La disciplina comunitaria in materia di dati personali è racchiusa in nuce nell’art. 5 della Convenzione 108/1981, che non integra espressamente il principio della responsabilità di chi è coinvolto nel trattamento dei dati personali, ma discorre, rispettivamente, all’art. 5 di ‘qualità dei dati’; all’art. 79 di ‘sicurezza dei dati’ ed all’art. 8 di ‘diritti dell’interessato’. Infatti, i dati a carattere personale oggetto di un’elaborazione automatizzata devono essere: a) ottenuti e elaborati in modo lecito e corretto; b) registrati per scopi determinati e legittimi ed impiegati in una maniera non incompatibile con detti fini; c) adeguati, pertinenti e non eccessivi riguardo ai fini per i quali vengono registrati; d) esatti e, se necessario, aggiornati; e) conservati in una forma che consenta l’identificazione delle persone interessate per una durata non superiore a quella necessaria ai fini per i quali sono registrati. È assente nella Convenzione 108 la specifica attribuzione della responsabilità a figure o a soggetti determinati. La direttiva n. 95/46/CE segna un notevole progresso nell’individuazione e nell’attribuzione della responsabilità, ma è per il tramite della direttiva n. 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, che il legislatore comunitario pone l’accento sull’esigenza di garantire la legittimità del trattamento, la sicurezza delle comunicazioni e la tutela degli utenti. La direttiva n. 2002/58/CE è stata modificata dalla direttiva n. 2009/136/CE che ha rafforzato obblighi e responsabilità dei prestatori di servizi di comunicazione elettronica. Il Regolamento (UE) 2016/679 del 27 aprile 2016 amplia la disciplina stabilita dalle direttive 2002/58/CE e 2009/136/CE, estendendo il principio di responsabilità da data breach a tutti i tipi di trattamento. Nel Regolamento è più ampio l’ambito della responsabilità del titolare del trattamento, come è più ampio lo spettro delle Autorità cui potenzialmente egli è obbligato a dimostrare di aver fatto tutto ciò cui era tenuto. L’articolo 82 del GDPR prevede che chiunque subisca un danno materiale o immateriale causato da una violazione ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento; l’articolo 83 stabilisce invece le sanzioni, che rientrano nei poteri correttivi attribuiti alle Autorità di controllo.
IL REGOLAMENTO GENERALE SULLA TUTELA DEI DATI PERSONALI. RESPONSABILITÀ E SANZIONI
PARISI, Annamaria Giulia
2016-01-01
Abstract
La disciplina comunitaria in materia di dati personali è racchiusa in nuce nell’art. 5 della Convenzione 108/1981, che non integra espressamente il principio della responsabilità di chi è coinvolto nel trattamento dei dati personali, ma discorre, rispettivamente, all’art. 5 di ‘qualità dei dati’; all’art. 79 di ‘sicurezza dei dati’ ed all’art. 8 di ‘diritti dell’interessato’. Infatti, i dati a carattere personale oggetto di un’elaborazione automatizzata devono essere: a) ottenuti e elaborati in modo lecito e corretto; b) registrati per scopi determinati e legittimi ed impiegati in una maniera non incompatibile con detti fini; c) adeguati, pertinenti e non eccessivi riguardo ai fini per i quali vengono registrati; d) esatti e, se necessario, aggiornati; e) conservati in una forma che consenta l’identificazione delle persone interessate per una durata non superiore a quella necessaria ai fini per i quali sono registrati. È assente nella Convenzione 108 la specifica attribuzione della responsabilità a figure o a soggetti determinati. La direttiva n. 95/46/CE segna un notevole progresso nell’individuazione e nell’attribuzione della responsabilità, ma è per il tramite della direttiva n. 2002/58/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, che il legislatore comunitario pone l’accento sull’esigenza di garantire la legittimità del trattamento, la sicurezza delle comunicazioni e la tutela degli utenti. La direttiva n. 2002/58/CE è stata modificata dalla direttiva n. 2009/136/CE che ha rafforzato obblighi e responsabilità dei prestatori di servizi di comunicazione elettronica. Il Regolamento (UE) 2016/679 del 27 aprile 2016 amplia la disciplina stabilita dalle direttive 2002/58/CE e 2009/136/CE, estendendo il principio di responsabilità da data breach a tutti i tipi di trattamento. Nel Regolamento è più ampio l’ambito della responsabilità del titolare del trattamento, come è più ampio lo spettro delle Autorità cui potenzialmente egli è obbligato a dimostrare di aver fatto tutto ciò cui era tenuto. L’articolo 82 del GDPR prevede che chiunque subisca un danno materiale o immateriale causato da una violazione ha il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile del trattamento; l’articolo 83 stabilisce invece le sanzioni, che rientrano nei poteri correttivi attribuiti alle Autorità di controllo.I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
