2. I L “C ONTROLLO ” NELLA VISIONE DELLE I STITUZIONI UE
2.1 La dimensione “strutturale” del controllo
2.1.1 Il principio di responsabilità
Il nuovo Regolamento, non ha prodotto particolari innovazioni a
13 In questo senso, Mantelero, A., Competitive value of data protection: the impact of data protection regulation on online behaviour, in International Data Privacy Law, vol. 3, 2013, pp. 229 e ss. il quale sottolinea che “[…] an efficient
way to obtain privacy-oriented technologies is to require a mandatory evaluation of the data protection implications in the product/service design and development phases, in order to make products and services intrinsically resistant to misuse of personal information from the outset.” Basandosi sul presupposto che il principio del consenso informato stia andando in crisi, in conseguenza dell’evoluzione tecnologica che ha portato l’utente a non comprendere più il lato informativo.
CAPITOLO IV
71
livello dei diritti dell’interessato. Infatti, ad eccezione di alcune novità, volte per lo più a specificare meglio i diritti dell’individuo, ossia ad ampliarne la portata, la vera innovazione la troviamo preliminarmente nell’impostazione. In primo luogo, lo strumento utilizzato, il Regolamento14, dall’altro nella volontà del legislatore di
anticipare il momento di tutela dell’individuo, cercando di inserirsi in momento antecedente l’evento dannoso, accrescendo pertanto l’impatto che la normativa esprime nei confronti del titolare e del responsabile (controller e processor). Questa scelta ha come presupposto quanto espresso nell’analisi svolta dalla Commissione, in particolare quando si fa riferimento alla mancanza di consapevolezza e sottovalutazione dei rischi15, nonché sulla presa di
coscienza dello straordinario sviluppo tecnologico volto ad ottenere il massimo ritorno economico dall’utilizzo dei dati personali.
Mentre la Direttiva era prevalentemente incentrata sull’interessato e i
14 Il regolamento è un atto giuridico dell’Unione dotato efficacia diretta e
piena per gli Stati aderenti, ai sensi dell’art. 288 del TFUE (ex articolo 249 del TCE). Come confermato al punto 9 delle motivazioni nella CGUE Sentenza del 14 dicembre 1971, Causa n. 43-71, Politi S.a.s. c. Ministero delle Finanze
della Repubblica italiana. Infatti, si legge nella proposta di Regolamento: “Il
regolamento è considerato lo strumento più idoneo per definire il quadro giuridico per la protezione dei dati personali nell’UE. L’applicabilità diretta di un regolamento […] ridurrà la frammentazione giuridica e offrirà maggiore certezza giuridica grazie all’introduzione di una serie di norme di base armonizzate, migliorando la tutela dei diritti fondamentali delle persone fisiche e contribuendo al corretto funzionamento del mercato interno”.(Commissione Europea, Proposta di Regolamento del Parlamento
Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati (regolamento generale sulla protezione dei dati), (COM/2012/011 final - 2012/0011 (COD)IT),
del 25.01.2012).
15 CAPITOLO III, par. 1.1, Insufficiente consapevolezza e sottovalutazione dei rischi legati ai dati personali.
CAPITOLO IV
72
suoi diritti (primo tra tutti: lealtà e legalità del trattamento), il Regolamento rivolge gli stessi dal lato dei doveri di chi effettuata il trattamento16.
Il principio di accountability17 (responsabilità - responsabilizzazione)
pone in risalto i doveri del titolare del trattamento, richiedendo di mettere in atto misure tecniche e organizzative adeguate al fine di garantire ed essere in grado di dimostrare che il trattamento è effettuato in modo conforme.
Questo principio è posto in modo funzionale rispetto alla protezione dei dati personali con il precipuo fine di garantire un’effettiva tutela da parte dell’interessato.
Strettamente connessa alla responsabilità è ovviamente l’identificazione dei soggetti responsabili, punto cardine per l’esercizio dei diritti nonché dei rispettivi doveri.
Per fare ciò, preliminarmente, il Regolamento definisce, all’art. 4, i ruoli del titolare18 e del responsabile19 del trattamento, nonché del
16 Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, 4/I, Op. cit.
17 Sul punto si dimostra di particolare chiarezza Article 29 Data Protection
Working Party, Opinion 3/2010 on the principle of accountability, WP n. 173, 13 luglio 2010.
18 Art. 4, n. 7, Regolamento UE 679/2016, sul titolare del trattamento: “la
persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri”.
19 Art. 4, n. 8, Regolamento UE 679/2016, sul responsabile del trattamento:
“la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
CAPITOLO IV
73
rappresentante20 che sarà designato nei casi previsti dal Regolamento.
Agli artt. 24 e ss., vengono indicati gli obblighi, principalmente di funzione, dei soggetti precedentemente identificati, in modo molto particolareggiato, rendendo ben chiara l’idea di quali siano i compiti attribuiti dal Regolamento.
Quanto alla responsabilità specifica per danno causato da una violazione del Regolamento, interviene l’art. 82, prevedendo “il diritto di ottenere il risarcimento del danno dal titolare o dal responsabile”. Al paragrafo 2 si specificano i casi di titolarità della responsabilità in capo all’uno o all’altro. Questo profilo di responsabilità individuale termina quando vi è confusione nei trattamenti effettuati dal titolare e dal responsabile, prevendendo la solidarietà per l’intero ammontare del danno, “al fine di garantire il risarcimento effettivo del danno”21, con
facoltà di rivalsa22 nei confronti degli altri obbligati in solido da parte
di chi abbia effettuato detto pagamento.
Un’ultima nota deve essere fatta riguardo al paragrafo 10 dell’art. 28, il quale prevede la trasformazione del responsabile in titolare quando, determina autonomamente “le finalità e i mezzi del trattamento”, sottolineando così che le attribuzioni degli obblighi fatte dal regolamento siano obbligatorie, non ammettendo la possibilità di
20 Art. 4, n. 17, Regolamento UE 679/2016, sul rappresentante: “la persona
fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento”.
21 Regolamento UE 679/2016, Art. 82 par. 4. 22 Regolamento UE 679/2016, Art. 82 par. 5.
CAPITOLO IV
74
creare una situazione di confusione nell’impianto delle responsabilità e dei doveri.
2.1.1.1 La sicurezza dei dati
Molta attenzione viene posta alla sicurezza dei dati personali da parte del Regolamento, attribuendo i relativi oneri in capo ai soggetti responsabili (titolare e responsabile del trattamento). Questa scelta del legislatore europeo è un chiaro segnale dell’importanza attribuita ai dati personali e al relativo trattamento, visto il notevole impatto che una eventuale violazione potrebbe causare23.
Tali considerazioni non sono nuove al panorama italiano, che al tema della sicurezza ha dedicato il Titolo V del Codice della Privacy, al quale si collega il ben noto Allegato B, che impone l’utilizzo di misure di sicurezza preventive e idonee, al fine di prevenire episodi di violazione dei dati. Imponendo, implicitamente, lo svolgimento di una valutazione d’impatto sulla protezione dei dati, in merito alle tipologie di trattamento, al fine di conoscerne i potenziali rischi. Stessa posizione è tenuta dal nuovo Regolamento, che mostra, tra l’altro, un orientamento marcatamente volto, in primis, al trattamento del dato digitale24.
23 Come si evince anche dai Considerando n. 83 e ss., Regolamento UE
679/2016, che indicano la necessità, fra le altre, di notificare una eventuale violazione dei dati personali.
24 Novario, F., Digital privacy. Cyber risk assessment e privacy by design, in IGF Web, Giappichelli, Torino, 2015. Disponibile su:
<http://www.igfweb.com/dottrina/dottrina/digital-privacy-cyber-risk- assessment-e-privacy-by-design-f-novario> [URL Consultato il 02 febbraio
CAPITOLO IV
75
Il nuovo Regolamento indica ai soggetti responsabili del trattamento le regole per la valutazione del rischio informatico e il relativo impatto sulla protezione dei dati, nonché le relative misure tecniche e informatiche per la sicurezza dei sistemi. Allo stesso tempo però bilancia detti doveri affermando “[t]enendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche” ovvero demandando alla valutazione d’impatto i relativi oneri, che dovranno avere un’attuazione proporzionata al contesto del trattamento.
Complessivamente, le misure di sicurezza richieste nel Regolamento dimostrano un approccio multidisciplinare alla protezione dei dati personali, non considerando, quest’ultima, esclusivamente come un interesse e un valore in quanto tale, ma anche indipendentemente dalla tutela degli individui, esprimendo così anche un interesse pubblico alla tutela dei dati personali.25
Privacy Impact Assessment26
Con tale locuzione viene indicata quella procedura di risk analysis
2015].
25 Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali. Il Regolamento europeo 2016/679, 4/II, Giappichelli, Torino 2016.
26 Questo concetto non è nuovo nel panorama della protezione dei dati
personali. Sul punto, Article 29 Data Protection Working Party Opinion[s] nn. 4/2013 (WP 205), 9/2011 (WP 180), 5/2010 (WP 175), e anche Mantelero, A., Competitive value of data protection: the impact of data protection regulation on
CAPITOLO IV
76
volta a valutare antecedentemente l’incidenza di determinate soluzioni tecniche sulla tutela dei dati trattati, in relazione alle specificità connesse alle modalità di gestione delle informazioni. Questo sistema, in ambito comunitario, ha trovato recente applicazione solo nel contesto della regolamentazione dei dispositivi RFID27, al fine di indurre i produttori a sviluppare tecnologie coerenti
con il principio della privacy by design.28 La locuzione, invero, si è
modificata in data protection impact assessment, volendo dare rilevanza al concetto più ampio della protezione dei dati, ovvero non circoscriverlo esclusivamente alla mera protezione della riservatezza. I soggetti responsabili del trattamento sono onerati della “valutazione d’impatto sulla protezione dei dati” ai sensi dell’art. 35 del Regolamento, obbligando il titolare (nonché i soggetti ad esso collegati) a disporre una valutazione del rischio29 in relazione ai
trattamenti svolti30. Il paragrafo 7 di detto articolo elenca i contenuti
che devono essere inseriti all’interno della valutazione d’impatto in maniera molto specifica.
27 Per un approfondimento sulla correlazione dell’uso delle tecnologie RFID
e nell’ambito della protezione dei dati personali: Article 29 Data Protection Working Party, Working document on data protection issues related to RFID
technology, WP n. 105, 19 gennaio 2005.
28 Mantelero, A., Riforma della direttiva comunitaria sulla data protection e privacy impact assessment, verso una maggiore responsabilità dell'autore del trattamento, in Diritto dell’Informazione e dell’Informatica, Giuffrè, Milano, 2012,
pp. 153 e ss.
29 La valutazione del rischio è la determinazione del valore quantitativo o
qualitativo dei rischi connessi ad una situazione concreta o minaccia conosciuta. (Considerando nn. 90-91-92 del Regolamento UE 679/2016).
30 Mantelero, A., Riforma della direttiva comunitaria sulla data protection e privacy impact assessment, verso una maggiore responsabilità dell'autore del trattamento, Op. cit.
CAPITOLO IV
77
Chiara è la preoccupazione del legislatore in relazione ai trattamenti automatizzati di dati e alla profilazione, soprattutto quando questi possano avere effetti a valore legale sugli interessati, nonché quando i dati trattati, in larga scala, siano sensibili o comunque particolarmente protetti ed infine quando il monitoraggio sia svolto su aree, luoghi e siti pubblici.31
A ciò si aggiunge la possibilità prevista dall’art. 36 di adire all’Autorità di Controllo “la valutazione d'impatto sulla protezione dei dati […] indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio”. In altre parole, quando emerge che il rischio per la protezione dei dati non possa essere ragionevolmente attenuato mediante l’uso delle tecnologie disponibili in relazione ai costi necessari.
Data Protection Officer
Sul solco della sicurezza dei dati la figura del “Responsabile della protezione dei dati personali”32 (artt. 37-38-39), il quale viene posto a
garanzia che i diritti degli interessati dei dati personali siano rispettati, infatti, oltre all’adeguata preparazione33, dovrà svolgere
31 Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Op. cit., p. 297.
32L’inserimento di questa figura rappresenta una soluzione per incrementare
la responsabilità/responsabilizzazione del titolare e del responsabile del trattamento. In tal senso Mantalero, A., Competitive value of data protection: the
impact of data protection regulation on online behaviour, Op. cit.
CAPITOLO IV
78
funzioni consultive e di controllo nei confronti del titolare e/o del responsabile del trattamento, nonché si interporrà, quale punto di contatto, tra le parti interessate al trattamento dei dati (interessato, titolare, responsabile) e l’Autorità di controllo.34
Questa figura, già presente nel Regolamento CE 45/2001 concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, viene ora riproposta all’interno del Regolamento UE 679/2016, “ogniqualvolta:
a) il trattamento è effettuato da un'autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9 o di dati relativi a condanne penali e a reati di cui all'articolo 10”.
è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39”.
34 Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali. Dalla Direttiva 95/46 al nuovo Regolamento europeo, Op. cit., p. 301.
CAPITOLO IV
79
Come istituzionalmente evidenziato35, all’art. 39 del Regolamento si
prevede che il D.P.O. debba “considera[re] debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”, chiedendo che lo stesso ponga maggiore attenzione alle questioni che presentano maggiori rischi in termini di protezione dei dati.
L’inserimento di questa figura, e delle sue caratteristiche, all’interno del regolamento è un fatto emblematico, sottolineando ancora una volta quanto, la protezione dei dati in relazione ai numerosi rischi per gli stessi, sia di fondamentale importanza.
Data Breach
Una fra le situazioni più gravi che dovrà essere presa in considerazione nella valutazione d’impatto (art. 35, par. 7, lett. c) è il rischio di “violazione dei dati personali”, definito all’art. 4 n. 12 come: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati”36.
Già il legislatore europeo aveva preso in considerazione il principio
35 Article 29 Data Protection Working Party, Guidelines on Data Protection Officers (‘DPOs’), WP n. 243, 13 dicembre 2016.
36 Il Codice della Privacy italiano è stato integrato di questa definizione, alla
lettera g-bis), con l'art. 1, comma 1, lett. b), del decreto legislativo 28 maggio 2012, n. 69, prevedendo questa situazione esclusivamente “nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico”, anche se le caratteristiche della violazione dei dati personali vengono riprese all’art. 31 riguardo gli “Obblighi di sicurezza”.
CAPITOLO IV
80
di responsabilità in caso di gravi perdite di dati personali con la Direttiva 2009/136/CE (modificando l’art. 4 della Direttiva 2002/58/CE), stabilendo l’obbligo per il fornitore di servizi di comunicazione elettronica accessibili al pubblico di notificare l’accaduto, senza indebiti ritardi, alle Autorità nazionali di controllo e, in alcuni casi, anche all’interessato.37
Il Regolamento estende ora detta disciplina ad ogni tipo di trattamento, imponendo l’obbligo di notifica al titolare del trattamento “senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche”, proseguendo poi all’art. 34, onerando il titolare di comunicare la violazione anche all’interessato qualora sia “suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche”, prevendendo al paragrafo 338, due ipotesi di deroga alla predetta comunicazione, a
cui si aggiunge una terza ipotesi riguardante la possibilità di
37 Sul punto Mantelero, A., Si Rafforza la Tutela Dei Dati Personali: Data Breach Notification e Limiti Alla Profilazione Mediante Cookies, in Diritto dell'informazione e dell'Informatica, Vol. XXVIII, 2012, pp. 781 e ss.
38 Non è richiesta la comunicazione all'interessato di cui al paragrafo 1 se è
soddisfatta una delle seguenti condizioni: a) il titolare del trattamento ha messo in atto le misure tecniche e organizzative adeguate di protezione e tali misure erano state applicate ai dati personali oggetto della violazione, in particolare quelle destinate a rendere i dati personali incomprensibili a chiunque non sia autorizzato ad accedervi, quali la cifratura; b) il titolare del trattamento ha successivamente adottato misure atte a scongiurare il sopraggiungere di un rischio elevato per i diritti e le libertà degli interessati di cui al paragrafo 1; c) detta comunicazione richiederebbe sforzi sproporzionati. In tal caso, si procede invece a una comunicazione pubblica o a una misura simile, tramite la quale gli interessati sono informati con analoga efficacia.
CAPITOLO IV
81
effettuare la notifica mediante una comunicazione pubblica o analoga.
Come si vede, il legislatore ha demandato al titolare del trattamento una valutazione di merito sul rischio potenziale rischio della violazione, passando dall’improbabilità del rischio inerenti diritti e libertà e arrivando fino all’elevato rischio, a cui si aggiunge una valutazione, per il solo caso relativo alla comunicazione all’interessato, delle misure tecniche e organizzative di protezione (siano esse antecedenti al fatto, oppure successive).
Se da un lato la trasparenza, connessa anche alla comunicazione della violazione dei dati personali, rafforza la posizione informativa dell’interessato, i casi in cui essa deve essere effettuata si riducono a seguito della valutazione operata dal titolare (e/o dell’Autorità Garante). L’apprestarsi di tecniche idonee a rendere inutilizzabili i dati, come la pseudonimizzazione o la crittografia, non garantiscono la certezza d’inutilizzabilità, poiché, come è stato dimostrato39 per
l’algoritmo di crittografia SHA140, con tempo, mezzi e denaro è
possibile decodificare anche metodi crittografici sviluppati dalla National Security Agency statunitense. Sempre per rimanere in ambito tecnico, uno dei problemi del “data breach” risiede
39 Stevens, M., Bursztein, E., Karpman, P., Albertini, A., Markov, Y., Bianco,
A., Baisse, C., Announcing the first SHA1 collision, in Google Security Blog, del 23 febbraio 2017. Disponibile su:
<https://security.googleblog.com/2017/02/announcing-first-sha1- collision.html> [URL Consultato il 24 febbraio 2017].
40 Descrizione tecnica: Hansen, T., Wollman, G., US Secure Hash Algorithm 1 (SHA1), in The Internet Society, 2001. Disponibile su <https://tools.ietf.org/html/rfc3174> [URL Consultato il 02 febbraio 2017].
CAPITOLO IV
82
principalmente nel momento della scoperta, ovvero, per il titolare, nell’inizio del decorso del termine per la notifica all’Autorità Garante – “entro 72 ore dal momento in cui ne è venuto a conoscenza” –. Considerando che dalla violazione può derivare una concreta perdita di controllo sui dati, sia da parte dell’interessato che da parte del titolare, la situazione peggiora nel caso in cui la violazione sia stata perpetrata per diverso tempo all’insaputa del titolare, riducendo, con ciò, la potenziale prevedibilità del danno subito a seguito della violazione41.