Sebbene il legislatore abbia cercato di progettare, all'interno del Regolamento, una struttura volta ad evitare il verificarsi di un danno all'interessato, esso si è anche preoccupato di stabilire un sistema di responsabilità civili e amministrative qualora tale danno, tuttavia, si verificasse. Ed è proprio questo sistema l'aspetto del Regolamento che maggiormente spaventa le aziende di qualsiasi tipo e settore293.
Per quanto riguarda la responsabilità di tipo civile, l'art.82 del Regolamento europeo in materia di dati personali recita: “ 1.Chiunque subisca
un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2.Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del
292 Mantelero A., lezione del 11.03.2017 all'interno del master Ecosystem.
293 Pastor N., Lawrence G., Privacy, security and information law, in
http://privacylawblog.fieldfisher.com/2016/getting-to-know-the-gdpr-part-10-enforcement-under- t h e - g d p r - w h a t - h a p p e n s - i f - y o u - g e t - i t - w r o n g /
titolare del trattamento. 3.Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l'evento dannoso non gli è in alcun modo imputabile. 4.Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafo 2 3, responsabili dell'eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato. 5.Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l'intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2. 6.Le azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all'articolo 79, paragrafo 2”.
Risulta interessante notare, che anche il Regolamento, (così come già osservato all'interno del capitolo precedente in merito all'art. 15 del Codice della Privacy italiano), al comma 3 dell'art. 82 prevede un'inversione dell'onere della prova per il titolare. Esso, infatti, viene esonerato dalla responsabilità civile qualora sia in grado di dimostrare che l'evento dannoso non è si è verificato a causa sua294. Dal Regolamento, tuttavia, è scomparsa
una disposizione, presente probabilmente soltanto in Italia, che annovera il trattamento dei dati personali tra le attività pericolose295. Abbiamo infatti
294 EU GDPR e nuove sanzioni..che male!, in http://www.pharmasoft-fea.com/home/16-news/246- eu-gdpr-e-nuove-sanzioni-che-male
esposto nel capitolo precedente296 come all'interno dell'art.15 del Codice della
Privacy italiano vi sia un rimando all'art. 2050 del Codice Civile il quale tratterebbe, appunto, di attività pericolose. Molto probabilmente il legislatore europeo non ha ritenuto appropriata questa equiparazione ed ha stabilito un nuovo e maggiore equilibrio tra soggetti coinvolti in una violazione dei dati personali297. Qualora inoltre, il danno venisse causato da più titolari o
responsabili (comma 4, art.82 del Regolamento europeo in materia di dati personali), si stabilisce una responsabilità solidale per l'intero ammontare del danno e ciò potrebbe risultare per essi assai gravoso, tanto da spingerli a sottoscrivere appropriate coperture assicurative.
Il tema vero e proprio delle sanzioni, invece, è trattato all'interno degli articoli 83 (riguardante sanzioni di tipo amministrativo) e 84 (riguardante ulteriori sanzioni non soggette a sanzioni amministrative pecuniarie) del Regolamento. Preme mettere in evidenza come tali articoli sembrino essere fortemente incoerenti con la struttura e i propositi del Regolamento. Ho già detto infatti298, che il Regolamento è stato redatto al fine di omogenizzare le
norme relative al tema della sicurezza dei dati personali all'interno di tutti i Paesi europei. Tuttavia, per quanto riguarda il tema delle sanzioni, il Regolamento europeo in materia di dati personali lascia ai singoli Stati membri la libertà di definirne il livello, sia per quanto attiene a quelle amministrative pecuniarie sia per quanto attiene a quelle non pecuniarie.
Di sanzioni amministrative si parla all'interno dell'art. 83299 del
296 Cap. 1, par. 1.5.
297 Biasiotti A., Il nuovo regolamento europeo sulla protezione dei dati, cit., p. 912. 298 Cap. 2, par. 2.1.
299 Art. 83 Regolamento europeo in materia di dati personali: “1.Ogni autorità di controllo provvede
affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive. 2.Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all'articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:a. la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito; b. il carattere doloso o colposo della violazione;c.le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati; d. il grado di responsabilità del titolare del trattamento o
Regolamento europeo in materia di dati personali. Si nota come questo articolo fornisca al suo interno, soltanto delle indicazioni che gli Stati devono osservare nel momento in cui si trovano a dover stabilire l'ammontare di una sanzione. Nel caso in cui, ad esempio, la violazione o le violazioni del Regolamento siano intenzionali, le sanzioni dovranno essere più severe rispetto al caso in cui tali violazioni siano dovute soltanto a negligenza da parte del titolare300. All'interno del Considerando n.150 del Regolamento
europeo in materia di dati personali, si legge inoltre che la sanzione “dovrebbe
essere stabilita dall'autorità di controllo competente in ogni singolo caso, tenuto conto di tutte le circostanze pertinenti della situazione specifica, in
del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;e. eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento; f.il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi; g.le categorie di dati personali interessate dalla violazione; h.la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione; i. qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti; j. l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e k. eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione. 3. […] 4. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a. gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43; b. gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43; c. hli obblighi dell'organismo di controllo a norma dell'articolo 1 paragrafo 4. 5. 5. In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore: a. i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9; b. i diritti degli interessati a norma degli articoli da 12 a 22; c. i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49 ; d. qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; e l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1. 6. In conformità del paragrafo 2 del presente articolo, l'inosservanza di un ordine da parte dell'autorità di controllo di cui all'articolo 58, paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente se superiore. 7.Fatti salvi i poteri correttivi delle autorità di controllo a norma dell'articolo 58, paragrafo 2, ogni Stato membro può prevedere norme che dispongano se e in quale misura possono essere inflitte sanzioni amministrative pecuniarie ad autorità pubbliche e organismi pubblici istituiti in tale Stato membro. 8. [...] 9. In ogni caso, le sanzioni pecuniarie irrogate sono effettive, proporzionate e dissuasive. [...]
particolare della natura, gravità e durata dell'infrazione e delle relative conseguenze, nonché delle misure adottate per assicurare la conformità agli obblighi derivanti dal presente regolamento e prevenire o attenuare le conseguenze della violazione”. Un atteggiamento cooperativo da parte del
titolare del trattamento, ad esempio, sarebbe sicuramente da considerarsi motivo di attenuazione della sanzione. Anche il considerando n.148 specifica che “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe
essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”. Tale eccezione può verificarsi soltanto nel caso di una persona
fisica che tratti dati personali per fini non commerciali, oppure nel caso di una piccola azienda che tratta dati personali solo in forma accessoria rispetto all'attività principale301.
Il legislatore, ai commi 4, 5 e 6, tuttavia, elenca alcuni casi nei quali la sanzione può raggiungere cifre assai elevate. Vengono dunque individuate due categorie: le sanzioni fino a 10 milioni di euro, oppure, per le imprese, fino al 2% del fatturato mondiale totale annuo dell'esercizio precedente, e le sanzioni fino a 20 milioni di euro, oppure, per le imprese, fino al 4% del fatturato totale annuo dell'esercizio precedente. L'elevato ammontare di queste sanzioni è dovuto al fatto che solamente se esse risultano estremamente significative potranno avere un effetto veramente dissuasivo302. In questi casi, inoltre,
l'importo della sanzione sarà lo stesso sia nel caso di azione dolosa, sia nel caso di azione colposa. Sanzioni così elevate, sommate ad eventuali obblighi risarcitori nei confronti di chi ha subito il danno e al danno all'immagine che deriverebbe da tutto ciò all'azienda, potrebbero avere delle serie ripercussioni su di essa, ed è per questo motivo che molte aziende si mostrano assai spaventate da un regime sanzionatorio così duro303.
Preme inoltre sottolineare che le Autorità di controllo mantengano
301 Biasiotti A., ivi, p. 909. 302 Biasiotti A., ivi, p. 909.
comunque dei poteri correttivi, come stabilito dall'art.58, comma 2, del Regolamento europeo in materia di dati personali. In particolare, alla lettera f leggiamo che le Autorità possono “imporre una limitazione provvisoria o
definitiva al trattamento, incluso il divieto di trattamento”. Tale disposizione
potrebbe avere degli effetti assai più gravi, sulle aziende, rispetto alle sanzioni fin'ora esaminate. Pensiamo infatti ad un'azienda erogatrice di servizi. L'impossibilità di effettuare un trattamento potrebbe comportare la sospensione del servizio stesso con le conseguenti possibili cause legali da parte dei clienti304.
Per quanto concerne, infine, la tutela di tipo penalistico, in nessuna parte del Regolamento si fa esplicitamente riferimento ad essa. Tuttavia, all'interno dell'art. 84 del Regolamento europeo in materia di dati personali, leggiamo: “1. Gli Stati membri stabiliscono le norme relative alle altre
sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell'articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l'applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive. 2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica”.
Notiamo subito come l'art.84 del Regolamento europeo in materia di dati personali deleghi, in alcuni casi, alle autorità nazionali garanti il compito di stabilire sanzioni in caso di violazione delle disposizioni del regolamento. Tuttavia, al fine di rimanere coerente con lo scopo di uniformare il sistema normativo in tutti i Paesi membri dell'Unione, si specifica che ogni Stato abbia l'obbligo di notificare alla Commissione Europea le disposizioni legislative emesse305. L'unico elemento di coerenza tra i vari Paesi, che viene indicato
all'interno dell'articolo, è quello che le sanzione devono essere “effettive,
304 Butti G., Le sanzioni nel GDPR, in http://europrivacy.info/it/2016/11/22/itaiano-le-sanzioni-nel-
g d p r /
proporzionate e dissuasive”.
Sebbene dunque non vi sia all'interno del Regolamento un espresso riferimento a sanzioni di tipo penale l'art. 84 parla di “sanzioni non soggette a
sanzioni di tipo amministrativo pecuniario”, comprendendo tra queste,
dunque,a anche sanzioni di tipo penale. Il Regolamento lascia piena discrezione agli Stati membri per quanto riguarda le sanzioni di questo tipo. Ciò viene ribadito anche all'interno del considerando n. 148, il quale recita: “Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni
penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l'imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio de ne bis in idem quale interpretato dalla Corte di giustizia”.
2.6
I Big Data.
Nel 2001, un illustre studioso studioso306 ha cercato di sintetizzare le
caratteristiche dei Big Data attraverso quello che ha poi preso il nome di “paradigma delle 3 V”: volume, velocità e varietà. A queste tre V se ne aggiunge spesso un'altra, ovvero la veracità307.
Per quanto riguarda il volume, si fa riferimento all'enorme quantità di dati che ogni giorno vengono catturati e trattati. Per farci un'idea, un sondaggio condotto nel 2012 dall'IBM ha rivelato che ogni giorno dalle aziende che trattano Big Data vengono generati e raccolti 2,5 quintilioni di
306 Doug Laney è un distinto analista ritenuto il pioniere nel campo della data warhouse
dell'information economics.
byte di dati308. Viene inoltre stimato che Facebook elabora circa 16 milioni di
foto al secondo309. I volumi di dati sono inoltre destinati a crescere ancora.
Tuttavia, non è soltanto la quantità a fare la differenza, ma anche la facilità e l'economicità con le quali questi dati vengono raccolti. Oggi, infatti, è possibile analizzare qualsiasi fenomeno non più parzialmente, ma globalmente, cioè prendendo in considerazione tutti i dati che si riferiscono a un determinato fenomeno310. Pensiamo, ad esempio, ad un operatore
telefonico il quale voglia condurre un'indagine relativa all'utilizzo degli sms da parte dei suoi clienti. Mentre anni fa esso avrebbe scelto un campione di riferimento ed avrebbe analizzato questo, facendo successivamente una stima approssimativa dell'utilizzo degli sms, oggi è possibile invece analizzare i dati di tutti gli utenti, ed avere così una visione completa ed esatta del fenomeno311.
Per ciò che attiene alla velocità, essa si riferisce alla rapidità con la quale enormi volumi di dati vengono generati e analizzati. Questa rapidità è stata favorita anche dall'avvento degli smartphone, i quali hanno permesso di elaborare informazioni in tempo reale312. Anche in questo caso, per farci
un'idea basta pensare che Wal-Mart313 tratta più di un milione di transazioni di
dati all'ora314. I dati che continuamente vengono rilasciati da dispositivi mobili
producono torrenti di informazioni che possono essere utilizzate per produrre, in qualsiasi momento, centinaia di offerte personalizzate per ogni singolo consumatore. I dati, oggi, ci vengono forniti sotto forma di flussi continuamente modificati ed aggiornati in maniera dinamica e non più
308 Gandomi A., Haider M., Beyond the hype: Big Data concepts, methods, and analytics, in
International journal of Information Management, 2005, p. 138.
309 Beaver, D., Kumar, S., Li, H. C., Sobel, J., & Vajgel, P., Finding a needle inhaystack: Facebook’s
photo storage, in Proceedings of the nineth USENIX con-ference on operating systems design and
implementation, p. 3.
310 D'acquisto G., Naldi M., Big data e privacy by design, cit., p. 6. 311 D'acquisto G., Naldi M., Big data e privacy by design, cit., p. 6.
312 Gandomi A., Haider M., Beyond the hype: Big Data concepts, methods, and analytics, cit., p. 138. 313 La Walmart Stores Inc è una multinazionale statunitense, proprietaria dell'omonima catena di negozi al dettaglio Walmart, fondata da Sam Walton nel 1962. È il più grande rivenditore al dettaglio nel mondo, prima multinazionale al mondo nel 2010 per fatturato e numero di dipendenti. Oggi è la più grande catena operante nel canale della grande distribuzione organizzata. 314 Cukier K., The Economist, Data, data everywhere: A special report on manag-ing information,
statica315.
Per quanto attiene invece alla varietà, essa fa riferimento all'enorme eterogeneità dei dati, che vengono catturati in diversi formati e con svariate modalità316. Infatti, ci possiamo trovare di fronte a dati numerici, di categoria,
video, audio, ed essi possono essere trattati singolarmente, oppure combinati tra loro. Chiaramente, crescendo la varietà di informazioni, diviene anche più complessa la loro gestione317.
Infine, per ciò che riguarda la veracità, essa è stata introdotta dall'IBM come quarta V, e rappresenta la credibilità dei dati318. L'eterogeneità delle
sorgenti dalle quali essi discendono, infatti, rende molto complesso l'accertamento della loro correttezza.
Da quanto detto fino ad ora, appare evidente come, grazie alle enormi quantità e alle diverse fonti, sia possibile avere la possibilità di trattare in modo aggregato e incrociato tali informazioni. Ciò permetterebbe, dunque di costituire dei metatdati, ovvero delle informazioni derivate, di enorme interesse commerciale319. Queste grandi aggregazioni di dati, inoltre, possono
facilmente portare ad analisi estremamente predittive con un'elevata valenza strategica e socio politica320. Sorgono dunque dei problemi in merito al fatto
che le modalità di trattamento sono talmente diversificate, che risulta molto difficile tenerle sotto controllo. Nonostante ciò, è impossibile pensare di poter impedire l'acquisizione di questi dati ed è dunque necessario trovare un modo per far conciliare gli interessi commerciali con l'interesse a vedere protetta la propria sfera privata321.
Il Regolamento europeo in materia di dati personali, purtroppo, non fa uno specifico riferimento ai Big Data in nessuna sua parte, e ciò rappresenta
315 D'acquisto G., Naldi M., Big data e privacy by design, cit., p. 6.
316 Gandomi A., Haider M., Beyond the hype: Big Data concepts, methods, and analytics, cit., p. 138. 317 D'acquisto G., Naldi M., Big data e privacy by design, cit., p. 7.
318 Gandomi A., Haider M., Beyond the hype: Big Data concepts, methods, and analytics, cit., p.139. 319 Biasiotti A., Il nuovo Regolamento europeo sulla protezione dei dati, cit., p. 571.
320 Mantelero A., Big Data: i rischi della concentrazione del potere informativo digitale e gli
strumenti di controllo, in Diritto dell'informazione e dell'informatica, 2012, p.138
sicuramente uno dei suoi maggiori punti di debolezza322. Ecco che il