Introduzione

Applicazioni giurisprudenziali e applicazioni del Garante privacy. – 2.4.1 Internet Service Provider. – 2.4.2 Banche e intermediari finanziari. – 2.4.3 Ambito sanitario. – 2.5 Art. 15 Codice privacy: brevi cenni conclusivi.

2.1.

Il principio di responsabilità ha via via assunto una posizione sempre più centrale nella disciplina europea, facendo la sua comparsa – implicita – nella Convenzione di Strasburgo del 28 gennaio 1981 n. 108, sino ad assurgere ad un ruolo primario nel “Regolamento

generale sulla protezione dei dati” n. 679 del 26 aprile 2016 (di

seguito “Regolamento”). Tale principio guarda, da un lato, all'osservanza delle disposizioni giuridiche, tecniche e procedimentali e, dall'altro, alla protezione dei dati e dei diritti dell'interessato.

Come in tutti i processi evolutivi, il Regolamento rappresenta la stratificazione della normativa precedente che, facendo tesoro delle varie esperienze europee, cerca di “prevedere” le evoluzioni tecniche

33

e sociali predisponendo le tutele necessarie per garantire un adeguato livello di sicurezza.

A grandi linee si possono indicare quattro momenti dell'evoluzione del principio di responsabilità:

 la Convenzione europea di Strasburgo del 1981, la n. 108, che affronta solo in modo indiretto il tema in questione37_;

 con la Direttiva europea 95/46/CE, pur non essendoci ancora una definizione chiara, il principio di responsabilità attraversa diverse disposizioni della normativa a partire dell'art. 638 _{che, se nel}

primo comma fissa i criteri per garantire la qualità dei dati trattati, al secondo comma prescrive l'obbligo del Responsabile di “garantire il rispetto” di quanto definito nel comma precedente;

 nei vent’anni che separano la direttiva appena citata e il

37 _{Ne sono un esempio gli artt. 5 (qualità dei dati), 7 (sicurezza dei dati) e 8}

(ulteriori garanzie) relative ai diritti degli interessati.

38 _{Cfr. Direttiva CE 95/46 Sezione I – Principi relativi alla qualità dei dati,}

Art. 6:

1. Gli Stati membri dispongono che i dati personali devono essere: a) trattati lealmente e lecitamente;

b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità. Il trattamento successivo dei dati per scopi storici, statistici o scientifici non è ritenuto incompatibile, purché gli Stati membri forniscano garanzie appropriate;

c) adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati e/o per le quali vengono successivamente trattati;

d) esatti e, se necessario, aggiornati; devono essere prese tutte le misure ragionevoli per cancellare o rettificare i dati inesatti o incompleti rispetto alle finalità per le quali sono rilevati o sono successivamente trattati, cancellati o rettificati;

e) conservati in modo da consentire l'identificazione delle persone interessate per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o sono successivamente trattati. Gli Stati membri prevedono garanzie adeguate per i dati personali conservati oltre il suddetto arco di tempo per motivi storici, statistici o scientifici.

2. Il responsabile del trattamento e tenuto a garantire il rispetto delle disposizioni del paragrafo 1.

34

Regolamento, il Gruppo di lavoro articolo 29 ha adottato diversi pareri tra cui, quello più rappresentativo per il tema oggetto del presente lavoro, il numero 3/2010 relativo proprio al “principio di responsabilità”39_{. A ben vedere le norme riportate nel parere}

appena citato anticipano alcune delle disposizioni più caratterizzanti il Regolamento e già delinea il doppio binario tra adozione delle misure idonee e quello che diventerà il principio di

accountability;

 con il Regolamento, che ha ereditato le varie posizioni sedimentate nel corso del tempo, il principio di responsabilità ha acquisito una dimensione primaria sotto diversi profili, come dimostrato anche dallo spazio dedicato al tema e dagli istituti, alcuni dei quali nuovi, che sono previsti.

Il quadro appena delineato obbliga la scrivente a partire dalla dimensione attuale del principio in commento per poi portare ad evidenza le evoluzioni codificate nel Regolamento e ciò al dichiarato fine di meglio comprendere la ratio che si cela dietro ciascuna delle novità proposte dall'attuale quadro normativo.

39 _{Il Parere n.3/2010 riporta nella sintesi i seguenti passaggi, ritenuti da chi}

scrive, di fondamentale importanza: “I principi e gli obblighi dell’Unione europea in materia di protezione dei dati sono spesso applicati in modo insufficiente a livello di misure e pratiche interne sostanziali. Se la protezione dei dati non diventa parte integrante delle pratiche e dei valori condivisi di un’organizzazione e se le relative responsabilità non sono espressamente ripartite, il rispetto effettivo delle norme in materia di protezione dei dati sarà messo notevolmente a rischio e gli incidenti in questo settore saranno destinati a continuare. […] In particolare, questo parere avanza una proposta concreta per l’introduzione di un principio di responsabilità che richieda ai responsabili del trattamento di mettere in atto misure adeguate ed efficaci per garantire che i principi e gli obblighi stabiliti nella direttiva siano rispettati e per dimostrare tale osservanza, su richiesta, alle autorità di controllo. Ciò dovrebbe contribuire a passare “dalla teoria alla pratica” […].”

35

A ben vedere il Regolamento rappresenta la piena maturazione e valorizzazione del principio di responsabilizzazione (traduzione italianizzata del principio di accountability) nel trattamento dei dati personali in capo a titolari e responsabili del trattamento.

Nel nuovo scenario delineato dal Regolamento il principio appena citato si concretizza attraverso un approccio basato sul rischio del trattamento e rappresenta una grande novità per la protezione dei dati; infatti, è affidato ai titolari il compito di decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali, nel rispetto delle disposizioni normative e alla luce di alcuni criteri specifici indicati nel Regolamento medesimo.

Da ultimo, per meglio comprendere l'assoluta centralità ed importanza del principio di responsabilità, e la relativa evoluzione rappresentata dal principio di accountability, in ambito del trattamento dei dati, è necessario brevemente evidenziare il valore sempre maggiore che i dati personali hanno assunto.

Tale effetto è conseguenza di diversi fattori: il primo è legato al c.d. “effetto diluvio” che il Gruppo di lavoro art. 29 ha definito come “continuo aumento della quantità di dati personali esistenti,

elaborati e ulteriormente trasferiti”40_{. Il fenomeno appena citato è}

favorito dalla sempre maggiore interconnessione dei sistemi tecnologici ed informatici, senza parlare delle applicazioni del cd.

Internet of Things che determina un trattamento sempre più capillare e

36

invasivo dei dati di ciascun individuo.

Ne consegue che, con l’aumento della quantità di dati trasferiti in tutto il mondo, aumentano anche i rischi di violazioni e la connessa esigenza di adottare misure di sicurezza sempre più evolute per limitarne gli effetti distorsivi.

A tale aspetto di bulimica diffusione di dati, si accompagna un aumento del loro valore sociale, politico ed economico41_{. Ormai, è un}

dato di fatto che sul web i dati personali siano diventati una vera e propria valuta di scambio42_{; di contro, sembra accresciuto il}

riconoscimento sociale della protezione dei dati come valore assoluto. Ciò rappresentato, ne consegue che la violazione dei dati personali può determinare importanti ripercussioni negative per chi è responsabile del trattamento che, di contro, è spinto ad applicare misure reali ed efficaci di protezione dei dati dirette alla corretta gestione della loro protezione, riducendone i pregiudizi giuridici, economici e di reputazione che possono derivare da pratiche inadeguate in materia.

41 _{Cfr. F. PIZZETTI, Privacy e il diritto europeo alla protezione dei dati}

personali, Torino, 2016, 8.

42 _{Basti ricordare i sempre maggiori attacchi hacker che criptano i dati di}

milioni di dispositivi per poi chiedere un riscatto per fornire le chiavi di decriptazione. Altro esempio emblematico sono le società che lucrano sui c.d. big data come Facebbok, Twitter, WhatsApp.

37