I L R EGOLAMENTO G ENERALE SULLA PROTEZIONE DEI DATI (UE) 2016/679:

LEPRINCIPALI NOVITÀ

.

Le principali novità introdotte dal Regolamento europeo vanno inquadrate nella considerazione che la se Direttiva madre e – in Italia, il Codice privacy sono stati i costruttori del diritto fondamentale alla protezione dei dati personali inteso come diritto all'autodeterminazione informativa, il nuovo Regolamento assolve invece ad una funzione consolidatrice di tale diritto.

Le novità introdotte dal GDPR possono essere racchiuse in tre categorie tematiche56_, rappresentanti altrettanti sfide: i) i diritti - il Regolamento per un verso consolida il previgente quadro dei diritti e delle garanzie e ne introducendone di nuovi: il diritto fondamentale alla protezione dei dati personali e del controllo delle proprie informazioni ne risulta rafforzato; ii) i doveri – aspetto speculare ai diritti e attinenti l'accountability, ovvero l'accresciuta responsabilizzazione del titolare del trattamento; e iii) la cooperazione – tra le Autorità Nazionali di controllo chiamate a svolgere un accresciuto ruolo regolatorio soprattutto in sede di valutazione di impatto di nuovi trattamenti, di valutazione della gravità delle violazioni e della conseguente notifica all'interessato57_{; quindi una cooperazione che si esplica in termini di} governance, di rafforzamento dei poteri di vigilanza e controllo e del sistema sanzionatorio.

Per quanto attiene il consolidamento dei diritti è possibile evidenziare:

1. una vera e propria introduzione dell'istituto del consenso esplicito che – all'art. 4 Definizioni comma 11) viene definito come: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento - e all'art. 7 Condizioni per il consenso viene declinato al comma 2) Se il consenso dell'interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro. Nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante; e al

56 _{In argomento ed in particolare sull'esposizione di un quadro di sistema delle principali novità introdotte dal Regolamento}

679/2016 si indicano gli atti dell'intervento titolato: Regolamento UE, la sfida della nuova privacy è già iniziata, tenuto della prof.ssa Licia Califano, componente dall'Autorità Garante per la protezione dei dati personali Italiana, al PrivacyDay Forum organizzato da FederPrivacy e tenutosi a Roma il 13 Ottobre 2016.

57 _{Cfr GDPR art. 35 Valutazione d'impatto sulla protezione dei dati comma 4) L'autorità di controllo redige e rende pubblico un elenco delle}

tipologie di trattamenti soggetti al requisito di una valutazione d'impatto sulla protezione dei dati ai sensi del paragrafo 1. L'autorità di controllo comunica tali elenchi al comitato di cui all'articolo 68. comma 5) L'autorità di controllo può inoltre redigere e rendere pubblico un elenco delle tipologie di trattamenti per le quali non è richiesta una valutazione d'impatto sulla protezione dei dati. L'autorità di controllo comunica tali elenchi al comitato.

comma 3) L'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di esprimere il proprio consenso, l'interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.

Una disciplina giuridica quindi, con garanzie molto forti, più stringente sotto il profilo della caratterizzazione della scelta libera che si collega e attua tra l'altro con la possibilità di revoca (cfr passaggi sottolineati che precedono). La definizione inoltre estende le preesistenti caratteristiche di qualità del consenso ereditate dalla Direttiva (consenso libero, esplicito, informato) ampliandole con il requisito di inequivocabilità;

2. il rafforzamento del potere di scelta degli interessati che non può non prescindere da una effettiva trasparenza nell'esposizione delle caratteristiche dei trattamenti che si porranno in essere. Il Regolamento all'art. 1358 _{Informazioni da fornire qualora i dati} personali siano raccolti presso l'interessato e all' art. 1459 _{Informazioni da fornire qualora i dati}

58 _{Cfr GDPR Sezione 2 Informazione e accesso ai dati personali Art. 13 Informazioni da fornire qualora i dati personali siano raccolti presso}

l'interessato

1.In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati

personali sono ottenuti, le seguenti informazioni:

a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f)ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce

all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un'autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

3.Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati

raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

4.I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni.

59 _{Cfr GDPR Sezione 2 Informazione e accesso ai dati personali Art.. 14 Informazioni da fornire qualora i dati personali non siano stati}

ottenuti presso l'interessato

1.Qualora i dati non siano stati ottenuti presso l'interessato, il titolare del trattamento fornisce all'interessato le seguenti informazioni: a) l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

personali non siano stati ottenuti presso l'interessato punta in maniera precisa e marcata sulla funzione informativa declinando il catalogo delle informazioni da fornire all'interessato. La combinazione del consenso esplicito e di qualità con l'informativa rappresentano il perimetro definitorio fondamentale per la costruzione del diritto alla protezione dei dati personali inteso come diritto all'autodeterminazione informativa. 3. La possibilità di distinguere tra i diritti azionabili dall'interessato: i) quelli strumentali

all'esplicitazione del controllo sulle proprie informazioni personali e al mantenimento dei requisiti di qualità del consenso (cfr considerando 58-73 art. 12-23 del Regolamento); nel nuovo Regolamento essi vengono sostanzialmente riaffermati e c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) le categorie di dati personali in questione;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f)ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2.Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all'interessato le seguenti informazioni necessarie per

garantire un trattamento corretto e trasparente nei confronti dell'interessato:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

c) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

d) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;

e) il diritto di proporre reclamo a un'autorità di controllo;

f) la fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico;

g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

3.Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:

a) entro un termine ragionevole dall'ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

b) nel caso in cui i dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato; oppure

c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali. 4.Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati

ottenuti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.

5.I paragrafi da 1 a 4 non si applicano se e nella misura in cui: a) l'interessato dispone già delle informazioni;

b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni;

c) l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell'interessato; oppure

d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.

riproposti rispetto alla Direttiva e al Codice privacy italiano e attengono il diritto di accesso, di rettifica, di cancellazione, di opposizione e di limitazione, quest'ultimo in un'accezione diversa dal previgente diritto che lo connotava come possibilità di chiedere il blocco dei dati; ii) il diritto di portabilità dei dati (cfr considerando 68, 73 art. 13, 20 del Regolamento); iii) il diritto di opposizione ad attività di profilazione (cfr considerando 70-73 art. 21-23 del Regolamento); iv) il diritto all'oblio (cfr considerando 65, 66 e art. 17 del Regolamento).

Le prime tre categorie saranno trattati nel successivo paragrafo 4. Il Regolamento Generale sulla protezione dei dati (UE) 2016/679: il soggetto interessato e il dato personale. Il diritto all'oblio rappresenta la positivizzazione della sentenza Google Spain60_{, amplia la}

sua originale connotazione di diritto alla de-indicizzazione per diventare qualcosa di più complesso: l'obiettivo del legislatore è quello di estendere la sua applicazione ad ambiti diversi dal trattamento di informazioni effettuato dai motori di ricerca, quali ad esempio editori di testate Web oppure ai trattamenti effettuati dalle Pubbliche Amministrazioni che assolvono agli obblighi di trasparenza mediante pubblicazione di informazioni on-line.

In merito alla seconda linea di novità e di sfida introdotta dal Regolamento, quella dei doveri essa si collega alla positivizzazione del principio di accontability (responsabilizzazione) che diventa una vera e propria assunzione di rischio, volta ad uscire dalla logica del mero adempimento formale degli obblighi di legge.

L'intendimento del legislatore europeo è quello di porre chi tratta i dati personali - titolari e responsabili di trattamento, responsabili designati e responsabili della protezione dei dati personali, nella logica di ridurre i rischi di operazioni non consentite o comunque non conformi, quindi di spingere il titolare e il responsabile del trattamento a comportamenti virtuosi; questo se per un verso implica un certo investimento di partenza – connesso agli

60 _{Attiene la sentenza con la quale la Corte di Giustizia dell’Unione europea si è pronunciata, in data 13 maggio 2014, in}

relazione al caso Google Spain SL, Google Inc. vs Agencia Española de Protección de Datos, Mario Costeja González (causa C−131/12).

All’origine della vicenda vi è una richiesta con la quale un cittadino spagnolo aveva cercato di ottenere, prima dal gestore del sito e poi da Google, la rimozione di alcuni dati personali pubblicati su un articolo di giornale ritenuti non più attuali. Su ricorso dell’interessato, l’Agencia Española de Protección de Datos (AEPD) (l’autorità spagnola per la protezione dei dati personali), aveva ordinato a Google di rimuovere i dati in questione dai risultati generati attraverso il motore di ricerca. Google aveva rifiutato di ottemperare alla richiesta rilevando, tra l’altro, come l’intervento imposto dall’AEPD potesse configurare un’indebita compromissione della libertà di espressione dei gestori di siti Internet. La Corte suprema spagnola (Audiencia Nacional), investita dell’appello contro il provvedimento dell’AEPD, sollevava pertanto di fronte alla Corte di Giustizia alcune questioni pregiudiziali relative (i) all’applicabilità della Direttiva 95/46/CE sulla protezione dei dati personali a fornitori di servizi come Google e (ii) al cd. “diritto all’oblio” dei soggetti cui i dati personali si riferiscono.

Il caso e la sentenza possono essere consultati in versione integrale alla seguente risorsa: http://curia.europa.eu/juris/document/document.jsf?

adempimenti by design e by default delle misure tanto tecniche e organizzative tanto di sicurezza, alla valutazione dell'impatto del trattamento e dei rischi ad esso connesse, alla nomina del responsabile della protezione dei dati, è pur vero che esso ritorna sotto forma di risparmio nel breve e medio periodo in termini di benefici per gli interessati resi più certi della correttezza del trattamento. La positivizzazione del principio di responsabilizzazione del titolare si esplica sui seguenti aspetti:

1. le accresciute e mutate responsabilità del titolare e del responsabile del trattamento dei dati personali declinate in particolare negli art.2461 _{Responsabilità del titolare del trattamento,} art. 2562 _{Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, e art.} 28 Responsabile del trattamento che assegna ai responsabili gli stessi doveri dei titolari per quanto attiene l'adozione di misure tecniche e organizzative adeguate a garantire che i trattamenti soddisfino i requisiti previsti dal Regolamento e assicurino una adeguata tutela dell'interessato (cfr considerando 74-77, 79-81, art. 4, 24, 27, 28, 29 del Regolamento). Il titolare del trattamento e - in una logica solidale anche il responsabile per il raccordo dell'art. 28, deve mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento, tenendo conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche; inoltre le misure devono essere riesaminate e aggiornate qualora necessario. Questi passaggi contengono l'essenza della positivizzazione del principio di accountabiliy con un salto di qualità della responsabilità del titolare e del responsabile

61 _{Cfr GDPR Sezione 1 Obblighi generali}

Art. 24 Responsabilità del titolare del trattamento

1.Tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e

gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. 2.Se ciò è proporzionato rispetto alle attività di trattamento, le misure di cui al paragrafo 1 includono l'attuazione di politiche adeguate in

materia di protezione dei dati da parte del titolare del trattamento.

3.L'adesione ai codici di condotta di cui all'articolo 40 o a un meccanismo di certificazione di cui all'articolo 42 può essere utilizzata come

elemento per dimostrare il rispetto degli obblighi del titolare del trattamento.

62 _{Cfr GDPR Sezione 1 Obblighi generali}

Art. 25 Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

1.Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del

trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all'atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati.

2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita,

solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l'accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l'intervento della persona fisica.

3.Un meccanismo di certificazione approvato ai sensi dell'articolo 42 può essere utilizzato come elemento per dimostrare la conformità ai

molto significativa; entrambi non rispondono più a meri adempimenti di conformità, la loro responsabilità si configura flessibile, dinamica, dipendente dalle caratteristiche del trattamento e dalle implicazioni che questo comporta; ma l'aspetto molto più significativo è che essi devono sono tenuti a dimostrare e a comprovare di avere effettivamente adottato le misure tecniche e organizzative adeguate <...>. Una responsabilità sostanziale rispetto alla quale risulta fondamentale l'analisi dei rischi per i diritti e le libertà delle persone derivanti dal trattamento, a sua volta strumentale per l'individuazione e l'adozione delle misure di sicurezza.

La responsabilità del titolare e del responsabile attiene sia il garantire la conformità del trattamento ai principi del Regolamento sia il valutare la probabilità del rischio e la misura di gravità per i diritti e le libertà dell'interessato.

2. la misura della rivalutata e accresciuta responsabilizzazione del titolare si rileva nel comma 4 dell'art. 6 Liceità del trattamento63_{; una disposizione che racchiude tutta la}