Protezione dei dati di carattere personale

La direttiva 95/46/CE costituisce il testo di riferimento, a livello europeo, in materia di protezione dei dati personali. Essa definisce un quadro normativo volto a stabilire un equilibrio fra un livello elevato di tutela della vita privata delle persone e la libera circolazione dei dati personali all'interno dell'Unione europea (UE). A tal fine, la direttiva fissa limiti precisi per la raccolta e l'utilizzazione dei dati personali e chiede a ciascuno Stato membro di istituire un organismo nazionale indipendente incaricato della sorveglianza di ogni attività associata al trattamento dei dati personali.

ATTO

Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dat [Cfr. atti modificativi].

SINTESI

La direttiva si applica ai dati trattati con mezzi automatici (ad esempio la banca di dati informatica di clienti) e ai dati contenuti o destinati a figurare in archivi non automatizzati (archivi tradizionali in formato cartaceo).

La direttiva non si applica al trattamento di dati:

effettuato da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico;
effettuato per l'esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario come la pubblica sicurezza, la difesa, la sicurezza dello Stato.

La direttiva è intesa a proteggere i diritti e le libertà delle persone in ordine al trattamento dei dati personali stabilendo i criteri chiave per la legittimazione del trattamento dei dati stessi, nonché i principi di qualità dei dati.:

Il trattamento dei dati è lecito soltanto qualora:

la persona interessata abbia manifestato il proprio consenso in maniera inequivocabile, oppure
sia necessario all'esecuzione di un contratto concluso con la persona interessata, oppure
sia necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento, oppure
sia necessario per la salvaguardia dell'interesse vitale della persona interessata, oppure
sia necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento o un terzo, oppure
sia necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del terzo, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela.

I principi di qualità dei dati,che devono essere applicati in tutte le attività lecite di trattamento degli stessi, sono i seguenti:

i dati personali devono essere trattati lealmente e lecitamente e rilevati per finalità determinate, esplicite e legittime. Essi devono inoltre essere adeguati, pertinenti, non eccedenti,esatti e, se necessario, aggiornati. I dati personali devono essere conservati non oltre il tempo necessario ed esclusivamente per le finalità per le quali sono stati rilevati.
le categorie particolari di trattamenti: è vietato il trattamento di dati personali che rivelino l'origine razziale o etnica, le opinioni pubbliche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento di dati riguardanti la salute e la vita sessuale. Sono previste deroghe a questa disposizione, ad esempio nel caso in cui il trattamento è necessario per salvaguardare un interesse vitale della persona interessata o, in ambito medico, per finalità di prevenzione e diagnosi.

la persona i cui dati sono oggetto di trattamento, ossia la persona interessata, può esercitare i seguenti diritti:

il diritto ad ottenereinformazioni: : il responsabile del trattamento deve fornire all'interessato determinate informazioni (identità del responsabile del trattamento, finalità del trattamento, destinatari dei dati, ecc.).
il diritto di accesso ai dati: ogni persona interessata ha il diritto di ottenere dal responsabile del trattamento:
il diritto di opposizione ai trattamenti di dati: la persona interessata ha il diritto di opporsi, per ragioni legittime, al trattamento di dati che la riguardano, di opporsi, su richiesta e gratuitamente, al trattamento dei dati a fini di invio di materiale pubblicitario, nonché di essere informata prima che i dati siano comunicati a terzi a fini di invio di materiale pubblicitario e di essere informata della possibilità di opporsi a tale comunicazione.

Altri aspetti attinenti al trattamento dei dati:

le deroghe e limitazioni ai diritti della persona interessata: i principi relativi alla qualità dei dati, all'informazione della persona interessata, al diritto di accesso e alla pubblicità dei trattamenti possono essere limitati per salvaguardare, tra l'altro, la sicurezza dello Stato, la difesa, la sicurezza pubblica, il perseguimento di infrazioni penali, un rilevante interesse economico o finanziario di uno Stato membro o dell'UE o la protezione della persona interessata;
la riservatezza e la sicurezza dei trattamenti: l'incaricato del trattamento e chiunque agisca sotto la sua autorità o sotto quella del responsabile del trattamento non deve elaborare i dati personali ai quali ha accesso, se non dietro istruzione del responsabile del trattamento. Il responsabile del trattamento deve inoltre adottare misure appropriate per proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla diffusione o dall'accesso non autorizzato;
la notificazione dei trattamenti ad un'autorità di controllo: il responsabile del trattamento deve inviare una notificazione all'autorità di controllo nazionale prima di procedere alla realizzazione del trattamento. Una volta ricevuta la notificazione, l'autorità di controllo effettua esami preliminari volti ad accertare l'esistenza di rischi per i diritti e le libertà delle persone interessate. Deve essere garantita la pubblicità dei trattamenti e le autorità di controllo devono tenere un registro dei trattamenti notificati.

Chiunque può disporre di un ricorso giurisdizionale in caso di violazione dei diritti garantiti dalle disposizioni nazionali applicabili al trattamento in questione. Chi subisce un danno cagionato da un trattamento illecito dei propri dati personali ha inoltre il diritto di ottenere il risarcimento del pregiudizio subito.

Sono autorizzati i trasferimenti di dati personali da uno Stato membro verso un paese terzo avente un livello di protezione adeguato. Per contro,nonostante i trasferimenti non possano svolgersi quando non sia garantito suddetto livello di protezione, esistono talune deroghe a tale norma. Esse sono riportate nella direttiva; ad esempio: qualora la stessa persona interessata acconsenta al trasferimento nel caso della conclusione di un contratto; qualora il trasferimento risulti necessario per ragioni di interesse pubblico, ma anche qualora lo Stato membro abbia autorizzato norme d'impresa vincolanti o clausole contrattuali tipo.

La direttiva è intesa a favorire l'elaborazione di codici di condotta nazionali e comunitari destinati a contribuire alla corretta applicazione delle disposizioni nazionali e comunitarie.

Ciascuno Stato membro dispone che una o più autorità pubbliche indipendenti siano incaricate di sorvegliare, nel suo territorio, l'applicazione delle disposizioni di attuazione della direttiva adottate dagli Stati membri.

È istituito un gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, composto da rappresentanti delle autorità di controllo nazionali, da rappresentanti delle autorità di controllo create per le istituzioni e gli organismi comunitari, nonché da un rappresentante della Commissione.

RIFERIMENTI

Atto	Data di entrata in vigore	Data limite di trasposizione negli Stati membri	Gazzetta ufficiale
Direttiva 95/46/CE	13.12.1995	24.10.1998	GU L 281del 23.11.1995

Atto(i) modificatore(i)	Data di entrata in vigore	Data limite di trasposizione negli Stati membri	Gazzetta ufficiale
Regolamento (CE) n. 1882/2003	20.11.2003	-	GU L 284 del 31.10.2003

Le modifiche e correzioni successive della direttiva 95/46/CE sono state integrate nel testo di base. Questa versione consolidata ha solo valore documentale.

ATTI COLLEGATI

RELAZIONI DI APPLICAZIONE

Comunicazione della Commissione al Parlamento europeo e al Consiglio, del 27 marzo 2007, intitolata «Seguito dato al programma di lavoro per una migliore applicazione della direttiva sulla protezione dei dati». [ COM(2007) 87 def. - Non pubblicata nella Gazzetta ufficiale]

La comunicazione ha esaminato il lavoro svolto nell'ambito del Programma di lavoro per una migliore applicazione della direttiva sulla tutela dei dati, contenuto nella prima relazione sull'applicazione della direttiva 95/46/CE. La Commissione ha rilevato dei miglioramenti giacché la direttiva è stata recepita in tutti gli Stati membri; inoltre,ha precisato che la direttiva stessa non dovrebbe essere modificata.

La Commissione ha aggiunto che:

continuerà a collaborare con gli Stati membri e, ove opportuno, avvierà delle procedure formali d'infrazione;
preparerà una comunicazione interpretativa per talune disposizioni della direttiva;
proseguirà l'attuazione del programma di lavoro;
presenterà, in caso di un'evoluzione tecnologica importante in un settore specifico, una legislazione settoriale a livello dell'UE;
continuerà a cooperare con partner esterni, in particolare gli Stati Uniti.

Relazione della Commissione, del 15 maggio 2003, intitolata «Prima relazione sull'applicazione della direttiva sulla tutela dei dati»(95/46/CE) - [ COM(2003) 265 def. - Non pubblicata nella Gazzetta ufficiale].

La relazione ha presentato, in particolare, i risultati delle consultazioni svolte dalla Commissione sulla valutazione della direttiva 95/46/CE presso governi, istituzioni, federazioni di imprese, associazioni di consumatori e cittadini. Pochi dei partecipanti alle consultazioni si sono espressi a favore di una revisione della direttiva. Dopo aver consultato gli Stati membri, la Commissione ha inoltre preso atto del fatto che la maggior parte di essi e delle autorità nazionali di controllo non riteneva per ora necessario modificare la direttiva.

Nonostante i ritardi e le lacune constatate nella sua applicazione, la direttiva ha raggiunto l'obiettivo principale di eliminare gli ostacoli alla libera circolazione dei dati personali tra gli Stati membri. La Commissione ritiene inoltre che l'obiettivo di garantire un alto livello di protezione nella Comunità sia stato raggiunto, poiché la direttiva ha fissato norme di tutela dei dati che sono fra le più severe del mondo.

Altri obiettivi della politica del mercato interno non sono invece stati pienamente raggiunti. La legislazione in materia di tutela dei dati diverge ancora notevolmente tra gli Stati membri. Queste disparità impediscono alle organizzazioni multinazionali di definire politiche paneuropee in materia di tutela dei dati. La Commissione ha pertanto dichiarato che avrebbe fatto il necessario per rimediare a questa situazione evitando, nei limiti del possibile, di ricorrere a un'azione formale.

Per quanto riguarda il livello generale di rispetto della legislazione sulla protezione dei dati nell'UE, vanno sottolineate 3 difficoltà: l'insufficienza delle risorse destinate all'applicazione; un rispetto molto disuguale da parte dei responsabili del trattamento dei dati; la scarsa conoscenza dei propri diritti che sembrano avere le persone interessate, che può essere all'origine del fenomeno precedente.

Per garantire una migliore applicazione della direttiva relativa alla protezione dei dati, la Commissione ha adottato un programma di lavoro che comporta una serie di azioni che dovranno essere svolte tra l'adozione di questa relazione e la fine del 2004. Queste azioni comprendono le seguenti iniziative:

discussioni con gli Stati membri e le autorità incaricate della protezione dei dati sulle modifiche da apportare alla loro legislazione nazionale per renderla completamente conforme alle esigenze della direttiva;
associazione dei paesi candidati agli sforzi intesi ad una applicazione di migliore qualità e più uniforme della direttiva;
miglioramento della notifica degli atti giuridici che recepiscono la direttiva;
semplificazione delle condizioni di trasferimento internazionale dei dati;
promozione delle tecnologie che rafforzano la protezione della vita privata;
promozione dell'autoregolamentazione e dei codici di condotta europei.

DIRETTIVA «VITA PRIVATA E COMUNICAZIONI ELETTRONICHE»

Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche) [Gazzetta ufficiale L 201 del 31 luglio 2002].

Questa direttiva è stata adottata nel 2002 contemporaneamente a un nuovo dispositivo legislativo che disciplina il settore delle comunicazioni elettroniche. Essa contiene disposizioni su alcuni temi più o meno sensibili, come la conservazione dei dati sul traffico da parte degli Stati membri, a fini di sorveglianza di polizia (conservazione dei dati), l'invio di messaggi elettronici non sollecitati, l'utilizzo di marcatori («cookies») e l'inserimento di dati personali negli elenchi telefonici pubblici.

Il regolamento (UE) n. 611/2013 contiene norme sulla notifica delle violazioni dei dati personali, da parte dei fornitori di servizi di comunicazione elettronica accessibili al pubblico, in caso di perdita, furto o altri danneggiamenti dei dati personali dei loro clienti.

Nel caso si verifichi una violazione dei dati personali e gli stessi siano compromessi, i fornitori sono obbligati in virtù della direttiva 2002/58/CE a notificare la violazione all'autorità nazionale competente per la protezione dei dati nonché, in taluni casi, anche agli abbonati ed alle altre persone interessate. Il succitato regolamento introduce «misure tecniche di attuazione», volte a fare chiarezza sul modo di rispettare tali obblighi.

I fornitori sono tenuti, fra l'altro:

ad informare dell'incidente l'autorità competente per la protezione dei dati entro 24 ore dalla scoperta della violazione, per arginare quest'ultima al massimo;
a tener conto del tipo di dati compromessi al momento di valutare un'eventuale notifica agli abbonati e ad altre persone: ad esempio, nel caso in cui i dati riguardino informazioni finanziarie, dati relativi alla posta elettronica, file di connessione a Internet, cronologie di navigazione in rete, ecc.;
a comunicare alla suddetta autorità e/o agli abbonati o alle persone in esame i dettagli dell'incidente, il tipo di dati interessati e i provvedimenti adottati per rimediare il problema.

CLAUSOLE CONTRATTUALI TIPO PER IL TRASFERIMENTO DI DATI PERSONALI A PAESI TERZI

Decisione 2004/915/CE della Commissione, del 27 dicembre 2004, che modifica la decisione 2001/497/CE per quanto riguarda l'introduzione di un insieme alternativo di clausole contrattuali tipo per il trasferimento di dati personali a paesi terzi [Gazzetta ufficiale L 385 del 29.12.2004].

La Commissione europea ha approvato nuove clausole contrattuali tipo di cui le imprese possono avvalersi per offrire garanzie adeguate nel caso di trasferimento di dati personali dall'UE a paesi terzi. Queste nuove clausole verranno ad aggiungersi a quelle già esistenti nell'ambito della decisione della Commissione del giugno 2001 (cfr. di seguito).

Decisione 2001/497/CE della Commissione, del 15 giugno 2001, relativa alle clausole contrattuali tipo per il trasferimento di dati a carattere personale verso paesi terzi a norma della direttiva 95/46/CE [Gazzetta ufficiale L 181 del 04.07.2001].

Questa decisione definisce le clausole contrattuali tipo che garantiranno un livello adeguato di protezione dei dati personali trasferiti dall'UE a paesi terzi. La decisione impone agli Stati membri di riconoscere che le società o gli organismi che si avvalgono di tali clausole tipo nei contratti relativi a trasferimenti di dai personali verso paesi terzi garantiscono un «livello di protezione adeguato» dei dati.

Decisione 2010/87/UE della Commissione relativa alle clausole contrattuali tipo per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio [Gazzetta ufficiale L 39 del 12.02.2010]

Decisioni della Commissione che certificano l'adeguato livello di protezione dei dati personali in svariati paesi terzi, sulla base dell'articolo 25, paragrafo 6: Ad oggi, la Commissione ha riconosciuto l'offerta di una protezione adeguata da parte di Andorra, Argentina, Australia, Canada (organizzazioni commerciali), Svizzera, Isole Fær Øer, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Uruguay, nonché grazie ai principi del «porto sicuro» (Safe Harbor) del dipartimento del Commercio statunitense in materia di vita privata.

PROTEZIONE DEI DATI DA PARTE DELLE ISTITUZIONI E DEGLI ORGANISMI COMUNITARI

Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari , nonché la libera circolazione di tali dati [Gazzetta ufficiale L 8 del 12.01.2001].

Questo regolamento intende garantire la protezione dei dati personali nell'ambito delle istituzioni e degli organismi dell'Unione europea. Il testo prevede:

disposizioni che assicurino un livello di protezione elevato dei dati personali trattati dalle istituzioni e dagli organismi comunitari;
l'istituzione di un organo di controllo indipendente incaricato di sorvegliare l'applicazione di tali disposizioni.

Ultimo aggiornamento: 08.03.2014