero obbligo burocraDco
(l’informa;va) all’a9uazione di un costante obbligo di
informazione in tu9e le fasi dello svolgimento del
tra9amento dei da; personali (le informa;ve);
IntuiDvità ed intellegibilità (ad es. icone
standardizzate ex art. 12, par. 7);
Gratuità delle aGvità di informazione (art. 12, par. 5)
ecce9o nei casi di richieste eccessive, ripe;;ve o
infondate da parte dell’interessato;
Art. 12 (aGvità come procedimento) – ar9. 13 e 14
(aG di informazione)

I principi generali del trattamento dei dati personali 30 di 34
 Il principio di limitazione delle finalità
La finalità del trattamento dei dati deve essere chiaramente definita prima che il trattamento abbia inizio.
In base al diritto dell’Unione europea, la finalità del trattamento deve essere definita espressamente; la normativa
CoE rimette la disciplina di tale aspetto al diritto interno.
Il trattamento per finalità indefinite non rispetta la normativa in materia di protezione dei dati.
L’utilizzo ulteriore dei dati per un’altra finalità richiede una base giuridica supplementare se la nuova finalità del
trattamento è incompatibile con quella originaria.
Il trasferimento di dati a terzi è una finalità nuova che richiede una base giuridica supplementare.
Questo principio indica che la legittimità del trattamento dei dati personali dipende dalla finalità del trattamento
(“limitazione della finalità”).
Il titolare del trattamento dei dati deve precisare la finalità del trattamento dei dati personali (ad esempio,
attraverso una comunicazione).
È illegale trattare dati personali per finalità illimitate e indefinite.
Il trattamento secondario di dati personali deve avere la sua specifica base giuridica e non può fondarsi sul fatto che i
dati erano stati inizialmente acquisiti o trattati per un’altra finalità legittima.
Il trattamento ulteriore di dati per un interesse pubblico o per finalità storiche, statistiche o scientifiche è ammesso
purché gli Stati membri prevedano garanzie appropriate.

I principi generali del trattamento dei dati personali 31 di 34
 Il principio di minimizzazione ed esattezza dei dati
I principi relaOvi ai daO (“minimizzazione dei daO”, esaNezza e limitazione della conservazione) devono
essere rispeNaO dal Otolare del traNamento in tuNe le aVvità di traNamento.
Il principio della limitazione della conservazione richiede la cancellazione dei daO non appena quesO non
siano più necessari per il conseguimento delle finalità per le quali sono staO raccolO.
Deroghe al principio della limitazione della conservazione possono essere stabilite per legge e richiedono
speciali garanzie per la protezione delle persone interessate.
In ossequio al principio di minimizzazione, possono essere traNaO solo i daO adeguaO, perOnenO e limitaO a
quanto necessario rispeNo alle finalità per le quali sono traNaO e/o ulteriormente elaboraO. Le categorie di
daO scelO per il traNamento devono essere necessarie al fine di conseguire la finalità generale dichiarata
delle aVvità di traNamento.
Quanto alla durata del traNamento e alla relaOva conservazione dei daO da parte del Otolare (principi di
adeguatezza e limitazione del traNamento), il GDPR specifica come tali processi debbano essere limita> al
tempo necessario per il perseguimento delle finalità del traAamento.
È possibile fissare un termine per la definiOva eliminazione delle informazioni o, ancora, ai fini
dell’espletamento di una verifica periodica e di un’eventuale reVfica.

I principi generali del trattamento dei dati personali 32 di 34
 Il principio di integrità e sicurezza

I da; personali devono essere tra9a; in modo da
garan;re un’adeguata sicurezza dei da; personali,
compresa la protezione da:
tra9amen; non autorizza; o illeci;
perdita accidentale
distruzione
danno
mediante misure tecniche e organizza;ve adeguate.

I principi generali del trattamento dei dati personali 33 di 34
 Liceità, corre6ezza, trasparenza: obbligo di svolgere un traOamento dei daN
personali lecito, correOo e trasparente nei confronN dell’interessato;
Minimizzazione: i daN personali devono essere adeguaN, perNnenN e limitaN
a quanto necessario rispeOo alle finalità per le quali sono traOaN;

Limitazione delle finalità: i daN personali devono essere raccolN per finalità limitate, esplicite e legiSme e
traOaN in modo compaNbile con tali finalità;
Esa6ezza: i daN personali devono essere esaS e, se necessario, aggiornaN; se inesaS rispeOo le finalità
devono essere modificaN, reSficaN e/o cancellaN tempesNvamente con tuOe le misure idonee;
Integrità e riservatezza: i daN vanno traOaN in maniera tale da garanNre un’adeguata sicurezza compresa
la protezione, mediante misure tecniche e organizzaNve adeguaN, al fin di non configurare traOamenN
illecite e non autorizzaN e non causarne la perdita, la distruzione o danni accidentali;
Limitazione della conservazione: i daN personali vanno conservaN in una forma che consenta
l’idenNficazione degli interessaN per un arco di tempo non superiore al perseguimento delle finalità per le
quali sono traOaN.

I principi generali del trattamento dei dati personali 34 di 34