Dalla Direttiva 95/46/CE al nuovo Regolamento Ue 679/

Dopo ben quattro anni di trattative ed elaborazioni, il 14 aprile 2016 l’Assemblea plenaria del Parlamento Europeo ha approvato in seconda lettura il Regolamento Europeo in materia di protezione dei dati personali141 e la Direttiva relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali142 (c.d. “pacchetto protezione dati”).

Il Regolamento (UE) 2016/679, che abroga la Direttiva 95/46/CE143, ha l’intento di introdurre una legislazione, in riferimento alla protezione dati, che sia uniforme e valida in tutta Europa, in particolare su temi quali il diritto alla cancellazione, la valutazione d’impatto, la portabilità dei dati, etc., e detta i criteri da seguire che da un lato responsabilizzano ulteriormente le imprese ed enti in merito alla protezione dei dati personali, e dall’altro lato semplificano notevolmente gli adempimenti per chi si conforma alle regole. Il regolamento consta di ben 173 Considerando e di 99 articoli, suddivisi in XI Capitoli.

La Direttiva (UE) 2016/680 detta norme comuni per il trattamento dei dati a fini giudiziari e di polizia all’interno di tutti gli Stati membri. Infatti, tale Direttiva mira ad incrementare le garanzie per la privacy dei cittadini nell’ipotesi in cui vi sia un trattamento di dati per scopi giudiziari e di polizia, ed inoltre ha l’obiettivo di semplificare maggiormente lo scambio e l’utilizzo delle informazioni utili per contrastare fenomeni quali la criminalità ed il terrorismo.

141

Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla

protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei

dati)(Testo rilevante ai fini del SEE). In www.eur-lex.europa.eu.

142 _{Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativa alla}

protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio. In www.eur-lex.europa.eu.

143

90 Il Regolamento 2016/679 (General Data Protection Regulation o GDPR) è stato pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016, sarà vigente 20 giorni dopo la pubblicazione in GUUE, e diventerà definitivamente applicabile in via diretta in tutti i Paesi UE a partire dal 25 maggio 2018, data in cui dovrà essere garantito il perfetto allineamento fra la normativa nazionale e le disposizioni del Regolamento. La Direttiva, invece, sarà vigente dal 5 maggio, e da qual momento impegnerà gli Stati membri a recepire le sue disposizioni nel diritto nazionale entro 2 anni144.

Come si è appena precisato, la scelta di adozione di un regolamento e non di una nuova direttiva è quella di operare non “una semplice armonizzazione, ma una decisiva uniformazione del diritto degli Stati europei”145

, circa la protezione dei dati personali.

Sotto questo profilo, se è fuor di dubbio che lo strumento del Regolamento sia funzionale a conseguire un elevato livello di unificazione, d’altra parte la disciplina prevede in taluni casi un certo margine di manovra degli Stati membri146 che, secondo il Considerando 10, “dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione del presente regolamento”, né si esclude che “il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito”. Tutto questo, ovviamente, sempre tenendo conto dei principi generali e delle norme del Regolamento. Dunque, gli Stati membri avranno a disposizione per l’aggiornamento della disciplina interna due anni, un termine adeguato per verificare quali discipline interne continueranno ad avere efficacia e quali dovranno essere archiviate e riscritte147.

Tuttavia, il tema dell’uniformazione si presenta assai complesso, poiché il Regolamento lascia margini consistenti alle autonome scelte dei diritti nazionali. Si pensi alla delega a individuare le ipotesi di trattamenti fondati sulla necessità di adempiere ad un obbligo legale al quale è assoggettato il titolare (art.6, par.1, lett. c) del del Regolamento

144 _{Garante per la protezione dei dati personali, Pubblicato sulla Gazzetta Ufficiale Ue il nuovo Pacchetto}

protezione dati, doc-web 4964718, in www.garanteprivacy.it.

145 _{Berlingò V., Il fenomeno della datafiction e la sua giuridicizzazione, in Rivista trimestrale di Diritto}

Pubblico, 2017, pag. 658.

146 _{Stanzione M. G., Il Regolamento europeo sulla privacy: origini e ambito di applicazione, in Europa e}

Diritto Privato, 2016, pag. 1249.

147 _{Ciccia Messina A., Bernardi N., Privacy e Regolamento Europeo 2016/679, Ipsoa, Milano, 2016, pag.}

91 2016/679)148. Inoltre, anche l’art 9 del Regolamento 2016/679, al par.4, permette agli Stati membri di “mantenere o di introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento dei dati genetici, biometrici e relativi alla salute” e quindi da una prima lettura sembrerebbe che il “legislatore europeo abbia inteso creare una altalena di regimi, senza peraltro decretare la prevalenza di uno o dell’altro”149

.

Nonostante le difficoltà che si potranno riscontrare in relazione all’uniformazione, il motto “One Continent, One Law” è diventato realtà; tale slogan venne pronunciato dalla Vice Presidente della Commissione europea Vivian Reding, al fine di rendere consapevoli gli europei, e non solo, dell’importanza di una “legge pan-europea sulla protezione dei dati personali. Da una parte vi era quindi l’esigenza di aggiornare la Direttiva privacy risalente al 1995, dall’altra questo passaggio critico era indispensabile per avviare il percorso di realizzazione di un mercato unico digitale”150.

La Direttiva 95/46/Ce fu adottata in un periodo in cui Internet non era ampiamente diffuso, quanto oggi; all’epoca non era previsto l’uso dei social network, dello

smartphone, dell’Internet of Things151 e di altre tecnologie che oggi hanno un posto nella vita di tutti i giorni. Così, negli ultimi anni si è assistito alla diffusione di tecnologie e all’internazionalizzazione di flussi di dati che “hanno significativamente aumentato il rischio per gli individui di diminuire o perdere il controllo sui propri dati”152

.

148 _{Piraino F., Il Regolamento generale sulla protezione dei dati personali e i diritti dell’interessato, in Le}

nuove leggi civili commentate, 2017, pag. 372.

149 _{In tal senso Granieri M., Il trattamento di categorie particolari di dati personali nel Reg. UE}

2016/679, in Le nuovi leggi civili commentate, 2017, pag. 170.

150 _{Di Resta F., Il nuovo regolamento generale sulla protezione dei dati personali: un continente una}

legge, ma occorre essere preparati, in www.diritto24.ilsole24ore.com.

151 _{Il termine Internet of Things (IOT), conosciuto anche come “cyber-physical sistems (CPS)”, fu coniato}

per la prima volta da Kevin Ashton, pioniere della tecnologia, durante una sua presentazione alla Procter & Gramble nel 1999. Egli cercò di aiutare e risolvere i problemi della supply chain di P&G sviluppando i tag RFID, cioè dei tag radio che sostituivano i codici a barre e mettevano in rete oggetti fisici utilizzando dei micro tag e lettori. Egli utilizzo il termine Internet of Things per descrivere come RFID potevano connettere un oggetto ad Internet. In tal senso Lee, The Internet of Things in the Modern Business

Environment, IGI GLOBAL, 2017, pag. 167. Quindi, per IOT si intende una “rete di oggetti dotati di

tecnologie di identificazione, collegati fra di loro, in grado di comunicare sia reciprocamente sia verso punti nodali del sistema, ma soprattutto in grado di costituire un enorme network di cose dove ognuna di esse è rintracciabile per nome e in riferimento alla posizione. L’identificazione di ciascun oggetto avviene tramite minuscoli transponder a radiofrequenza in essi inseriti, oppure mediante codici a barre o codici grafici bidimensionali impressi sull’oggetto”. In www.treccani.it.

152 _{Liguori L., È in vigore il nuovo regolamento generale sulla protezione dei dati, 2016, in}

92 Pertanto, la ragione per la quale l’Unione Europea si è dotata di una nuova legislazione in materia di data protection si rinviene dall’esame dei Considerando 6 e 7 del suddetto Regolamento, in cui è riconosciuto che “la rapidità tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali. La portata della condivisione e della raccolta di dati personali è aumentata in modo significativo. La tecnologia attuale consente tanto alle imprese private quanto alle autorità pubbliche di utilizzare dati personali, come mai in precedenza, nello svolgimento delle loro attività. Sempre più spesso, le persone fisiche rendono disponibili al pubblico su scala mondiale informazioni personali che li riguardano. La tecnologia ha trasformato l’economia e le relazioni sociali e dovrebbe facilitare ancora di più la libera circolazione dei dati personali all’interno dell’Unione e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al tempo stesso un elevato livello di protezione dei dati personali. Tale evoluzione richiede un quadro più solido e coerente in materia di protezione dei dati nell’Unione, affiancato da efficaci misure di attuazione, data l’importanza di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno. È opportuno che le persone fisiche abbiano il controllo dei dati personali che li riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche”. Dunque, le nuove dinamiche hanno messo “in crisi un apparato giuridico concepito per un contesto tecnologico oramai consegnato al passato”153

; pertanto, è possibile evincere che l’apparato concettuale e definitorio della Direttiva del 1995 risultava essere piuttosto obsoleto rispetto al nuovo contesto delineatosi.

Perciò, tale “quadro più solido” è raffigurato dal Regolamento 2016/679, che assicura un livello coerente di protezione delle persone fisiche in tutta l’Unione e previene le disparità che possono ostacolare la libera circolazione dei dati personali nel mercato interno (Considerando 13).

La necessità di redigere ed adottare un Regolamento sorge anche dal fatto che i dati oggi hanno una rilevante importanza economico-sociale. Così, se originariamente le ragioni che avevano spinto a dotarsi di un modello sovranazionale di regolamentazione erano dovute al bisogno di assicurare lo scambio transfrontaliero di informazioni tra

153 _{In tal senso Guarda P., Fascicolo sanitario elettronico e protezione dei dati personali, Trento, 2011,}

93 soggetti pubblici e privati, oggi le ragioni sono da ricondursi all’esigenza di arginare i rischi che incombono sui dati e le loro conseguenze154.

Inoltre, l’esigenza di un nuovo Regolamento scaturisce dal fatto che il legislatore europeo si è ritrovato dinnanzi ad una smisurata “frammentazione normativa”155 in materia di privacy, tant’è che legislazioni, a volte parecchio differenti tra loro, hanno in effetti ostacolato il sorgere di un vero mercato unico digitale.

Si rinviene, ulteriormente, un’importante differenza tra la Direttiva 95/46/CE ed il nuovo Regolamento in relazione al fatto che in quest’ultimo è dedicata maggiore attenzione ai diritti e agli obblighi di sicurezza che il titolare156 o il responsabile157devono osservare, al fine di non ledere i diritti degli interessati. “Da questo punto di vista sembra davvero che in qualche modo il Regolamento rovesci la prospettiva” della precedente Direttiva158

.

Quindi, il fine appare quello di impedire eventuali danni all’interessato, aumentando gli obblighi di coloro che trattano i dati, tuttavia senza agire sui diritti di costoro; ciò in virtù del fatto che spesso l’interessato non ha modo di comprendere quali siano le procedure con cui i suoi dati vengono trattati, da chi e dove essi vengano trattati.

Di conseguenza, il Regolamento pone molta enfasi al tema della sicurezza dei dati personali, dedicandovi sei articoli in merito (Artt.32, 34, 35, 36, 38, 39), a fronte dei soli due articoli (artt. 16 e 17) previsti dalla Direttiva privacy.

Il Regolamento apporta varie novità, tra queste si rinviene il diritto alla cancellazione (“diritto all’oblio”)159

all’art.17, che è uno sviluppo del diritto alla cancellazione

154

Mantelero A., Responsabilità e rischio nel Regolamento UE 2016/679, in Le nuove leggi civili commentate, 2017, pag.147.

155 _{Comunicazione della Commissione al Parlamento Europeo, al Consiglio, al Comitato economico e}

sociale europeo e al Comitato delle regioni, Strategia per il mercato unico digitale in Europa, 6 maggio 2015, pag. 11, in www.eur-lex.europa.eu.

156 _{Ai sensi dell’art.4 del Regolamento 2016/679 il “titolare del trattamento è la persona fisica o giuridica,}

l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.

157 _{Ai sensi dell’art.4 del suddetto Regolamento il “responsabile del trattamento è la persona fisica o}

giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.

158 _{Pizzetti F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al}

nuovo regolamento europeo, cit., pag. 154.

159 _{Il diritto all’oblio può essere definito come “interesse meritevole della tutela dell’ordinamento}

94 previsto all’art. 12 della Direttiva 95/46/CE, l’introduzione dei principi di privacy by

design e by default (art.25)160, l’obbligo per i titolari del trattamento di compiere una

“valutazione d’impatto” (art.35), un inasprimento del regime sanzionatorio nel caso di violazioni delle norme previste dal Regolamento (art.83).

Il GDPR ribadisce l’importanza del consenso quale base giuridica del trattamento (art.7), che dovrà essere libero, specifico, consapevole ed inequivocabile; il consenso per essere ritenuto valido, dovrebbe essere espresso attraverso un atto positivo inequivocabile, con cui l’interessato manifesta la sua intenzione libera, specifica ed informata, rimanendo pertanto esclusa la possibilità di presumere il consenso dall’inattività, dal silenzio dell’interessato o dalla preselezione di caselle (Considerando 32).

In tal modo, la normativa europea è in linea con la disciplina italiana circa l’acquisizione del consenso. Inoltre, nel caso in cui quest’ultimo sia prestato nel contesto di una dichiarazione scritta che tiene conto anche di altre materie, e la richiesta di consenso non è presentata in maniera distinguibile rispetto alle altre materie, il consenso non si potrà ritenere valido. In qualsiasi momento l’interessato ha il diritto di revocare il proprio consenso e l’onere della prova circa l’avvenuto rilascio del consenso è in capo ai responsabili del trattamento.

Tuttavia, nonostante formalmente il Regolamento riconosca il consenso quale una delle condizioni di liceità prevista ed impronta lo stesso di rigore, affermando che debba essere espresso in maniera inequivocabile, la relativa definizione resta comunque vaga, in quanto dalla lettura dell’art.6, par.1, lett. f) si recepisce che il trattamento è lecito se “necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore”. Inoltre, si legge che “la lettera f) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti”.

se, nel momento in cui si sono verificate, hanno avuto lecita diffusione attraverso i mezzi di comunicazione”. In tal senso si veda Piselli S., Il “diritto all’oblio” e il diritto all’identità digitale del

lavoratore, in Diritto & Pratica del lavoro, 2017, pag. 2213.

160

95 Pertanto, non si ha una chiara definizione di cosa sia il “legittimo interesse del titolare”, nonostante essa sia necessaria “per evitare che il ricorso a questa previsione si riveli un facile escamotage per rimediare ai casi di trattamento effettuato senza il consenso dell’interessato”161

.

Fondamentale è l’introduzione della figura del Data Protection Officer (DPO) o Responsabile della protezione dei dati (artt. 37-39 del Regolamento), per gli enti pubblici e privati che trattano dati di natura delicata o monitorano su larga scala ed in modo sistematico gli individui; è un soggetto che può essere sia interno che esterno all’ente, piuttosto competente in materia di protezione dei dati e sicurezza informatica162, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal GDPR, di sorvegliare sul loro reale adempimento, di fornire le valutazioni d’impatto e di interfacciarsi con gli interessati e/o con il Garante. Tale figura era già stata istituita in alcuni Paesi Europei ed Extraeuropei, tuttavia in alcuni Paesi, quali l’Italia, era ancora assente.

Tale figura può essere qualificata come “primo difensore del dato e non solo responsabile per le eventuali violazioni su di esso, visto che deve essere in possesso di specifici requisiti, quali la competenza, l’esperienza, l’indipendenza e l’autonomia delle risorse”163

.

In conclusione, dal momento che il Regolamento non potrà più contare sulla legislazione di ogni singolo Paese membro circa la protezione dei dati personali, è necessario un giudizio fondato su due diversi livelli. In primo luogo si deve verificare che esso sia capace di assicurare efficacemente il diritto alla protezione dei dati personali a ciascun cittadino dell'UE; successivamente si dovrà valutare se esso sia in grado o meno di sostituire effettivamente tutte le normative nazionali degli Stati membri164.

161 _{Thiene A., Segretezza e riappropriazione di informazioni di carattere personale: riserbo e oblio nel}

nuovo Regolamento europeo, in Le nuove leggi civili commentate, 2017, pag. 417.

162 _{Gorla S., Ferrara F., Fornasiero F., Montini G., Quadrelli M., Quaderno del Data Protection Officer}

(Responsabile della protezione dei dati): Una guida nel difficile mondo della privacy, cit., pag. 65.

163 _{Palazzolo G., La banca dati e le sue implicazioni civilistiche in tema di cessione e deposito alla luce}

del Reg. (UE) n. 2016/679, in Contratto e impresa, 2017, pag. 634.

164 _{In tal senso De Hert P., Papakostantinou V., The proposed data protection Regulation replacing}

96

1.1 Gli ambiti di applicazione del Regolamento e la profilazione

Per quanto concerne l’ambito di applicazione del presente Regolamento, è opportuno distinguere tra ambito di applicazione territoriale e materiale. Il primo, risulta più nel Regolamento rispetto alla Direttiva 95/46/CE, che pure prevede che la disciplina in materia di tutela di dati personali trovi applicazione, per il tramite delle legislazioni nazionali, quando il trattamento di dati personali è effettuato “nel contesto delle attività di uno stabilimento del titolare situato nell’UE”. Sulla base di ciò, il Codice all’art. 5, sancisce che le relative norme siano applicate:

(i) al “trattamento di dati personali, anche detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato [italiano] o in luogo comunque soggetto alla sovranità dello Stato”; e

(ii) “anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato [italiano] anche diversi da quelli elettronici, salvo che essi siano utilizzati solo ai fini di transito nel territorio dell’Unione europea”. Tuttavia, il nuovo Regolamento modifica la concezione classica del principio di stabilimento165, e si applica, oltre che nel caso di trattamento di dati personali effettuato da un titolare stabilito nell’UE, anche nel caso in cui il trattamento sia svolto da titolari non stabiliti nell’Unione Europea se il trattamento ha ad oggetto dati personali di interessati che si trovano nell’UE e riguarda:

 l’offerta di beni o servizi (anche non a pagamento) ai suddetti interessati nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato.

 il monitoraggio del loro comportamento, nella misura in cui tale comportamento ha luogo all’interno dell'Unione.

Nel primo caso, per poter applicare il Regolamento, sarà necessario lo svolgimento di un’offerta di beni o servizi, mentre nel secondo caso, sulla base di quanto previsto dal Considerando 24, potrà rilevare il fatto che “le persone fisiche siano tracciate su

165 _{“Lo stabilimento implica l'effettivo e reale svolgimento di attività nel quadro di un’organizzazione}

stabile. A tale riguardo, non è determinante la forma giuridica assunta, sia essa una succursale o una filiale dotata di personalità giuridica” (Considerando 22).

97 Internet, compreso l’eventuale ricorso successivo a tecniche di trattamento che consistono nella profilazione della persona fisica, in particolare per adottare decisioni che la riguardano o analizzarne o prevederne le preferenze, i comportamenti e le posizioni personali”. Dunque, tutti gli operatori di siti o app che offrono beni o servizi nell’UE, o funzionalità capaci di monitorare i comportamenti online degli utenti, o l’uso