Menu ---
DANDI

Studio Legale di Proprietà intellettuale, Diritto d'autore, industriale e dello Spettacolo | Consulenza e contrattualistica per artisti, autori e produzioni

✅ Prenota la tua consulenza:

Contatta DANDI con Whatsapp Scrivici su WhatsApp +39 345.717.14.66

Diritto alla privacy: guida completa alla nuova normativa Italiana

In DANDIpedia
diritto alla privacy

Diritto alla privacy: GDPR, Codice Privacy e tutela dei dati personali

In questa guida:

  • Il quadro normativo: GDPR e Codice Privacy
  • I diritti dell’interessato
  • I dati personali: cosa sono e quali categorie esistono
  • Quando la privacy viene violata: cosa fare
  • Privacy e immagine: il confine tra riservatezza e diritto di cronaca
  • Privacy e luoghi di lavoro
  • Le sanzioni del Garante
  • Approfondimenti

Il quadro normativo: GDPR e Codice Privacy

Il diritto alla privacy in Italia è disciplinato da due fonti principali che si integrano tra loro.

Il Regolamento UE 2016/679 (GDPR — General Data Protection Regulation) è direttamente applicabile in tutti gli Stati membri dell’UE dal 25 maggio 2018 e costituisce la fonte primaria in materia di protezione dei dati personali. È un regolamento — non una direttiva — il che significa che non richiede recepimento nazionale e si applica direttamente, con lo stesso testo, in tutta Europa.

Il Codice in materia di protezione dei dati personali (D.Lgs. 196/2003, modificato dal D.Lgs. 101/2018 per adeguarlo al GDPR) integra il regolamento europeo con disposizioni nazionali specifiche: le deroghe concesse dal GDPR agli Stati membri, le norme sul trattamento dei dati in ambito lavorativo, le regole sul marketing diretto e molto altro.

L’autorità di controllo in Italia è il Garante per la protezione dei dati personali — un’autorità amministrativa indipendente che vigila sull’applicazione della normativa, riceve i reclami degli interessati e commina sanzioni.

A livello europeo, il Comitato europeo per la protezione dei dati (EDPB) coordina le autorità di controllo dei 27 Stati membri e adotta linee guida vincolanti sull’interpretazione del GDPR.

I diritti dell’interessato

Il GDPR riconosce all’interessato — la persona fisica a cui si riferiscono i dati — un insieme di diritti esercitabili nei confronti di chiunque tratti i suoi dati personali.

Diritto di accesso (art. 15 GDPR)

L’interessato ha il diritto di sapere se i propri dati vengono trattati, per quali finalità, per quanto tempo, a chi vengono comunicati e da dove provengono. Il titolare del trattamento deve rispondere entro un mese dalla richiesta.

Diritto di rettifica (art. 16 GDPR)

L’interessato ha il diritto di ottenere la correzione di dati inesatti o il completamento di dati incompleti, senza ingiustificato ritardo.

Diritto alla cancellazione (“diritto all’oblio”, art. 17 GDPR)

L’interessato può chiedere la cancellazione dei propri dati quando: non sono più necessari per le finalità per cui erano stati raccolti, il consenso viene revocato, i dati sono stati trattati illecitamente, o la cancellazione è necessaria per adempiere un obbligo legale. Il diritto all’oblio ha però limiti precisi — non si applica quando il trattamento è necessario per l’esercizio della libertà di espressione, per l’adempimento di un obbligo legale o per finalità di interesse pubblico.

Diritto di opposizione (art. 21 GDPR)

L’interessato può opporsi in qualsiasi momento al trattamento dei propri dati per finalità di marketing diretto — inclusa la profilazione. In questo caso il titolare deve cessare il trattamento senza eccezioni.

Diritto alla portabilità (art. 20 GDPR)

Se il trattamento si basa sul consenso o su un contratto ed è effettuato con mezzi automatizzati, l’interessato ha il diritto di ricevere i propri dati in formato strutturato, leggibile da macchina, e di trasferirli a un altro titolare.

I dati personali: cosa sono e quali categorie esistono

Il GDPR definisce dato personale qualsiasi informazione che identifichi o renda identificabile, direttamente o indirettamente, una persona fisica. Nome e cognome, indirizzo email, numero di telefono, indirizzo IP, dati di localizzazione, cookie identificativi sono tutti dati personali.

Categorie particolari di dati

Il GDPR prevede una tutela rafforzata per le categorie particolari di dati (art. 9) — quelli che per natura possono comportare rischi specifici per i diritti e le libertà degli interessati:

  • Dati sulla salute e sulla vita sessuale
  • Dati genetici e biometrici usati per identificare univocamente una persona
  • Dati sulle origini razziali o etniche
  • Dati sulle opinioni politiche, convinzioni religiose o filosofiche
  • Dati sull’appartenenza sindacale

Il trattamento di queste categorie è vietato salvo specifiche eccezioni tassative — tra cui il consenso esplicito dell’interessato o la necessità per finalità di medicina preventiva o ricerca scientifica.

Dati biometrici e riconoscimento facciale

I dati biometrici — impronte digitali, riconoscimento facciale, geometria della mano — rientrano nelle categorie particolari e richiedono consenso esplicito o un’altra base giuridica qualificata. Il Garante Privacy italiano ha adottato posizioni molto restrittive sull’uso del riconoscimento facciale in spazi pubblici e nei luoghi di lavoro, considerandolo sproporzionato rispetto alle finalità di sicurezza che si propone di perseguire.

Quando la privacy viene violata: cosa fare

La violazione della privacy può assumere forme molto diverse — dalla diffusione non autorizzata di dati personali online, al data breach subito da un’azienda, alla raccolta illecita di dati da parte di un’app, alla pubblicazione di informazioni riservate su un giornale.

Reclamo al Garante Privacy

Il primo strumento è il reclamo al Garante per la protezione dei dati personali. L’interessato può presentare reclamo quando ritiene che il trattamento dei propri dati violi il GDPR o il Codice Privacy. Il Garante istruisce il procedimento, può richiedere chiarimenti al titolare del trattamento e, se accerta la violazione, può adottare provvedimenti correttivi e sanzionatori.

Il reclamo è gratuito e può essere presentato direttamente online sul sito del Garante (gpdp.it). I tempi di istruttoria sono variabili — generalmente tra 6 e 18 mesi.

Ricorso al giudice ordinario

Parallelamente o in alternativa al reclamo al Garante, l’interessato può agire in giudizio davanti al tribunale ordinario per ottenere il risarcimento del danno patrimoniale e non patrimoniale derivante dalla violazione. Il diritto al risarcimento è riconosciuto dall’art. 82 GDPR — il titolare del trattamento risponde del danno salvo che provi di non aver avuto alcuna responsabilità.

Data breach: cosa deve fare il titolare

Quando si verifica una violazione dei dati personali — accesso non autorizzato, perdita, distruzione o divulgazione accidentale — il titolare del trattamento ha l’obbligo di notificarla al Garante entro 72 ore dalla scoperta (art. 33 GDPR), se la violazione presenta un rischio per i diritti e le libertà degli interessati. Se il rischio è elevato, deve anche comunicarla direttamente agli interessati coinvolti (art. 34 GDPR).

Il mancato rispetto di questi obblighi è sanzionato autonomamente, indipendentemente dalla violazione che ha causato il data breach.

Privacy e immagine: il confine tra riservatezza e diritto di cronaca

Il diritto alla privacy non è assoluto — si bilancia con altri diritti fondamentali, in particolare la libertà di espressione e il diritto di cronaca.

La giurisprudenza italiana ha elaborato nel tempo i criteri per questo bilanciamento: la pubblicazione di informazioni o immagini che riguardano una persona è lecita quando sussiste un interesse pubblico reale e attuale alla notizia, quando le informazioni pubblicate sono vere e verificate, e quando il contenuto pubblicato non eccede quanto necessario per soddisfare l’interesse informativo (principio di continenza).

Le persone pubbliche — politici, personaggi dello spettacolo, sportivi professionisti — hanno una sfera di privacy ridotta rispetto ai privati cittadini, ma solo per le attività connesse al loro ruolo pubblico. La vita privata di un politico non è di interesse pubblico per il solo fatto che è un politico.

Approfondimenti: Diritto all’immagine → · Privacy e fotografia → · Diritto di immagine degli sportivi →

Privacy e luoghi di lavoro

Il trattamento dei dati dei dipendenti è uno degli ambiti più delicati e più frequentemente oggetto di intervento del Garante. Le principali questioni:

Monitoraggio dei dipendenti — il controllo dell’attività dei lavoratori tramite sistemi informatici (email aziendale, navigazione web, badge, sistemi di localizzazione GPS) è soggetto alle limitazioni dell’art. 4 dello Statuto dei Lavoratori e richiede accordo sindacale o autorizzazione dell’Ispettorato del Lavoro, oltre all’informativa ai lavoratori.

Email e dispositivi aziendali — i dati contenuti negli strumenti di lavoro assegnati al dipendente sono dati personali anche quando appartengono all’azienda. Il Garante ha precisato che l’azienda non può accedere liberamente all’email aziendale del dipendente senza procedure trasparenti e proporzionate.

Dati sanitari dei dipendenti — i dati sulla salute (certificati medici, limitazioni funzionali, informazioni sui congedi per malattia) sono categorie particolari e richiedono una gestione rigorosa, limitata a quanto strettamente necessario per gli adempimenti lavorativi.

Le sanzioni del Garante

Il GDPR prevede due livelli di sanzioni amministrative pecuniarie:

Primo livello — fino a € 10.000.000 o, per le imprese, fino al 2% del fatturato mondiale annuo (se superiore). Si applica per violazioni di obblighi tecnici e organizzativi: mancata nomina del DPO quando obbligatorio, violazione delle norme sul trasferimento internazionale dei dati, mancata tenuta del registro dei trattamenti.

Secondo livello — fino a € 20.000.000 o, per le imprese, fino al 4% del fatturato mondiale annuo (se superiore). Si applica per violazioni dei principi fondamentali del trattamento, dei diritti degli interessati e delle norme sul consenso.

In Italia il Garante ha comminato sanzioni significative a operatori di vari settori — telecomunicazioni, banche, piattaforme digitali, pubblica amministrazione. L’orientamento sanzionatorio tiene conto della gravità della violazione, del comportamento del titolare, del numero di interessati coinvolti e della cooperazione con l’autorità.

Approfondimenti

La tua azienda ha subito un data breach o ricevuto un reclamo al Garante? Vuoi capire se il trattamento dei dati della tua attività è conforme al GDPR? Prenota una consulenza con DANDI — assistiamo aziende e privati nella gestione delle violazioni della privacy e nei rapporti con il Garante.

Lo Studio Legale Dandi fornisce assistenza legale in diverse aree di competenza. Dai un'occhiata ai nostri servizi oppure contattaci!

Sono Claudia Roggero, avvocata specializzata in Proprietà Intellettuale, Diritto d’Autore e dello Spettacolo. La mia missione non è solo guidarti attraverso il labirinto normativo che governa il mondo delle arti, della musica, dell’audiovisivo, dell’editoria e del digitale. Con bravura ed una competenza d’eccellenza, mi dedico a trasformare le complessità legali in opportunità strategiche, sempre con un approccio profondamente umano.

Post Navigation

Street art e diritto d’autore: tutela, limiti e uso commerciale

Est Europa per il cinema Italiano: perché è il momento giusto (e come iniziare legalmente)

Related Posts:

Clausola way out nei contratti cinematografici

Clausola “way out” nei contratti cinematografici: la via d’uscita dai contratti senza futuro

Contratto di sponsorizzazione

Il contratto di sponsorizzazione: guida legale e pratica

Software con licenza d'uso- le licenze del software

Licenze software: tipi, caratteristiche e normativa applicabile

Site Footer

© DANDI • Cookie & Privacy PolicyTags Cloud • Developed by Paluma