Definizioni, principi generali e meccanismi di controllo L’articolo 4 del GDPR è molto importante perché fissa le definizion

principali che ci permetteranno di comprendere meglio il significato delle disposizioni successive; questa disposizione corrisponde a quello che nella direttiva 95/46/CE era l’articolo 2, ma introduce nuove definizioni, quali ad esempio “profilazione 320 , “pseudonomizzazione”321, “violazione dei dati personali”.

318 _{Articolo 37, co.1, lett. a-b-c-, GDPR.}

319 _{M. Mensi – P. Falletta, Il diritto del Web, op. cit., p, 363}

320 _{“Profilazione: qualsiasi forma di trattamento automatizzato di dati}

personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la

Con riguardo, invece, ad alcune “vecchie definizioni”, come ad esempio il “consenso”, la disciplina del GDPR attribuisce delle caratteristiche che il consenso stesso deve avere per poter essere validamente espresso, in primis quello di dover essere “attivo” e “inequivocabile” escludendo, di fatto il consenso tacito o passivo (come, del resto, precisato dal “considerando” n° 32).

Per quanto riguarda i “dati personali”, l’articolo 4 ci fornisce anche la definizione di “dati genetici” e “dati biometrici”, ricomprendendo entrambi nell’applicazione del GDPR.

Inoltre, estende la portata della nozione di “trattamento”, la quale arriva a ricomprendere anche le operazioni di “strutturazione”, “uso” e “limitazione”.

L’articolo 5, si occupa dei principi applicabili al trattamento di dati, ovvero di dettare le condizioni rispetto alle quali un trattamento può essere definito lecito.

Uno dei principi maggiormente rilevanti è contenuto al co. 1 e stabilisce che “i dati devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”; essi devono essere inoltre esatti, adeguati, pertinenti e limitati, in termini di tipologia e tempistiche, a quanto necessario rispetto alle finalità, le quali devono essere specificate al momento della raccolta degli stessi.322

situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica”, articolo 4, co. 4, GDPR.

321 _{“Pseudonimizzazzione: il trattamento di dati personali in modo tale che i}

dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”, articolo 4, co. 5, GDPR.

Al comma 2 troviamo la menzione del principio di accountability, il quale sarà fissato e specificato dall’articolo 24323_{: la norma dispone} che “il titolare del trattamento è competente per rispetto del paragrafo 1 e in grado di comprovarlo”324; questo ci fornisce un altro elemento che ci permette di addentrarci nella logica del GDPR, vale a dire il fatto che per essere accountable, il titolare e il responsabile non devono limitarsi a mettere in atto le procedure volte a eliminare o limitare i rischi del trattamento dei dati, ma devono essere anche in grado di dimostrare di aver agito in questo modo.

Secondo il parere espresso dal Working Party Article 29 il 13 luglio 2010, “la componente essenziale della responsabilità è data dall’obbligo del titolare del trattamento di: mettere in atto misure per garantire – in circostanze normali – che le norme in materia di protezione dei dati siano rispettate nel contesto delle operazioni di trattamento e disporre di documentazione atta a dimostrare agli interessati e alle autorità di controllo le misure adottate per conseguire il rispetto delle norme in materia di protezione dei dati “325.

Il rispetto e la dimostrazione del principio di accountability si lega quindi alla predisposizione di una serie di procedure preliminari all’attività di trattamento, le quali possono essere definite congiuntamente “modello di gestione privacy”326, la cui corretta progettazione ed implementazione consentirà “l’adozione di misure logiche, fisiche e organizzative in grado di ridurre sensibilmente i

323 _{Il principio di accountability viene fissato nell’articolo 24.} 324 _{Articolo 5, co. 2, GDPR.}

325 _{Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio}

d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op. cit., p. 153.

326 _{M. Soffientini (a cura di), PRIVACY– protezione e trattamento dei dati,}

rischi privacy, con particolare riguardo alla perdita di dati, comunicazioni illegittime e accessi non autorizzati.”327

Come abbiamo avuto modo di sostenere, “il regolamento opera un […] capovolgimento nella disciplina a tutela della privacy, contenuta nella direttiva 95/46, collocando al centro del sistema i doveri gravanti in capo al titolare (controller) e al responsabile (processor), invece di focalizzarsi sui diritti dell’interessato (data subject)”, “scardina[ndo] l’intera impostazione del concetto di sicurezza del trattamento che il precedente codice della privacy […] aveva fondato sull’adozione di misure minime di sicurezza, per aprire le porte al nuovo principio dell’accountability”328.

Ma come si declina questo principio in termini concreti? Il titolare dovrà innanzitutto partire da un’analisi preventiva della propria attività e dei rischi ad essa connessi e sulla base della risultanze della stessa dovrà “individuare i processi di trattamento, stimare i rischi per i diritti e le libertà degli interessati in termini di probabilità e gravità e per poi consentirgli di adottare le misure tecniche o organizzative adeguate a ridurre o, ove possibile, eliminare il rischio”329.

Tale procedura prende il nome di valutazione di impatto (in inglese DPIA, Data Protection impact assessment) ed è disciplinata dall’articolo 35 del GDPR; essa rappresenta uno degli strumenti fondamentali, insieme ad una regolare tenuta del registro dei                                                                                                                

327 _{M. Soffientini (a cura di), PRIVACY– protezione e trattamento dei dati,}

op. cit., p.17.

328 _{M. Martorana (a cura di), GDPR e decreto legislativo 101/2018.}

Vademecum del professionista: obblighi, adempimenti, strumenti di tutela.,

CEDAM, Milano, 2019, p. 91.

329 _{M. Martorana (a cura di), GDPR e decreto legislativo 101/2018.}

Vademecum del professionista: obblighi, adempimenti, strumenti di tutela.,

trattamento 330 _{e all’adempimento rigoroso degli altri obblighi} imposti331 _{dal GDPR, che consentono di dimostrare al titolare e al} responsabile di essere compliant.

L’articolo 35 prevede alcune ipotesi nelle quali la DPIA deve essere obbligatoriamente effettuata: queste si sostanziano essenzialmente in quei casi in cui il trattamento sia effettuato su larga scala e riguardi determinate categorie di dati e quando esso sia effettuato con modalità automatizzate, come ad esempio la profilazione, dalle quali possano derivare effetti giuridici o influenze su una persona fisica; tale casistica non risulta peraltro chiusa, poiché è suscettibile di essere ampliata da una valutazione effettuata dall’Autorità di controllo e dalla sensibilità del singolo titolare del trattamento, il quale potrebbe ritenerla opportuna pur non essendovi obbligato.

Appare opportuno fare cenno ad alcuni autori, i quali hanno criticato l’utilità della valutazione di impatto, in relazione alla sua capacità di evidenziare quei rischi sorti in conseguenza dell’avvento delle nuove tecnologie e, in particolare, dell’utilizzo massivo di big data e                                                                                                                

330 _{Previsto dall’articolo 30 del GDPR, è un documento nel quale il titolare o}

il responsabile del trattamento, tengono ogni informazione necessaria relativa alle attività di trattamento che vengono da loro effettuate. Non è sempre obbligatorio, ma rappresenta uno di quegli adempimenti che, in base al principio di accountability, sarebbe opportuno che tutti coloro i quali si occupino di dell’attività di trattamento dati, mettessero in atto.

331 _{Il riferimento è, senza alcuna pretesa di completezza: alla predisposizione}

e consegna delle adeguate informative, agli interessati e agli altri soggetti dei quali il titolare o il responsabile si trova a dover trattare i dati personali; alla effettuazione e conservazione dei documenti attestanti le nomine dei soggetti responsabili e autorizzati; alla redazione di privacy policy chiare e puntuali; alla definizione di un organigramma privacy in grado di fissare i vari livelli di accesso e responsabilità; al mero ordine nella tenuta e nell’utilizzazione della documentazione cartacea necessaria allo svolgimento dell’attività aziendale; all’adempimento dell’obbligo di notifica al garante di ogni “personal data breach”, senza ritardo e, ove possibile, entro 72 ore, salvo che sia improbabile che la violazione presenti un rischio per i diritti e le libertà delle persone fisiche. .

procedure di data mining, evidenziando una serie di criticità, nello specifico:

- i rischi di facile individuazione (intrusione nelle banche dati e manipolazione o dismissione di dati) trascurano il vero problema legato all’utilizzo delle tecnologie di cui sopra ovvero il “rischio da previsione comportamentale”, secondo il quale “i dati aggregati, se usati da un algoritmo come materiale grezzo, sono suscettibili di provocare valutazioni pregiudizievoli per diffuse categorie di soggetti”332 _{e questo è} un rischio che non può essere previsto preventivamente;

- i big data lavorano tendenzialmente su dati anonimi, i quali “solo in seguito di incroci sinergici tra più banche dati diventano riferibili a persone. Solo che la re-identificazione è successiva rispetto alla valutazione di impatto, che sarà già stata fatta senza averne tenuto conto”333; a ciò si aggiunga che il GDPR non tutela i dati anonimi;

- “gli scopi determinati, espliciti e legittimi (art. 5, par.1 , lett, b) Reg.) per i quali i dati vengono raccolti” e richiesti dal legislatore per determinare la liceità di un determinato trattamento, non funzionano in relazione ai Big data, poiché “i fini […] ad essi connessi, sono di regola ignoti e cangianti”334. Le criticità evidenziate sollevano quindi dei dubbi in relazione alla questione secondo la quale il GDPR sia o meno nato “vecchio”, anche                                                                                                                

332 _{G. De Minico, Big data e la debole resistenza delle categorie giuridiche.}

Privacy e lex mercatoria, in Diritto Pubblico, Il Mulino, Bologna, fascicolo

1, 2019, p. 94.

333 _{G. De Minico, Big data e la debole resistenza delle categorie giuridiche.}

Privacy e lex mercatoria, op. cit.. 95.

334 _{G. De Minico, Big data e la debole resistenza delle categorie giuridiche.}

se a ben guardare, questa non sembra essere una problematica da riferire al solo GDPR, ma a tutti gli interventi giuridici che hanno tentato di regolare l’innovazione tecnologica poiché, come affermava lo stesso Rodotà in tempi risalenti rispetto all’approvazione del Regolamento UE 675/2016, per il quale “la nuova angoscia nasce dalla consapevolezza dello scarto assai forte tra la rapidità del progresso tecnico-scientifico e la lentezza con cui matura la capacità di controllo dei processi sociali che a quel progresso si accompagnano […] questo[…] si risolve in un affannoso e vano inseguimento delle novità tecnologiche”335.

Occorre adesso fare cenno alle basi giuridiche del trattamento, indicate nell’articolo 6336 del GDPR, le quali rappresentano le condizioni che devono essere presenti affinché un trattamento possa essere considerato lecito; pare necessario soffermarci sulla base giuridica indicata dall’articolo 6, comma1, lettera a), ovvero il consenso.

Il consenso è definito all’articolo 4 comma 11, come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile                                                                                                                

335 _{S. Rodotà, Tecnologie e diritti, op. cit., p. 42.}

336 _{“1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una}

delle seguenti condizioni: a) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; b) il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso; c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; d) il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; f) il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.” Articolo 6, co. 1. , lett. a)-f).

dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”337 e la sua portata applicativa viene ulteriormente specificata al considerando 32338.

Il consenso può essere considerato la base giuridica principale alla quale ricondurre la liceità di gran parte delle attività di trattamento, ma parte della dottrina si è chiesta, alla luce delle nuove esigenze imposte dall’utilizzo massivo delle nuove tecnologie nel settore del trattamento dei dati personali, se un approccio basato sul consenso dell’interessato può essere considerato idoneo.

La risposta sembra essere negativa, anche alla luce delle considerazioni che abbiamo poc’anzi fatto in relazione alla DPIA, poiché “i dati raccolti in forma massiva sono tendenzialmente anonimi e quindi non hanno un titolare, individuato o individuabile, legittimato a prestare il consenso; ma anche nell’ipotesi in cui i dati avessero un nome e un cognome, chi li raccoglie non può sapere in quel momento                                                                                                                

337 _{Articolo 4, co. 11, GDPR.}

338_{“Il consenso dovrebbe essere espresso mediante un atto positivo} inequivocabile con il quale l'interessato manifesta l'intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. Ciò potrebbe comprendere la selezione di un'apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell'informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l'interessato accetta il trattamento proposto. Non dovrebbe pertanto configurare consenso il silenzio, l'inattività o la preselezione di caselle. Il consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste. Se il consenso dell'interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso.”, considerando 32 al GDPR.

quale sarà il loro impiego futuro. Quindi, chi colleziona dati con la rete a strascico non ci può dire per quale finalità li sta affastellando, perché lo ignora anche lui, e se pure conoscesse lo scopo della raccolta, nulla ne impedirebbe l’impiego successivo per fini diversi da quelli iniziali. Una cosa è certa: i dati non rimarranno fermi perché rappresentano il punto di avvio delle analisi predittive, cioè di quelle attività previsionali dirette ad anticipare con prognosi ex ante le condotte che intere categorie di soggetti presumibilmente assumeranno secondo le proiezioni dell’algoritmo. Pertanto, nelle condizioni di buio totale il nostro consenso informato è diventato un «non consenso». Questo spiega perché l’antica tutela della privacy, consent based, assistita dalle garanzie dell’autonomia e della consapevolezza, non è più utilmente invocabile”339 .

A conclusione di questo viaggio nella disciplina del GDPR, deve essere fatto un cenno ai meccanismi di controllo e di sanzione.

Abbiamo già accennato al sistema delle sanzioni amministrative340, che risulta inasprito rispetto al precedente in relazione all’entità delle sanzioni stesse, collegata alla loro funzione realmente dissuasiva; per quanto riguarda le sanzioni penali341, il GDPR rimanda alla determinazione da parte di norme nazionali; per quanto riguarda il “danno da trattamento” il GDPR conferma l’impianto della disciplina previgente che abbiamo ampliamente trattato nel capitolo terzo del presente elaborato, pertanto si rimanda a quelle considerazioni.

Protagoniste indiscusse dell’erogazioni delle sanzioni e dei

339 _{G. De Minico, Big data e la debole resistenza delle categorie giuridiche.}

Privacy e lex mercatoria, in Diritto Pubblico, Il Mulino, Bologna, fascicolo

1, 2019, p. 92.

340 _{Articolo 83, GDPR.} 341 _{Articolo 84, GDPR.}

meccanismi di controllo, sono le Autorità garanti342_{, necessariamente} presenti in ogni stato membro, e il Comitato Europeo per la protezione dei dati343.

I poteri delle Autorità di controllo escono rafforzati dal sistema delineato dal nuovo GDPR, il quale può essere così riassunto nelle sue linee essenziali: “l’autorità garante di uno stato membro è competente a eseguire i compiti assegnati e esercitare i poteri ad essa conferiti dal regolamento nel territorio del rispettivo stato membro. In caso di imprese che trattano dati personali in vari stati membri è previsto un ruolo preminente dell’autorità garante “capofila”344, la cui decisione vincola in questo caso anche quelle degli altri stati membri interessati[…]. Vengono altresì specificati i requisiti di indipendenza345 e rafforzati gli ambiti di intervento346 delle autorità per la privacy nazionali per il controllo dell’effettivo rispetto delle norme, che sono autorizzate a dare adeguata protezione ai cittadini circa l’utilizzo dei propri dati personali e debbono essere consultate qualora siano adottati strumenti normativi aventi un impatto sulla protezione dei dati personali. Si dispone inoltre che le autorità garanti esercitino poteri di indagine, di intervento, autorizzativi e consultivi, incluso il potere di accreditare organismi di certificazione 347 , rilasciare                                                                                                                 342 _{Artt. 51 e ss. GDPR.} 343 _{Articolo 68, GDPR.} 344 _{articolo 56, GDPR} 345 _{articolo 52, GDPR} 346 _{artt. 55-58, GDPR}

347 _{artt. 42 e ss. , GDPR; la certificazione è definita all’articolo 42 comma 1}

nel seguenti termini “ Gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano, in particolare a livello di Unione, l'istituzione di meccanismi di certificazione della protezione dei dati nonché di sigilli e marchi di protezione dei dati allo scopo di dimostrare la conformità al presente regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento. Sono tenute in considerazione le esigenze specifiche delle micro, piccole e medie imprese.” .

certificazioni e approvare criteri di certificazione. Infine, il regolamento disciplina i rapporti tra le autorità dei diversi paesi, e istituisce il Comitato europeo per la protezione dei dati, composto dai vertici di ciascuna autorità di controllo per ciascuno stato membro e dal garante europeo per la protezione dei dati”348.

4.2.3. Conclusioni.

Per concludere questo nostro elaborato, appare opportuno fare alcuni cenni relativi a come il GDPR abbia tradotto le esigenze derivanti dal dover operare nell’ambito dell’era digitale, la quale abbiamo avuto modo di illustrare, ha provocato sconvolgimenti trasversali, in ogni ambito della vita, privata e pubblica.

Nonostante alcune perplessità349, che hanno ingenerato in parte della dottrina la convinzione di non corrispondenza delle disposizioni del Regolamento UE ai reali bisogni posti dalla società dell’informazione e dal ruolo centrale che la protezione del dato ha all’interno di essa, deve essere riconosciuto che il GDPR ha tentato si intervenire con incisività rispetto a quanto fatto dalla disciplina precedente, concedendo “principale rilevanza al trattamento dei dati informatico, digitale e telematico […] legato in particolare alla fruizione della rete internet e di servizi a questa correlati […] imponendo livelli di sicurezza medio-alti”350.

Tale approccio si è sostanziato anche nella previsione dei principi di privacy by design e privacy by defautl 351_{, ai quali abbiamo già fatto}                                                                                                                

349 _{Il riferimento è alle criticità precedentemente esposte in relazione alla}

DPIA e alla base giuridica del consenso.

350 _{M. Soffientini (a cura di), PRIVACY– protezione e trattamento dei dati,}

op.cit., p. 771.

351_{“1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché}

della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente

cenno, i quali sono specificatamente riferibili ai trattamenti di dati personali effettuati con strumenti elettronici.

Inoltre, l’articolo 32352 tra le “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio” che i titolari e i responsabili sono chiamati a mettere in atto, esso ricomprende                                                                                                                                                                                                                                                                      

regolamento e tutelare i diritti degli interessati.; 2. Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica; 3. Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 del presente articolo.”, articolo 25, GDPR

352 _{“1. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché}

della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle