Normativa italiana
Nell'ambito dell'ordinamento italiano il problema della protezione dei dati personali nasce con il procedimento avviato dagli eredi di Enrico Caruso, che chiedevano al giudice di bloccare un film perché ritenuto lesivo della riservatezza del tenore. Mentre nel giudizio di primo grado, nel 1953, viene affermata l'esistenza di un diritto alla riservatezza nel nostro ordinamento, tutelabile tramite il diritto all'immagine, diritto consistente nel divieto di ingerenze nella sfera della vita privata di una persona, la Suprema Corte ribalta l'impostazione sostenendo che il semplice desiderio di riserbo non è stato ritenuto in interesse tutelabile dal legislatore. 7 anni più tardi di nuovo i giudici di primo grado sostengono le stesse tesi nel cosiddetto "caso Petacci", tesi nuovamente sconfessate dalla Corte di Cassazione. La Corte, però, ammette la tutela nel caso di violazione del diritto di personalità inteso quale diritto erga omnes alla libertà di autodeterminazione (da ricavare dall'art. 2 Cost.), diritto violato nel momento in cui si divulgano notizie della vita privata da ritenersi riservate.
Solo nel 1970, con lo Statuto dei Lavoratori, il legislatore inserisce nel nostro ordinamento alcune previsioni a tutela della privacy dei lavoratori. E nel 1975, col caso Soraya, la Suprema Corte muta il proprio orientamento riconoscendo formalmente l'esistenza del diritto alla privacy nel nostro ordinamento, diritto consistente nella tutela di situazioni e vicende strettamente personali e familiari, le quali, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile. Tale affermazione è divenuta fondamentale per il bilanciamento tra riservatezza e diritto di cronaca, in quanto la linea di demarcazione tra privacy e diritto all’informazione di terzi è oggi data dalla popolarità del soggetto, pur precisando che anche soggetti famosi conservano tale diritto, però limitatamente a fatti che non hanno niente a che vedere con i motivi della propria popolarità.
Infine, con la legge 675 del 1996, si introdusse finalmente una normativa in materia di tutela dei dati personali, come conseguenza degli obblighi derivanti dal trattato di Schengen in materia di libertà di circolazione. Per attuare una libera circolazione delle persone nell'Unione europea occorreva prima regolamentare il trattamento dei loro dati. Con la stessa legge si istituì l'Autorità quale ente di garanzia chiamata a sovraintendere l'applicazione della regolamentazione.
Costituzione
Nella carta costituzionale italiana non è previsto il diritto alla protezione dei dati personali, anche se interpretazioni adeguative hanno riscontrato riferimenti negli articoli 14, 15 e 21, rispettivamente riguardanti il domicilio, la libertà e segretezza della corrispondenza, e la libertà di manifestazione del pensiero. Il primo e più importante riferimento è nell’articolo 2 della Costituzione, dove si incorpora la privacy tra i diritti inviolabili dell’uomo. L'Italia arrivò come penultima in Europa ad approvare una legge di tutela della privacy di applicazione generale, trasfusa prima nella legge 675 del 1996, e poi nel Codice in materia di protezione dei dati personali (Codice Privacy) cioè il Decreto legislativo 30 giugno 2003, n. 196, il quale prevede il diritto a non vedere trattati i propri dati personali in assenza di consenso, ma anche l’adozione di cautele tecniche ed organizzative che tutti devono rispettare per procedere in maniera corretta al trattamento dei dati altrui.
Codice
Il Codice disciplina il trattamento dei dati personali, anche detenuti all'estero, effettuato da chiunque ha sede nel territorio italiano (principio di origine o stabilimento), o in uno Stato non appartente all'Unione europea ma che impiega strumenti per il trattamento situati nel territorio italiano (principio di ubicazione degli strumenti elettronici). Se il trattamento è soggetto alla leggi italiani il Titolare del trattamento deve designare un proprio rappresentante stabilito nel territorio dello Stato italiano. L'obiettivo del Codice è quello di minimizzare i rischi di perdita e distruzione dei dati, disciplinando le misure di sicurezza "minime" che devono essere adottate da chiunque tratti dati personali altrui.
Il Codice è poi stato modificato col decreto legislativo approvato l'8 agosto 2018, in modo da adeguare la normativa italiana al regolamento europeo in materia di tutela dei dati personali (GDPR). Il decreto adegua il Codice soprattutto con riferimento ai trattamenti particolarmente complessi e delicati (es. dati sulla salute), conferendo all'Autorità di controllo anche poteri di stabilire specifiche misure di sicurezza.
Adeguamento del Codice al GDPR
Il decreto di adeguamento del Codice (D.lgs 101 del 2018) alla normativa europea modifica in parte il testo del Codice. In particolare prevede un periodo, di circa 8 mesi, nel quale l'Autorità di controllo adotterà particolari cautele nell'applicazione delle sanzioni, tenendo conto che si tratta di una normativa nuova e con sanzioni particolarmente elevate. Il decreto, inoltre, prevede una serie di modifiche o integrazioni alle norme del Regolamento europeo (dove previsto dal Regolamento, ovviamente):
- il Garante avrà nuovi poteri, tra i quali il compito di introdurre semplificazione per l'adempimento degli obblighi gravanti sui titolari dei trattamento, con riferimento alle piccole e medie imprese;
- rimangono gli illeciti penali, con l'introduzione della previsione del danno oltre al profitto, così guardando non solo al profitto economico dell'autore dell'illecito, ma anche al danno di immagine a carico della vittima;
- la base giuridica per gli enti pubblici o che esercitano compiti di interesse pubblico è solo la previsione di legge;
- per quanto riguarda i minori, l'età per il consenso alla fornitura dei servizi della società dell'informazione viene fissata a 14 anni;
- si semplifica il trattamento dei dati in ambito sanitario, stabilendo che tale trattamento per finalità di diagnosi, cura, ricerca scientifica, è soggetto all'art. 9 del regolamento europeo, prevendendo però misure specifiche ulteriori per una maggiore tutela dei dati, e che saranno fissate periodicamente (due anni) dal Garante. Tali ulteriori misure si applcheranno anche ai dati genetici e biometrici;
- estende le tutele previste dal GDPR anche al trattamento dei dati delle persone decedute.