In sintesi
- L'art. 2-quater disciplina l'adozione di regole deontologiche da parte del Garante in settori specifici di trattamento.
- Sono regole tecniche di matrice settoriale (giornalismo, ricerca, statistica, investigazioni difensive, marketing).
- Hanno natura vincolante: la loro osservanza è condizione di liceità del trattamento.
- Vengono adottate previa consultazione pubblica dei soggetti interessati e pubblicate in Gazzetta Ufficiale.
- Tra le più note: il codice deontologico per attività giornalistiche (art. 139) e quello per investigazioni difensive.
- Sostituiscono le precedenti autorizzazioni generali e i codici di deontologia del previgente Codice.
Testo dell'articoloVigente
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
1. Il Garante promuove la sottoscrizione di regole deontologiche relative al trattamento dei dati personali effettuato per le finalità di cui agli articoli 6, paragrafo 1, lettere c) ed e), e 9, paragrafo 2, lettera g), del Regolamento.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Natura e funzione delle regole deontologiche
L'art. 2-quater del Codice Privacy, introdotto dal D.Lgs. 101/2018, disciplina l'adozione di regole deontologiche da parte del Garante per la protezione dei dati personali in specifici settori di trattamento. Le regole deontologiche costituiscono fonti tecniche di natura sub-regolamentare, destinate a fissare standard concreti di liceità del trattamento in settori caratterizzati da elevata complessità o sensibilità (giornalismo, ricerca scientifica, statistica, investigazioni difensive, fini di archivio). La loro funzione è quella di tradurre i principi astratti del GDPR (proporzionalità, minimizzazione, riservatezza) in regole operative per le singole categorie professionali.
Procedura di adozione
Le regole deontologiche sono promosse dal Garante e adottate previo coinvolgimento pubblico dei soggetti interessati. La procedura prevede: a) avvio della consultazione pubblica; b) acquisizione delle proposte da associazioni professionali, organismi rappresentativi, enti di ricerca; c) elaborazione del testo da parte del Garante; d) pubblicazione in Gazzetta Ufficiale; e) entrata in vigore dal giorno successivo alla pubblicazione. Il procedimento è regolato dal Garante con propri regolamenti interni.
Effetto vincolante e funzione di safe harbour
Le regole deontologiche hanno natura vincolante per i soggetti operanti nel settore: la loro osservanza è condizione di liceità del trattamento. Diversamente dalle previgenti autorizzazioni generali (abrogate dal D.Lgs. 101/2018), le regole deontologiche non sono semplici linee guida ma fonti normative vere e proprie. Operano come safe harbour: chi vi si conforma è presunto in compliance, chi se ne discosta deve dimostrare equivalente conformità ai principi del GDPR.
Le principali regole deontologiche italiane
Tra le regole deontologiche oggi vigenti: il codice deontologico per il trattamento dei dati personali nell'esercizio dell'attività giornalistica, richiamato dall'art. 139 del Codice; le regole per investigazioni difensive (provv. Garante 19 dicembre 2018); le regole per il trattamento per scopi statistici e di ricerca scientifica (Allegato A.3 al Codice); le regole per il trattamento dei dati personali nei rapporti di lavoro pubblici (in corso di adozione). Le regole deontologiche si applicano in modo cogente ai soggetti del settore.
Rapporto con i codici di condotta (art. 40 GDPR)
Le regole deontologiche dell'art. 2-quater sono concettualmente distinte dai codici di condotta dell'art. 40 GDPR. I codici di condotta sono adottati su iniziativa privata (associazioni di categoria, federazioni) e approvati dall'autorità di controllo; la loro osservanza è volontaria e premiale ma non obbligatoria. Le regole deontologiche, invece, sono adottate dal Garante (autorità pubblica) e sono vincolanti. La distinzione è importante: i codici di condotta possono integrare le regole deontologiche ma non sostituirle.
Sanzioni in caso di violazione
La violazione di una regola deontologica è soggetta alle sanzioni amministrative dell'art. 83 GDPR e dell'art. 166 del Codice, in quanto integra una violazione delle norme sostanziali di liceità. Nei settori coperti, è inoltre frequente la sovrapposizione con responsabilità deontologiche professionali (per esempio, sanzioni dell'Ordine dei giornalisti, dell'Ordine degli avvocati, del Garante della concorrenza). Il giudice ordinario, in sede di opposizione ex art. 152 del Codice, può sindacare l'applicazione delle regole deontologiche e l'irrogazione delle sanzioni.
Casistica giurisprudenziale e prassi recente
La giurisprudenza ha applicato l'art. 2-quater in casi notori: a) Tribunale Roma 2023 ha confermato sanzione del Garante a giornalista per pubblicazione di dati sanitari in violazione del codice deontologico (essenzialità informativa carente); b) Tribunale Milano 2024 ha riconosciuto la responsabilità di un investigatore privato per uso di dati senza informativa al committente, in violazione delle regole 2018; c) il Garante ha applicato sanzioni a ricercatori universitari per trattamento di dati di studenti senza DPIA e senza misure di pseudonimizzazione, ai sensi delle regole deontologiche per scopi statistici e di ricerca (Allegato A.3). La tendenza è verso un'applicazione rigorosa, con scarsa tolleranza per la violazione di regole settoriali.
Le regole deontologiche in arrivo: lavoro pubblico, IA, sanità
Il Garante ha avviato consultazioni pubbliche per nuove regole deontologiche in settori emergenti: a) trattamento di dati personali nei rapporti di lavoro pubblici (in coordinamento con INL, ARAN); b) intelligenza artificiale e trattamenti automatizzati (in coordinamento con AGID, Ministero per l'Innovazione, AI Act EU); c) sanità digitale (telemedicina, fascicolo sanitario elettronico 2.0); d) marketing diretto (aggiornamento delle linee guida 2013). Le nuove regole, una volta adottate, vincoleranno i settori interessati con la stessa forza delle regole giornalistiche del 2018.
Prassi e linee guida
Garante per la protezione dei dati personali
Garante per la protezione dei dati personali
Leggi il documento su www.garanteprivacy.itCasi pratici
Caso 1: Tizio giornalista: pubblicazione dati sensibili
Tizio, giornalista, pubblica un articolo su un caso giudiziario rivelando dati sanitari di una persona estranea ai fatti. Verifica il codice deontologico richiamato dall'art. 139: la pubblicazione di dati sensibili richiede stretta necessità informativa. In assenza, Tizio risponde sia disciplinarmente all'Ordine sia per illecito amministrativo davanti al Garante.
Caso 2: Caio investigatore privato: regole 2018
Caio, investigatore privato, deve raccogliere informazioni per una causa civile. Si attiene alle regole deontologiche per le investigazioni difensive (provv. Garante 19 dicembre 2018): informa l'avvocato istante, raccoglie solo dati pertinenti, conserva per il tempo strettamente necessario. La conformità alle regole costituisce safe harbour.
Caso 3: Sempronia ricercatrice: trattamento per ricerca
Sempronia, ricercatrice universitaria, vuole trattare dati sanitari di un campione di pazienti. Si attiene alle regole deontologiche per scopi statistici e di ricerca (Allegato A.3). Adotta pseudonimizzazione, limita l'accesso a personale autorizzato, redige DPIA. La conformità le permette di operare entro la base giuridica dell'art. 9, par. 2, lett. j, GDPR.
Caso 4: Commento applicativo
L'art. 2-quater è la fonte vincolante settoriale: nei settori coperti (giornalismo, investigazioni, ricerca, statistica), le regole deontologiche sono condizione di liceità del trattamento. La violazione comporta sia sanzioni amministrative del Garante sia, spesso, sanzioni disciplinari degli ordini professionali competenti.
Domande frequenti
Cos'è una regola deontologica privacy?
Una fonte tecnica adottata dal Garante in settori specifici (giornalismo, investigazioni, ricerca) che fissa regole operative di liceità del trattamento. Ha natura vincolante.
Le regole deontologiche sono diverse dai codici di condotta?
Sì. Le regole deontologiche sono adottate dal Garante (autorità pubblica) e sono vincolanti. I codici di condotta dell'art. 40 GDPR sono adottati su iniziativa privata, approvati dall'autorità e a osservanza volontaria-premiale.
Quali sono le regole deontologiche più note in Italia?
Il codice deontologico per l'attività giornalistica (art. 139), le regole per investigazioni difensive (2018), le regole per scopi statistici e di ricerca (Allegato A.3).
Cosa accade se si viola una regola deontologica?
Si applicano le sanzioni amministrative dell'art. 83 GDPR e art. 166 del Codice. In aggiunta, nei settori professionali, sono possibili sanzioni disciplinari dell'ordine competente.
Come vengono adottate le regole deontologiche?
Tramite consultazione pubblica dei soggetti interessati e pubblicazione in Gazzetta Ufficiale a cura del Garante. Entrano in vigore dal giorno successivo alla pubblicazione.
Vedi anche