La tutela dell’individuo rispetto alle decisioni automatizzate nel nuovo Regolamento europeo sulla protezione dei dati personali.

In base all’art. 22 del GDPR l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida significativamente sulla sua persona. L’oggetto della disposizione è quindi doppiamente circostanziato: si applica alle decisioni che sono basate esclusivamente su trattamenti automatizzati e che hanno un certo livello di impatto sull’individuo (effetti giuridici o significativa incisività sulla persona). Il trattamento automatizzato non è quindi di per sé vietato e neppure lo è il fatto utilizzare gli esiti di tale trattamento, unitamente ad altri elementi, al fine di prendere una decisione. La profilazione infatti è lecita a condizione che siano rispettate le regole poste a tutela dei dati personali184_.

Gli esempi di trattamenti vietati sono molteplici e possono riguardare il diniego di una richiesta di finanziamento basata unicamente su un trattamento automatizzato finalizzato alla determinazione della presunta scarsa solvibilità del soggetto, o la sottoposizione dell’interessato a procedimenti tributari fondati esclusivamente su stime automatizzate del fatturato. Altro esempio può essere la decisione di escludere un

181 _{C. ABATANGELO (a cura di) Problematiche giuridiche per l’impresa. Un’antologia, FrancoAngeli}

Edizioni, 2017.

182 _{Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla}

protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

183 _{General Data Protection Regulation.}

184 _{A. RICCI, I diritti dell’interessato, G. FINOCCHIARO (opera diretta da), in Il nuovo regolamento}

candidato da una posizione lavorativa maturata unicamente sulla base dell’immagine sociale restituita dalla ricerca su un motore di ricerca in quanto il motore di ricerca opera secondo meccanismi automatizzati di indicizzazione185.

L’articolo 22 GDPR contiene alcune deroghe ed individua i casi in cui le decisioni automatizzate sono ammissibili: quando la decisione sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento; quando sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato; o quando si basi sul consenso esplicito dell'interessato. È stato osservato che le menzionate esclusioni comportano una notevole compressione della tutela riconosciuta all’individuo anche in considerazione del fatto che non viene adeguatamente considerata la possibile (e frequente) posizione di debolezza dell’individuo nel momento in cui si trova a prestare il consenso a questo tipo di decisioni186.

La dottrina italiana di commento al GDPR nel descrivere questo diritto sembra qualificarlo come una facoltà dell’interessato di opporsi alle decisioni basate su trattamenti automatizzati inoltrando specifica richiesta al titolare del trattamento187. Tuttavia l’interpretazione del gruppo di lavoro comunemente noto come WP29188

185 _{E. PELINO, I diritti dell’interessato, in BOLOGNINI, PELINO e BISTOLFI (a cura di), Il nuovo}

regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali,

Giuffrè, 2016, p. 272. S. GRUNDMANN, P. HACKER, Digital technology as a challenge to european

contract law. From the existing to the future architecture, su European Review of Contract Law, 2017, 3,

p. 255.

186 _{E. PELINO, I diritti dell’interessato, in BOLOGNINI, PELINO e BISTOLFI (a cura di), Il nuovo}

regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali,

Giuffrè, 2016, p. 274.

187 _{A. RICCI, I diritti dell’interessato, G. FINOCCHIARO (opera diretta da), in Il nuovo regolamento}

europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, 2017, p. 245; E. PELINO, I diritti

dell’interessato, in BOLOGNINI, PELINO e BISTOLFI (a cura di), Il nuovo regolamento privacy europeo,

Commentario alla nuova disciplina sulla protezione dei dati personali, Giuffrè, 2016, p. 269.

188 _{Il Gruppo è stato istituito dall'art. 29 della direttiva 95/46, è un organismo consultivo e indipendente,}

composto da un rappresentante delle autorità di protezione dei dati personali designate da ciascuno Stato membro, dal GEPD (Garante europeo della protezione dei dati), nonché da un rappresentante della Commissione. Il presidente è eletto dal Gruppo al suo interno ed ha un mandato di due anni, rinnovabile una volta. Il Gruppo adotta le sue decisioni a maggioranza semplice dei rappresentanti delle autorità di controllo. Fra i compiti più rilevanti tra quelli disciplinati dall'art.30 della direttiva: esaminare le questioni attinenti all'applicazione delle norme nazionali di attuazione della direttiva; formulare pareri sul livello di tutela nella Comunità e nei paesi terzi; consigliare la Commissione in merito ad ogni progetto di modifica della direttiva, ogni progetto di misure addizionali o specifiche da prendere ai fini della tutela dei diritti e delle libertà, nonché in merito a qualsiasi altro progetto di misure comunitarie che incidano su tali diritti e

qualifica l’art. 22 GDPR come un generale divieto di decisioni individuali automatizzate, salva la ricorrenza delle menzionate condizioni di ammissibilità189. In ogni caso, laddove le decisioni basate su trattamento automatizzato sono permesse, il Regolamento europeo prevede rilevanti salvaguardie per l’individuo. Il primo livello di tutela per l’interessato è rappresentato dagli obblighi di trasparenza: il titolare del trattamento è infatti tenuto a informare l’interessato dell'esistenza di un processo decisionale automatizzato (compresa la profilazione), ed a fornire informazioni significative sulla logica utilizzata dall’elaboratore, nonché sull'importanza e le prevedibili conseguenze di tale trattamento per l'interessato190. Il titolare del trattamento è inoltre tenuto ad attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’individuo e deve riconoscere all’interessato il diritto a ottenere l’intervento umano nella decisione, a esprimere la propria opinione ed a contestare la decisione191. L’esistenza di decisioni automatizzate rientra peraltro tra gli indici ai quali il gruppo di lavoro WP29 ricollega l’obbligo del titolare del trattamento di effettuare la c.d. valutazione di impatto sulla protezione dei dati192.

A tale disciplina, così come a quella contenuta nel GDPR nel suo complesso, sono collegate pesanti sanzioni amministrative: la violazione del divieto di decisioni automatizzate, o, nei casi in cui il divieto non si applichi, degli obblighi imposti dal GDPR, è sanzionata in base all’art. 83.5.b del Regolamento europeo e quindi fino a libertà; formulare pareri sui codici di condotta elaborati a livello comunitario; formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardi la protezione dei dati personali nella Comunità; definire i criteri di adeguatezza per i paesi terzi. (definizione del Gruppo di lavoro ex articolo 29 tratta dal sito internet del Garante della Privacy, www.garanteprivacy.it).

189 _{Provvedimento adottato il 3 ottobre 2017, (Guidelines on Automated individual decision-making and}

Profiling for the purposes of Regulation 2016/679): “Article 22(1) sets out a general prohibition on solely

automated individual decision with a significant effect, as described above.”.

190 _{Art. 6 GDPR.}

191 _{Così l’art. 22.3 GDPR. Inoltre il quarto paragrafo del medesimo articolo aggiunge ulteriori tutele per il}

caso in cui i dati personali posti alla base delle decisioni automatizzate rientrino nelle categorie di dati sensibili individuate dall’art. 9 GDPR, ovvero : “dati personali che rivelino l'origine razziale o etnica, le

opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona”.

192 _{La valutazione d’impatto sulla protezione dei dati è un istituto, introdotto dall’art. 35 del GDPR, che}

rappresenta una procedura interna che il titolare è tenuto a svolgere per indagare in primo luogo le caratteristiche del trattamento e la relativa proporzionalità e conformità alla legge, ed in secondo luogo i possibili rischi per gli individui ai quali i dati si riferiscono, allo scopo di individuare ulteriori misure di salvaguardia e di stabilire la necessità di consultare l’autorità di controllo prima di effettuare il trattamento.

Euro 20.000.000 (venti milioni) o, per le imprese, fino al 4% del fatturato mondiale totale annuo, se superiore193.

193 _{E. PELINO, I diritti dell’interessato, in BOLOGNINI, PELINO e BISTOLFI (a cura di), Il nuovo}

regolamento privacy europeo, Commentario alla nuova disciplina sulla protezione dei dati personali,

Giuffrè, 2016, p. 270. L’autore ritiene che parametri più precisi debbano essere definiti con linee guida di successiva emanazione.

- Parte II - LA FORMAZIONE.

Sezione II: La conclusione del contratto. *

CAPITOLO 5

IL DOCUMENTO INFORMATICO COME “STRUMENTO” DEL CONTRATTO TELEMATICO.

1. Il documento informatico e il suo ruolo nei contratti telematici. 2. Le diverse tipologie di firma informatica. 3. Segue. La firma elettronica (semplice). 4. Segue. La firma elettronica avanzata. 5. Segue. La firma elettronica qualificata. 6. Segue. La firma digitale. 7. Le firme informatiche e i contratti a forma vincolata ex art. 1350 c.c.. 8. L’efficacia probatoria dei documenti informatici. 9. Cenni sul documento informatico con firma elettronica autenticata e sull’atto pubblico notarile informatico.

1. Il documento informatico e il suo ruolo nei contratti telematici.

Prima di entrare nel cuore dello studio della formazione del contratto telematico è opportuno affrontare ed analizzare un istituto che ne rappresenta in parte il presupposto perché risponde alla necessità di identificare il soggetto che effettua la dichiarazione negoziale attraverso internet194. Il primo problema che si pone di fronte all’interprete è infatti proprio quello di attribuire la dichiarazione contrattuale (proposta, accettazione, ma anche invito a proporre e conferma d’ordine) ad un determinato soggetto all’interno di un contesto in cui è evidentemente impossibile applicare il meccanismo dell’apposizione della sottoscrizione autografa195.

194 _{“Di qui il sorgere per il giurista di una serie di problemi collegati all’adeguamento del nuovo sistema}

ai criteri tradizionali. Il primo di essi -è stato osservato- è quello dell’imputabilità della manifestazione di volontà laddove essa si traduce in un impulso elettronico attivato dalla parte sull’elaboratore o sul terminale.” (V. FRANCESCHELLI, Computer e diritto, Maggioli, 1989, p. 169). “Signatures serve a

particular legal function: a) Identification of the signatory, a person has performed an action; b) Proof of the declaration of will of the signatory” (G.I. ZEKOS, Legal problems of commercial transactions in

cyberspace: an overview, su Cyberspace and Law, 2001, p. 123).

195 _{Tale problema venne sollevato peraltro da una nota sentenza del Giudice di Pace di Partanna, una delle}