I Principi fondamentali del Regolamento (UE) 2016/679

Da questo punto di vista, la prima osservazione va svolta in relazione al principio di trasparenza; esso è enunciato principalmente all'articolo 12 del Reg. (UE) 2016/679 e costituisce la condicio sine qua non per qualsiasi trattamento di dati voglia definirsi lecito. In particolare, la norma sottolinea l'importanza di fornire informazioni che siano non solo esaurienti ma anche chiare, concise e facilmente comprensibili da parte degli interessati, anche minori32_.

Non solo, corollario del principio di trasparenza è la funzione agevolatrice che il titolare del trattamento deve svolgere nei confronti dei diritti dell’interessato; il regolamento, sotto questo profilo, insiste sulla funzione proattiva che le diverse figure chiamate ad assumere responsabilità in ordine alla protezione dei dati devono essere in grado di esercitare33_.

Si tratta di una nuova lettura del ruolo del titolare del trattamento, che si può rinvenire anche in un ulteriore passaggio importante, che riguarda il principio di portabilità dei dati (right to data portability nella versione inglese), in ragione del quale è necessario che i dati possano essere facilmente trasferibili da parte di un interessato fra diversi supporti

32 _{Cfr. art. 12, par. 1 Reg. (UE) n. 2016/679.}

33 _{Cfr. art. 12, par. 2 - 5 Reg. (UE) n. 2016/679; per quanto concerne la relazione fra trasparenza e}

portabilità dei dati, cfr. Pizzetti F. (a cura di), La protezione dei dati personali e la sfida dell’intelligenza

artificiale, in “I diritti nella ‘rete’ della rete”, collana diretta da Pizzetti F., Giappichelli Editore, Torino,

31

nel caso in cui il trattamento, oltre che su di una base lecita, avvenga per mezzo di strumenti automatizzati34_.

Inoltre, non può non essere menzionato in questa lista il famoso “diritto all’oblio”, (right to be forgotten) che in verità era già stato introdotto per via giurisprudenziale35 _{e che ora} è stato positivizzato all’art. 17 del regolamento.

Esso prevede la possibilità per l’interessato di chiedere la cancellazione dei dati che lo riguardano e che siano stati acquisiti illecitamente o rispetto ai quali non sussista più un interesse pubblico al trattamento o perché si è esaurito lo scopo per il quale erano stati raccolti ed è venuta meno la base giuridica per la liceità del trattamento.

Non deve trarre in errore il fatto che si senta spesso parlare di diritto all’oblio in relazione a personaggi famosi; il campo di applicazione d tale diritto è infatti ben più ampio e riguarda potenzialmente ciascun cittadino che si trovi nella condizione di voler chiedere la cancellazione dei propri dati da un determinato servizio che non intende più utilizzare o che voglia comunque impedire la diffusione di notizie sul suo conto che siano state pubblicate per errore o che comunque dovrebbero essere rettificate.

Si tratta di operazioni tecnicamente non sempre facili e che il legislatore europeo impone in capo al titolare, il quale dovrà provvedervi a richiesta dell’interessato e, inoltre, dovrà informare della necessaria cancellazione anche gli altri eventuali soggetti cui i dati siano stati forniti.

A tal fine egli dovrà disporre delle tecnologie e delle competenze necessarie per realizzare lo scopo e si tratta di un compito tutt’altro che semplice, che dimostra con evidenza la difficoltà di accordare tecnica e diritto.

Ne discende che, per poter attuare concretamente e diffusamente tanto il diritto alla portabilità quanto il diritto all’oblio, occorre predisporre a monte soluzioni tecniche idonee.

Questo porta quindi a focalizzare l’attenzione su altri fondamentali principi strutturali del Regolamento Europeo.

34 _{Cfr. art. 20, par. 1 Reg. (UE) n. 2016/679.}

35 _{La sentenza di riferimento a tal proposito è la Sentenza della Corte (Grande Sezione) del 13 maggio}

32

L’art. 25 prescrive la necessità di predisporre la “protezione dei dati fin dalla progettazione” e la “protezione dei dati per impostazione predefinita”; tali disposizioni sono meglio note con la definizione inglese di privacy by design e privacy by default. In base alle disposizioni del regolamento, per assicurarsi che i sistemi e le tecnologie che trattano i dati personali siano in grado di rispettare la privacy, si prevede che essi, sin dalla fase di ideazione e progettazione, debbano essere organizzati in modo da tutelare i dati e le informazioni che dovranno elaborare conformemente alla normativa. In tal modo i nuovi sistemi potranno operare solo ed esclusivamente nel rispetto dei dati degli utenti, come per impostazione predefinita, appunto.

Per essere operativo, questo approccio necessita giocoforza di una combinazione di più fattori: il diritto, la tecnica e la capacità di organizzazione, che sono elementi indispensabili per far sì che i diritti della persona, e con il essi il valore del singolo individuo, non si vadano perduti nell’ambiente informatizzato36_{; ben può dirsi che} invece il sistema che si vuole implementare deve prevedere che quegli stessi strumenti tecnologici, dai quali può giungere il pericolo per la tutela delle posizioni giuridiche che qui interessano, siano volti in funzione servente rispetto alle queste ultime ed essere utilizzati per garantirne ab origine il rispetto.

Merita menzione, inoltre, la previsione secondo la quale i titolari dovranno fare ora riferimento a una sola autorità di controllo in caso di ricorsi attinenti alla violazione dei dati personali.

È questo il meccanismo nominato one-stop-shop, o “sportello unico” nella definizione italiana, il quale dispone che in caso di aziende con sedi dislocate in diversi paesi, si debba fare riferimento a una sola autorità di controllo e cioè quella competente con riferimento alla sede principale dell'azienda, in presenza delle altre condizioni di cui all'articolo 56, che disciplina la fattispecie.

A ben vedere, si possono rintracciare in queste disposizioni due preoccupazioni di fondo: vi è senz’altro l'esigenza di permettere ai cittadini di esercitare effettivamente i

36 _{Cfr. Calzolaio S., Protezione dei dati personali, in Digesto delle Discipline Pubblicistiche - Aggiornamento -}

diretto da Sacco R.; Bifulco R., Celotto A., Olivetti M. (a cura di), Utet Giuridica, Milano, 2017, pp. 610- 611.

33

propri diritti ma, ancor di più, quella di garantire un’uniforme interpretazione e applicazione del regolamento in tutta l'Unione Europea37_{, ragione quest’ultima che} sottende al meccanismo dello “sportello unico”, che se per certi versi risulta complesso per il cittadino, che può vedersi costretto a rivolgersi ad autorità di altri paesi , per contro permetterà nel tempo, almeno questo è l’auspicio, di garantire una difesa dei diritti più chiara e condivisa nello spazio europeo.

Si scorge, in questa tensione all’uniformità, la consapevolezza da parte del legislatore europeo che sarà ben difficile ottenere il rispetto per i dati dei cittadini dell'Unione da parte delle grandi potenze mondiali se, dal canto suo, l’Unione e gli Stati membri non saranno in grado di raggiungere una legislazione, una prassi e una cultura veramente condivise.

Tutto questo, tuttavia, non potrebbe comprendersi né tantomeno realizzarsi se non alla luce del principio di accountability, reso in italiano con la definizione di “responsabilità del titolare del trattamento”, il cui valore permea tutto il regolamento.

37 _{Sul punto è illuminante un passaggio del documento del Garante Europeo per la Protezione dei dati,}

Sintesi esecutiva del parere del Garante europeo della protezione dei dati: «La risposta alle sfide dei megadati: richiesta di trasparenza, controllo da parte degli utilizzatori, protezione dei dati fin dalla progettazione e responsabilità» del 19.11.2015, in cui si legge: “Nel parere 3/2015, accompagnato da raccomandazioni

per un testo integrale della proposta di regolamento, abbiamo precisato che gli attuali principi di protezione dei dati, compresi la necessità, la proporzionalità, la minimizzazione dei dati, la limitazione delle finalità e la trasparenza, devono rimanere i principi chiave. Essi forniscono la linea di base necessaria per proteggere i nostri diritti fondamentali in un mondo di megadati. Al contempo, questi principi devono essere rafforzati e applicati con maggiore efficacia e in modo più moderno, flessibile, creativo e innovativo. Devono altresì essere integrati da nuovi principi, come la responsabilità e la privacy dalla progettazione e per default. Maggiore trasparenza, ampi diritti di accesso e portabilità dei dati, ed efficaci meccanismi di accesso-recesso potrebbero fungere da requisiti per assicurare agli utilizzatori un maggiore controllo sui propri dati e contribuire altresì a mercati più efficienti per i dati personali, a vantaggio sia dei consumatori, sia delle aziende.”

34