Regolamento generale sulla protezione dei dati personali: GDPR

abusi, accessi e usi illeciti (Corte di Giustizia Europea, 2014).

Ciò nonostante dal 2014 al 2018, l’Unione Europea ha continuato a tutelare i dati personali, usati nel corso di trattamenti automatizzati e non, grazie alla Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale del 1981 e alla direttiva 95/46/CE. Gli stessi principi delle norme inora citate, furono ribaditi anche nel 2009, durante la stipulazione del Trattato di Lisbona comprensivo della Carta dei diritti dell’Unione. In quest’ultimo caso vennero ripresi i principi di tutela e di libera circolazione dei dati, entro i controlli posti dalle autorità comunitarie e nazionali. In ine, a maggio 2018, con l’entrata in vigore del nuovo regolamento n. 2016/679, l’interno quadro normativo europeo in materia di di protezione dei dati ha subito l’ultimo e de initivo cambiamento, realizzato nel rispetto degli stessi principi de initi dalle leggi precedenti.

2.1.3 Regolamento generale sulla protezione dei dati personali: GDPR

Dopo i vari interventi correttivi e integrativi della direttiva 95/46/CE e 2002/58/CE, la Commissione Europea ha deciso di regolare il quadro normativo in materia di tutela dei dati personali, presentando il “Pacchetto europeo protezione dati", costituito dal regolamento 2016/679 e dalla direttiva 2016/680, entrati in vigore a maggio 2018. Il nuovo regolamento europeo sulla protezione dati, de inito anche GDPR (General Data Protection Regulation) è stato realizzato con l’obiettivo garantire a tutti i cittadini europei un trattamento uniforme dei dati personali, ponendo ine alle disparità di tutela causate dalle diverse normative nazionali. Per questa ragione il regolamento è entrato in vigore senza che vi fosse alcun atto di recepimento da parte degli Stati membri, mentre sono stati fatti passare due anni dalla data di approvazione a quella di entrata in vigore, al ine di consentire a tutte le organizzazioni interessate l’adeguamento alla normativa.

Il regolamento UE 2016/679 è stato realizzato secondo una diversa impostazione rispetto al precedente ordinamento sulle attività di raccolta e trattamento dati. La norma infatti, pone al centro dell’attenzione il diritto alla tutela dei dati personali, elevandolo a diritto fondamentale, dunque inviolabile, entro il quale devono essere adottate tutte le misure necessarie perché non avvenga alcuna fuga, perdita o uso improprio da parte di terzi. Per far si che ciò avvenisse, il legislatore ha fatto leva sui maggiori principi presenti in materia di privacy, considerando i singoli bisogni delle aziende che svolgono delle attività di data retention e data mining e le evoluzioni future degli strumenti impiegati a questi scopi (De Stefani, 2018).

L’intero regolamento gravita attorno al principio consensuale dell'interessato, al quale si è cercato di garantire anche la massima consapevolezza dei trattamenti a cui è sottoposto, obbligando il titolare alla trasparenza di quanto fatto. Secondo quanto espresso dalla normativa, il principio consensuale può effettivamente tutelare i diritti degli utenti, quando è libero, informato, inequivocabile, speci ico, veri icabile e revocabile. Per questo motivo, il titolare del trattamento deve fornire una nota informativa rispetto a quanto svolto, allo scopo di rendere trasparente qualsiasi attività di data retention e data mining da lui realizzata. Il codice non speci ica in modo dettagliato il contenuto di tale comunicazione, tuttavia ne de inisce alcuni elementi minimi tra cui i contatti del titolare, del responsabile, le inalità del trattamento e la forma concisa, trasparente e intelligibile che deve avere (Matarrese, Notarangelo, 2017).

Le caratteristiche del principio consensuale e della nota informativa poste dal legislatore tutelano già di per sè alcuni diritti riconosciuti all’interessato. Il primo citato dal regolamento è costituito dal diritto alla trasparenza, nel quale si garantisce al soggetto le facoltà di conoscere e comprendere le inalità del trattamento, di monitorare i propri dati ed eventualmente di intervenire per poterli modi icare. A estensione del concetto di trasparenza, all’interessato sono riconosciuti anche i diritti di informazione in merito alle dinamiche del trattamento, di accesso alle informazioni conservate dal titolare e di retti ica nel caso di dati inesatti o incompleti. Il legislatore ha considerato anche le modalità con cui il soggetto può imporre la ine del trattamento, riconoscendo il diritto alla limitazione o all'opposizione del trattamento; alla portabilità dei dati da un titolare

ad un altro e all’oblio, ossia alla cancellazione di delle informazioni non necessarie o al quale si oppone o revoca il consenso al trattamento. Tali principi sono stati de initi dal regolamento in virtù di consentire all’interessato un pieno controllo sui propri dati personali, realizzando al contempo una protezione integrale del dato personale, al di là della tipologia delle informazioni raccolte e degli strumenti con cui si svolge il trattamento. La de inizione dei diritti dell’interessato ha infatti reso lessibile le occasioni di applicabilità della norma, a prescindere dalle condizioni in cui avviene il trattamento dei dati (De Stefani, 2018).

Il regolamento fornisce anche delle direttive chiare e precise sulla data governance dei dati aziendali, intesa come l’insieme delle procedure che mirano ad allineare le operazioni di data management alle strategie aziendali. Alla base di tali regole vige il principio di accountability, ossia il senso di responsabilizzazione che sta alla base dell’intero pacchetto normativo. I soggetti maggiormente coinvolti nelle attività di data management all’interno delle aziende sono il titolare del trattamento, ossia colui che determina inalità e mezzi del trattamento e il responsabile, inteso come l’organismo che esegue la raccolta e l’elaborazione dei dati per conto del titolare. Il titolare non deve solo mettere in atto tutte le misure tecniche e organizzative conformi al regolamento, ma ha anche l’obbligo di dimostrare l’adeguatezza di quanto svolto in base alla natura, al contesto e alle inalità del trattamento. Per far si che l’uso dei dati sia conforme alla legge, il titolare ha l’obbligo di formare il responsabile e i dipendenti nominati da quest’ultimo, autorizzati al trattamento. Entrambi dovranno poi redigere dei registri delle attività, nei quali documentare quanto svolto, dimostrando il loro impegno nel rispettare la direttiva. Il regolamento indica solo il contenuto minimo che il registro del titolare e quello del responsabile devono avere, allo scopo fornire più possibilità di dimostrare quanto svolto, considerando la varietà di trattamenti potenzialmente realizzabili e dunque la soggettività delle misure adottabili (De Stefani, 2018).

Una delle più importanti novità apportate dal regolamento è l’introduzione del Data Protection Of icer, ossia una igura professionale operante ai vertici dell’organizzazione come supervisore dell’effettivo rispetto degli standard di legge. Oltre ad avere il compito di garantire la sicurezza informatica aziendale, il DPO è stato creato con lo scopo di essere un punto di riferimento per tutti gli stakeholder

dell’organizzazione. Il titolare o il responsabile dell’azienda infatti, possono interpellarlo per avere delle delucidazioni sulle giuste misure da adottare per la sicurezza dei dati oppure per ottenere una valutazione complessiva su quanto svolto. D’altro canto lo stesso DPO deve poter agire in modo indipendente dall’azienda, allo scopo di essere un mediatore per gli interessati coinvolti nei trattamenti e per il Garante nazionale della privacy, soprattutto nel caso in cui dovessero veri icarsi delle problematiche nella gestione delle informazioni. In ine, nonostante il regolamento preveda che sia il titolare del trattamento a tenere un registro delle attività, nella realtà questo compito sarà af idato al DPO, sulla base delle informazioni fornite dagli organi dell’intera azienda. La nomina del DPO spetta al titolare ed è obbligatoria quando il trattamento è svolto da un'autorità pubblica o quando consiste in un monitoraggio regolare e sistematico degli interessati o quando coinvolge categorie particolari di dati. Questo può essere un dipendente oppure un soggetto esterno all’organizzazione, operante tramite un contratto di servizio (Scafati, Perelli, 2016).

In ine il regolamento tratta anche delle modalità di gestione di eventuali casi di data breach che potrebbero veri icarsi nel corso del trattamento dei dati. Per data breach s’intende qualsiasi violazione della sicurezza dei dati personali, che comporti l’accidentale o illecita perdita, distruzione, divulgazione o modi ica delle informazioni registrate dal titolare. La norma europea obbliga quest’ultimo a fornire un’informativa su quanto accaduto sia all’autorità Garante che agli interessati del trattamento coinvolti nella violazione dei dati personali. Nel testo si sottolinea l’importanza della tempestività e della completezza che deve avere la noti ica alle autorità, indicando come termine massimo di comunicazione alle autorità 72 ore, entro le quali il DPO deve fornire una descrizione completa sulla natura, le circostanze e le conseguenze di quanto accaduto. Ulteriori informazioni riguardo gli estremi del titolare e del responsabile devono essere fornite anche agli interessati, soprattutto nel caso in cui la violazione coinvolga dati personali sensibili, per cui sussista un grave rischio per la loro persona isica. Tale intervento obbliga le organizzazioni a essere trasparenti anche sui malfunzionamenti del trattamento e successivamente le spinge a procedere per la completa risoluzione

del danno e l’adozione di nuove misure volte al controllo e alla riduzione di qualsiasi rischio di data breach (De Stefani, 2018).

Nel complesso il regolamento 2016/679 vuole riaffermare il principio consensuale già considerato dalle direttive europee precedenti, ma a differenza di quest’ultime, considera i limiti conoscitivi e interpretativi dell’utente medio. Per questa ragione l’Unione Europea ha imposto alle organizzazioni attive nel trattamento dati una comunicazione più trasparente verso gli interessati e l’obbligo di adottare dei sistemi di tutela e vigilanza più ef icaci. Per questa ragione ha ribadito la necessità di un linguaggio semplice nella nota informativa destinata ai soggetti coinvolti nel trattamento dei dati, allo scopo di consentire loro una gestione consapevole delle informazioni. Allo stesso modo, è intervenuta sulle regole di data governance aziendale al ine di permettere alle organizzazioni la massima libertà di azione, alla quale deve sempre fare capo la dimostrazione del rispetto del regolamento su quanto realizzato (De Stefani, 2018).

2.1.4 Quadro normativo nazionale

Le prime leggi a tutela della privacy online sono entrate in vigore in Italia grazie all’ordinamento giuridico realizzato dall’Unione Europea per la de inizione e la protezione dei dati personali. La prima legge nazionale in materia fu infatti la n. 675 del 31 dicembre 1996, la quale venne realizzata con lo scopo di attuare nel territorio nazionale la direttiva comunitaria 95/46/CE. La normativa permise di affermare anche in Italia di alcuni elementi chiave per la regolamentazione del settore, tra cui i ruoli del titolare e del responsabile, l’obbligo di trasparenza e i meccanismi di affermazione del diritto consensuale per l’approvazione di quanto svolto. La legge istituı̀ inoltre il Garante per la protezione dei dati personali che rappresenta ancora a oggi, un’autorità amministrativa indipendente volta a controllare, promuovere e curare l’applicazione delle normative nazionali ed europee in materia di trattamento dei dati personali. Il Garante opera infatti in

Nel documento L’utilizzo di big data online per fini commerciali: gli effetti del datagate Facebook e Cambridge Analytica nel privacy paradox (pagine 45-49)