I principi del trattamento

Sia la Convenzione n. 108, all’art. 5, sia l’art. 6 della Direttiva 95/46/CE, che nell’art. 11 del Codice italiano, si pone specifica attenzione ai principi fondamentali in materia di trattamento dei dati personali.42

Anche il Regolamento EU all’art. 5 si pone in questa linea espressiva, ma allo stesso tempo precisa che “[i]l trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei

41 _{Recente è la notizia di un attacco sferrato nei confronti di un provider di}

servizi di sicurezza, che dopo aver rilevato la “falla” ci ha messo circa quarantacinque minuti ad eliminarla e altre circa sette ore per la risoluzione totale del problema. Peccato però che la violazione sembra sia in corso dal mese di settembre 2016 e la rilevazione è stata rilevata a causa dei picchi di attività intervenuti tra il 13 e il 18 febbraio 2017. Per approfondimenti: Graham-Cumming, J., Incident report on memory leak caused by Cloudflare

parser bug, in Blog Cloudflare del 23 febbraio 2017. Disponibile su

<https://blog.cloudflare.com/incident-report-on-memory-leak-caused-by- cloudflare-parser-bug/> [URL consultato il 24 febbraio 2017].

42 _{Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla} Direttiva 95/46 al nuovo Regolamento europeo, Op. cit.

CAPITOLO IV

83

dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale”43_{, sulla scorta delle}

elaborazioni giurisprudenziali della corte di Giustizia Europea.44

Il legislatore comunitario confermando il valore di diritto primario del diritto alla riservatezza, ne sottolinea anche la sua relatività ovvero la sua duplice funzionalità. La prima funzione è rivolta all’individuo a cui si riferiscono i dati e pertanto ai sui diritti in relazione agli stessi, nonché alla sua fondamentale capacità di controllo, mentre la seconda si rivolge alla collettività, alla “funzione sociale”, che i dati possono avere (si pensi, per fare un esempio, ai dati relativi all’ubicazione relativamente ai servizi per il traffico, oppure ai servizi di informazione, che legano la notizia indissolubilmente al soggetto). Dando dimostrazione di consapevolezza nonché della necessità di un bilanciamento con gli interessi contrapposti, i quali rientrano a piano titolo nelle operazioni a cui l’Unione Europea svolge la sua azione unificatrice, sia per incentivare la fiducia nell’economia digitale, sia per ottimizzare i rapporti fra Stato e cittadini nell’ottica di best practice in materia di e- government.

43 _{Considerando n. 4 del Regolamento 679/2016.}

44 _{CGUE Sentenza (Grande Sezione) del 9 novembre 2010, Cause riunite C-}

92/09 e C-93/09, Volker und Markus Schecke GbR e Hartmut Eifert c. Land

Hessen, punto 48 (con ulteriori riferimenti) e Corte di giustizia (III Sez.),

sentenza 5 maggio 2011, C-543/09, avente ad oggetto una domanda di pronuncia pregiudiziale proposta dal Bundesverwaltungsgericht, par. 50 secondo la quale il “diritto alla protezione dei dati personali non appare […] come una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale”.

CAPITOLO IV

84

La riforma, infatti, si inserisce all’interno della Digital Single Market Strategy, al fine di aumentare la sicurezza e conseguentemente la fiducia nel mercato online, parallelamente alla EU Cybersecurity Strategy (entrambe strettamente connesse fra loro).

In quest’ottica, prendendo a riferimento il Considerando n. 2645 _{e il}

Considerando n. 3046_{, si prende atto che la realtà tecnologica attuale}

permette la tracciabilità digitale del singolo e questa deve essere presa in considerazione dalla normativa sulla protezione dei dati, ma nella misura in cui sia possibile l’identificabilità del soggetto, lasciando spazio all’uso diverso (anche economico) dei dati, purché

45 _{“È auspicabile applicare i principi di protezione dei dati a tutte le}

informazioni relative a una persona fisica identificata o identificabile. I dati personali sottoposti a pseudonimizzazione, i quali potrebbero essere attribuiti a una persona fisica mediante l'utilizzo di ulteriori informazioni, dovrebbero essere considerati informazioni su una persona fisica identificabile. Per stabilire l'identificabilità di una persona è opportuno considerare tutti i mezzi, come l'individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. I principi di protezione dei dati non dovrebbero pertanto applicarsi a informazioni anonime, vale a dire informazioni che non si riferiscono a una persona fisica identificata o identificabile o a dati personali resi sufficientemente anonimi da impedire o da non consentire più l'identificazione dell'interessato. Il presente regolamento non si applica pertanto al trattamento di tali informazioni anonime, anche per finalità statistiche o di ricerca”.

46 _{“Le persone fisiche possono essere associate a identificativi online prodotti}

dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo, come i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”. In questo senso già Article 29 Data Protection Working Party, Working Document Privacy on the Internet -

An integrated EU Approach to On-line Data Protection, WP n. 37, 21 novembre

CAPITOLO IV

85 essi siano anonimi.

Per questo motivo il legislatore, pur evidenziando un livello molto alto di attenzione nei confronti di valori sottesi alla protezione dei dati, si rivolge alle modalità di trattamento dandovi un rilievo essenziale all’interno della normativa, dovendo svolgersi nell’ambito dei limiti, delle regole e dei principi dettati a garanzia dell’interessato, e non solo, stante i rilevanti rischi connessi ad un improprio trattamento, anche se posto in essere da terzi.

L’art. 5 recita infatti che i dati sono trattati “in modo lecito, corretto e trasparente nei confronti dell’interessato”.

Il principio di liceità richiamato rimanda alle condizioni elencate minuziosamente al seguente art. 6.

Il principio di correttezza, già presente nell’attuazione italiana della Direttiva 95/46/CE47 _{e ripreso dal Codice Privacy attualmente}

vigente48_{, riguarda principalmente l’interessato e i doveri del titolare}

o del responsabile verso di lui. Tale principio è analogo a quello rinvenibile all’art. 1175 c.c. Liceità e correttezza sono intrinsecamente connessi. Una violazione del principio di correttezza può non determinare immediatamente anche una illiceità del trattamento, ma al rovescio, l’illiceità del trattamento si estrinsecherà necessariamente

47 _{Art. 9, comma 1, lett. a) Legge n. 675 del 31 dicembre 1996. La Direttiva}

richiamava il principio di “lealtà”, attuato in Italia con il termine “correttezza”.

48 _{Art. 11, comma 1, lett. a) D.Lgs 196/2003. Si consideri però che la Direttiva}

si esprimeva con il termine “equità” e la scelta del legislatore italiano all’uso del termine correttezza debba ritenersi funzionale all’espressione di un concetto già noto in ambito civilistico. Tra l’altro il termine correttezza era già inserito all’interno della Convenzione 108 all’art. 5.

CAPITOLO IV

86

in una violazione del principio di correttezza.

Fin qui, nessuna novità di rilievo agli occhi del pubblico italiano, ma a tali basilari principi, il legislatore ha aggiunto altri importanti corollari del trattamento: il principio di trasparenza, il trattamento svolto in modo da garantire l’integrità e la sicurezza dei dati, la precisazione del principio di minimizzazione e l’introduzione di una responsabilità generale del titolare del trattamento, ribadendo comunque altri concetti già noti come il principio di necessità e proporzionalità, il principio di limitazione della conservazione oppure il principio di finalità.

Il principio della trasparenza è la novità che colpisce maggiormente in tema di trattamento, ponendosi sulla scia delle rinnovate spinte che emergono dalla società civile, tendenti alla richiesta di trasparenza amministrativa, al diffondersi del concetto di open data, nonché al rafforzamento del diritto al controllo da parte dell’interessato.

Relativamente alla normativa de quo, il principio di trasparenza si pone come una specificazione della clausola generale di buona fede e correttezza, e dunque come ulteriore requisito che il titolare del trattamento dovrà soddisfare oltre ad essere già connotato da liceità, necessità e proporzionalità rispetto agli scopi da raggiungere per il tempo strettamente necessario.49 _{Tale legame si sostanzia anche}

49 _{Neri, S., La disciplina del data mining alla luce della proposta di regolamento} comunitario in materia di trattamento di dati personali: criticità, limiti e prospettive de jure condendo, CIRSFID, 2015.

CAPITOLO IV

87

nell’incidenza che detto principio ha nei confronti degli altri principi, influendo direttamente sulla liceità del trattamento.

Infatti, detto principio pone in capo al titolare del trattamento (e/o al responsabile) oneri più stringenti sia per quanto riguarda le informazioni antecedenti al trattamento, sia per le successive, chiedendo, di fatto, di svolgere il trattamento senza occultare le sue operazioni, anche al fine di permettere all’interessato un effettivo controllo.

L’aspetto relativo alla minimizzazione dei dati (legato anche all’anonimizzazione e alla pseudonimizzazione), di cui all’art. 5, par. 1, lett. c), si inserisce all’interno del contesto di trattamento a supportare i già noti principi posti alla base del trattamento, come ad esempio il principio di necessità, che già spingevano e spingono tutt’ora nella direzione di ritenere conforme a tale principio un trattamento in cui si utilizzino dati personali soltanto se strettamente necessario al raggiungimento di un determinato obiettivo, oppure che consenta l’identificazione solo se non sia possibile celare l’appartenenza dei dati ad un determinato soggetto.50

In ogni caso il principio di minimizzazione dei dati è un concetto riassuntivo, che vuole identificare una modalità operativa del trattamento, volta anche alla riduzione dei rischi derivanti dal trattamento, riducendo “la superficie di attacco” o comunque “la

50 _{Neri, S., La disciplina del data mining alla luce della proposta di regolamento} comunitario in materia di trattamento di dati personali: criticità, limiti e prospettive de jure condendo, Op. cit., p. 22.

CAPITOLO IV

88 perdita di controllo” sui dati.

Il concetto che sorregge i principi contenuti nelle lettere b), c), d) ed e) dell’art. 5, è quello della finalità del trattamento, fungendo da parametro fondamentale per la valutazione di compatibilità con le disposizioni del Regolamento. Infatti si può sostenere che il principio di finalità sia alla base della legittimità del trattamento51_{. Finalità che}

viene richiamata anche all’art. 6 paragrafo 4, che permette la modifica della stessa, anche in mancanza di un trattamento basato sul consenso, previa valutazione di compatibilità da parte del titolare che dovrà tenere conto: della correlazione con la precedente finalità (lett. a); del contesto di raccolta considerando in particolare la relazione sussistente tra titolare ed interessato (lett. b); della natura dei dati personali (lett. c); delle conseguenze di un ulteriore trattamento (lett. d); dell’esistenza di garanzie adeguate come la cifratura o la pseudonimizzazione (lett. e).

2.1.2.1 Privacy by design52 _{e Privacy by default}

Alcune indicazioni operative (oltre quelle specificate nell’art. 32) le troviamo all’art. 25 del Regolamento, che introduce due concetti

51 _{Per un approfondimento sul tema si veda la posizione del Article 29 Data}

Protection Working Party, Opinion 03/2013 on purpose limitation, WP n. 203, 02 aprile 2013.

52 _{Il concetto di privacy by design per la prima volta fu promosso nel 2009}

dall'Information and Privacy Commissioner dell'Ontario (Canada), nella persona della Dott.ssa Ann Cavoukian, che fu tra i promotori della risoluzione del 2010 e che poi ha assunto un ruolo di primo piano nello sviluppo del concetto di privacy by design.

CAPITOLO IV

89

importanti, la “privacy by design”53 _{(fin dalla progettazione –}

paragrafo 1) e la “privacy by default” (per impostazione predefinita – paragrafo 2), entrambi strettamente collegati alla sicurezza dei sistemi informatici. Quanto al concetto di privacy by design, esso non risulta una novità nei confronti dell’operatore italiano, poiché già l'art. 3 del Codice della Privacy italiano prevede che “I sistemi informativi e i programmi informatici [siano] configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità”.

Il principio di privacy by default stabilisce che per impostazione predefinita il trattamento debba rispettare i principi di pertinenza, adeguatezza e non eccedenza, nonché per il periodo strettamente necessario in relazione alle finalità dichiarate, concetti già rinvenibili all’interno della Direttiva 95/46/CE.

La novità sta nel collegamento che si pone con la responsabilità, rispetto all’adozione di misure organizzative e tecniche che

53 _{La privacy by design consta di sette principi fondamentali: 1. Proattivo}

non reattivo – prevenire non correggere; 2. Privacy come impostazione di predefinita; 3. Privacy incorporata nella progettazione; 4. Massima funzionalità − Valore positivo, non valore zero; 5. Sicurezza fino alla fine − Piena protezione del ciclo vitale; 6. Visibilità e trasparenza − Mantenere la trasparenza; 7. Rispetto per la privacy dell'utente − Centralità dell'utente. Cavoikian, A., Taylor, S., Abrams, M. E., Privacy by Design: essential for

organizational accountability and strong business practices, in Identity in the Information Society, Vol. 3, Issue 2, Springerlink.com, 2010, pp. 405 e ss.

CAPITOLO IV

90

soddisfino detti principi, ponendo così il relativo obbligo in capo ai soggetti responsabili del trattamento.