2.1
Dalla Direttiva al Regolamento.
Nel giugno 2011, è stata condotta una ricerca, denominata Eurobarometer n. 359 la quale ha mostrato come per il 75 per cento dei cittadini europei le informazioni finanziarie, quelle sanitarie e i codici identificativi personali delle carte di identità e dei passaporti siano informazioni personali che necessitano di un'adeguata tutela. Solamente un terzo tra i cittadini intervistati, tuttavia, era a conoscenza dell'esistenza delle Autorità nazionali Garanti per la tutela dei propri dati146. Se ne deduce, quindi, che il bisogno di tutelare la
propria sfera personale sia molto sentito dai cittadini, ma che, tuttavia, essi abbiano una scarsa conoscenza dei loro diritti e soprattutto dei canali da utilizzare per farli valere.
La proposta di redigere un Regolamento in materia di protezione dei dati personali è stata promulgata dalla Commissione Europea147 il 25 gennaio
del 2012. Le ragioni di tale proposta sono sicuramente da ricondursi al fatto che, come abbiamo accennato all'inizio del capitolo precedente, in Europa la tutela dei dati personali era affidata alla Direttiva 95/46 CE. Negli anni in cui essa era stata redatta, tuttavia, l'utilizzo di internet non era certamente diffuso come ai nostri giorni. Oggi, infatti, sono circa 250.000.000 i soggetti che, soltanto in Europa, ne fanno un utilizzo quotidiano148. Inizia dunque a farsi
146 Biasiotti A., Il nuovo Regolamento Europeo sulla protezione dei dati, cit.,p. 67.
147 La Commissione europea è l'organo esecutivo dell'Unione Europea e promotrice dell'iter legislativo. Si compone di un commissario per ogni stato membro dell'Unione il quale è completamente indipendente dal governo del proprio paese. La Commissione rappresenta e tutela gli interessi dei cittadini dell'Unione. Inoltre, essa esercita il monopolio sull'iniziativa legislativa. 148 Biasiotti A., Il nuovo regolamento europeo sulla protezione dei dati, cit.,p. 55.
sentire l'esigenza di un aggiornamento in materia, al fine di offrire una maggiore tutela ai diritti dei singoli cittadini e delle aziende149.
Il Regolamento, dunque, viene redatto in primis con lo scopo di sostituire la summenzionata Direttiva 95/46/CE la quale ha rappresentato e tutt'ora rappresenta, la base della regolamentazione europea in materia di protezione dei dati personali, il metro di valutazione attraverso il quale stimare il livello di protezione messo a punto dai diversi Stati membri150.
L'esigenza di redigere un Regolamento sorge anche in virtù dell'importanza economico-sociale che i dati oggi ricoprono. Dunque se originariamente le ragioni che avevano spinto a dotarsi di un modello sovranazionale di regolamentazione erano dovute al bisogno di assicurare lo scambio transfrontaliero di informazioni tra soggetti pubblici e privati, oggi le ragioni sono da ricondursi all'esigenza di arginare i rischi che incombono sui dati e le loro conseguenze151.
Esaminando la Direttiva, si può notare che in essa il legislatore abbia voluto porre una forte attenzione in merito agli obblighi di informativa e all'istituto della notificazione. Questo è dovuto al fatto che, all'epoca in cui essa è stata redatta, i dati personali erano organizzati all'interno di pochi registri nazionali. Oggi, gli attori che hanno accesso ai nostri dati sono molto più numerosi e talvolta sconosciuti all'interessato, il quale non ha, nella maggior parte dei casi, nessuna idea di come questi dati vengano trattati152.
L'implementazione della Direttiva nei diversi Stati è stata molto diluita nel tempo. L'Art. 29 Working party, già citato nel capitolo precedente153, sostiene inoltre che, all'interno dei vari Stati membri, vi sia una
notevole divergenza sia per quanto riguarda l'applicazione dei principi della
149 Biasiotti A., ivi, p. 55.
150 De Hert P., Papakonstantinou V., The propose data protection Regulation replacing Directive
95/46/EC: a sound system for the protection of induviduals, in Computer Law e security review,
vol. 28, 2012, p.131.
151 Mantelero A., Responsabilità e rischio nel Reg. UE 2016/679, in Le nuove leggi civili
commentate, vol.1, 2017, p. 147.
152 De Hert P., Papakonstantinou V., The propose data protection Regulation replacing Directive
95/46/EC., cit., p. 132.
direttiva, sia in merito loro interpretazione. Un'autorevole esperta di leggi in materia di protezione dei dati154, evidenziava come “la Germania ha un regime piuttosto forte, ma ciò è dovuto a ragioni storiche a seguito alla Guerra, la Francia possiede delle leggi abbastanza dure, ma raramente applicate. La Gran Bretagna tende ad autoregolamentarsi, dato che l' Information Commissioner's Office ha stabilito delle sanzioni molto dure per costringere le aziende a smettere di trattare e raccogliere i dati personali”155.
Essa continuava affermando che molti paesi come ad esempio la Spagna, il Portogallo e anche l'Italia presentavano un sistema legislativo molto restrittivo mentre altri paesi come ad esempio la Gran Bretegna risultavano avere un sistema legislativo molto più realistico156.
Un esempio che rende l'idea del divario di interpretazione e applicazione della Direttiva tra i vari Stati membri dell'Unione Europea, lo si può notare, ad esempio, andando ad esaminare il concetto di legittimazione. Per i Paesi del sud Europa il principale elemento di legittimazione è il consenso che l'interessato da al trattamento dei propri dati personali. I paesi del nord Europa, al contrario, avendo una mentalità più merceologica, si concentrano maggiormente sul concetto di interesse legittimo come mezzo principale di legittimazione157.
Un'altra importante ragione che ha spinto alla ratifica del Regolamento è stata proprio questo bisogno di rendere omogeneo il diritto in materia di protezione dei dati personali in tutti gli Stati membri dell'Unione Europea.
E' dunque con la ratifica del Trattato di Lisbona158 che si apre
154 Shelagh Gaskill è stata la maggiore specialista britannica in materia di data protection e la principale esperta di diritto dell'informazione. Per ulteriori informazioni su di lei http://www.yorkshirepost.co.uk/news/obituaries/shelagh-gaskill-1-2616284
155 Matheison S., Data protection in the new Europe, in Infosecurity today, 2004, p.26. “Germany
has a pretty strong regime, but that's for historical reasons over from the war, France has a fairly tough law, but it is rarely enforced. The UK tends to be self-regulating, as the ICO has a very strong sanction of forcing a buisness to stop processing personal data and recollect it”.
156 Matheison S., Data protection in the new Europe, in Infosecurity today, p.28. 157 Mantelero A., lezione del 11.03.2017 nell'ambito de master Ecosystem.
158 Il Trattato di Lisbona, noto anche come Trattato di riforma, è stato firmato il 13 dicembre 2007 e ha apportato importanti modifiche al Trattato sull'Unione Europea e al Trattato che istituisce
definitivamente la strada per una revisione in materia159.
Il processo di modifica della Direttiva ha avuto inizio nel 2009 vedendo la partecipazione del Consiglio dell'Unione Europea, del Parlamento, del Garante Europeo per la protezione dei dati e dell'Articolo 29 Working Party. Tali organismi hanno deciso di adottare un Regolamento e non più una Direttiva. La differenza tra Direttiva e Regolamento consiste nel fatto che il Regolamento è un atto legislativo vincolante e deve essere immediatamente applicato all'interno di tutti gli Stati membri dell'Unione Europea. La Direttiva, al contrario, è un atto legislativo che stabilisce un obiettivo che tutti gli Stati membri devono raggiungere. Spetta tuttavia ad essi stabilire, attraverso atti legislativi propri, come questi obiettivi debbano essere raggiunti160.
Salvo in alcuni e rari casi, relativi a specifici ambiti, per i quali è richiesto l'intervento del legislatore nazionale, si è dunque cercato di uniformare il diritto in materia di protezione dei dati personali in Europa, provando ad eliminare quella frammentarietà ereditata dalla precedente Direttiva. Il fine delle Direttive, infatti, è quello di avvicinare tra loro le legislazioni nazionali e armonizzarle, mentre i Regolamenti, hanno lo scopo di unificarle sotto un unico diritto161.
Per i Paesi membri dell'Unione Europea, sarà dunque possibile garantire ai propri cittadini un numero maggiore di diritti rispetto a quelli presentati all'interno del Regolamento, ma non di meno162. Certamente con
l'entrata in vigore del Regolamento le norme in esso contenute prevarranno sulle norme interne dei singoli Stati e ciò avrà dunque un fortissimo impatto sulle legislazioni nazionali. Tuttavia c'è ancora dell'incertezza per quanto riguarda il futuro delle leggi interne riguardanti la protezione dei dati personali. Non è stato stabilito, infatti, se esse verranno abrogate, oppure
l'Unione Europea. Esso provvede al riparto di competenze tra Unione e Stati membri e rafforza il
principio democratico e i diritti fondamentali.
159 Wong R., Data protection: the future of privacy, in Computer law e securuty review, vol. 27, 2011,
p . 5 2 .
160 Regolamenti, Direttive e altri atti, in https://europa.eu/european-union/eu-law/legal-acts_it 161 Regolamenti, Direttive e altri atti, ivi.
coesisteranno al Regolamento, sempre nel rispetto del principio di prevalenza di quest'ultimo. Non solo, ma per evitare problematiche di tipo costituzionale, ad essere abrogate dovranno probabilmente essere anche tutte quelle leggi nazionali che ripetano esattamente norme contenute nel nuovo Regolamento163.
Un'altra differenza importante tra la Direttiva e il nuovo Regolamento consiste nel fatto che quest'ultimo presta un'attenzione molto più accentuata ai diritti, agli obblighi di sicurezza che il titolare164 oppure il responsabile165
devono rispettare, piuttosto che ai diritti degli interessati. Tutto ciò rappresenta un vero e proprio capovolgimento della prospettiva rispetto a quella delineata all'interno della precedente Direttiva166. Lo scopo sembra dunque quello di
prevenire eventuali danni all'interessato ampliando gli obblighi di coloro che si occupano del trattamento dei dati e non agendo sui diritti di questi ultimi. Questa decisione probabilmente deriva dall'impossibilità, per l'interessato, di capire i meccanismi con i quali i propri dati vengono trattati, e molto spesso anche nell'impossibilità di capire da chi e dove essi lo siano.
L'importanza del tema della sicurezza all'interno del Regolamento è dimostrata prima di tutto dalla maggiore quantità di articoli167 relativi al tema
della protezione dei dati rispetto alla precedente Direttiva la quale dedicava a questo tema esclusivamente due articoli, il 16 e il 17. Inoltre, come esamineremo nei paragrafi successivi, il Regolamento rafforza i poteri delle Data Protection Authorities, introducendo inoltre la figura del Data Protection Officer, già istituito in alcuni Paesi Europei ed Extraeuropei, ma assolutamente
163 Bernardi R., ivi, p. 78.
164 L'art.4 comma 7 del Regolamento europeo in materia di dati personali lo definisce come: “la
persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
165 L'art. 4 comma 8 del Regolamento europeo in materia di dati personali lo definisce come: “ la
persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
166 Pizzetti F., Privacy e diritto europeo alla protezione dei dati, cit., p. 154.
167 Art. 32; Art. 34; Art. 35; Art. 36; Art. 38; Art. 39 Regolamento europeo in materia di dati personali.
assente in altri, tra i quali l'Italia. L'articolo 29 Working Party aveva infatti più volte criticato la mancanza di precisione della Direttiva nello stabilire ruoli e compiti delle Autorità Garanti, le quali, in alcuni Paesi, hanno acquisito un ruolo irrilevante168
Dal momento che il Regolamento non potrà più contare sull'adeguamento legislativo da parte dei diversi Stati membri, sarà necessario un giudizio basato su due diversi livelli. In primo luogo si dovrà verificare che esso sia in grado di garantire effettivamente un livello massimo di tutela per tutti i cittadini dell'Unione. In secondo luogo si dovrà valutare se esso sia o meno in grado di sostituire efficacemente tutte le leggi precedentemente vigenti all'interno dei vari Stati169.
2.2
La sicurezza dei dati personali nel Regolamento Europeo: la procedura della Privacy Impact Assessment.
All'interno del nuovo Regolamento 679/2016 il tema della sicurezza ricopre un ruolo di primo piano. Tale centralità è volta a creare un sistema che sia in grado di accrescere la fiducia dei cittadini europei nell'utilizzo di strumenti informatizzati, in uno scenario in cui il semplice consenso e la notificazione non sono più sufficienti, da soli, a garantire all'interessato una tutela effettiva dei propri dati personali170. Non c'è alcun dubbio, tuttavia, che
consenso e notificazione rimangano all'interno del Regolamento e mantengano un ruolo assai importante come strumenti di legittimazione dell'interessato . Al fine però, di garantire un livello massimo di protezione dei dati, il Regolamento prevede tre diverse procedure: la procedura della
168 Wong R., Data protection: the future of privacy, cit., p.57.
169 De Hert P., Papakostantinou V., The proposed data protection Regulation replacing Directive
95/46/EC,cit., p. 141.
170 Mantelero A., Competitive value of data protection:the impact of data protection regulation on
minimizzazione, la procedura della privacy impact assessment ( da ora in avanti PIA), e infine l'istituto della privacy by design e by default171.
La procedura della minimizzazione era già presente all'interno della Direttiva 95/46/CE, nella quale, all'art. 6 lett. c si leggeva che i dati dovevano essere “adeguati, pertinenti e non eccedenti rispetto alle finalità per le quali
vengono rilevati e/o per le quali vengono successivamente trattati”. Tale
procedura all'interno del nuovo Regolamento viene rinforzata172. Si legge,
infatti, all'art. 5 lett. c che i dati personali devono essere “adeguati, pertinenti
e limitati a quanto necessario rispetto alle finalità per le quali sono trattati”.
Le differenze tra i due articoli sono chiaramente molto sottili, tuttavia, notiamo come, ad esempio, il Regolamento elimini dall'articolo il riferimento alle finalità per le quali i dati sono rilevati e mantenga esclusivamente quelle per le quali essi sono trattati, restringendo così il numero di dati che possono essere lecitamente trattati173. Si tratta dunque di una prima, seppure minima, modifica
la quale cerca di rafforzare il sistema di protezione dei dati, limitando la raccolta ai soli dati indispensabili per le finalità dichiarate.
Un aspetto molto più innovativo all'interno del Regolamento è costituito dall'introduzione, della procedura della PIA. Tale procedura, non è una novità assoluta, poiché essa già era stata applicata in differenti paesi europei e non. Tuttavia essa rappresenta uno degli aspetti più rivoluzionari all'interno del Regolamento174.
La PIA può essere definita come “un metodo per verificare l'impatto
sulla privacy di un progetto, una politica, un programma, un servizio, un prodotto o altre iniziative che riguardano il trattamento di informazioni personali e, in accordo con le parti interessate, per mettere in atto, se necessari, rimedi al fine di evitare o minimizzare gli effetti negativi”175. Non si
171 Mantelero A., Competitive value of data protection, cit., p.5.
172 Costa L., Puollet Y., Privacy and the regulation of 2012, in Computer law and security review
xxx, 2012, p.5.
173 Costa L., Puollet Y., Privacy and the regulation of 2012, cit., p.6.
174 Biasiotti A., Il nuovo Regolamento europeo sulla protezione dei dati, cit., p. 301. 175 Wright D., De Hert P., Privacy impact assessment, Springer, Berlino, 2012, p.5
tratta dunque di un mero strumento ma di un vero e proprio processo176, il
quale deve essere implementato immediatamente prima di porre in atto un qualsiasi progetto che comporti l'utilizzo di dati personali e deve poi continuare per tutta la durata del progetto in questione.
Negli anni '90 in Canada, Nuova Zelanda e Australia, un certo numero di consulenti e accademici specializzati in materia di data protection iniziarono a considerare la PIA come uno strumento essenziale per garantire un elevato livello di protezione dei dati. Questa idea si espanse rapidamente all'interno di tali Paesi, tuttavia occorsero circa 10 anni affinchè venisse definitivamente applicata177.
Gli scopi di una procedura di PIA sono molteplici. Innanzitutto tale procedura viene utilizzata per identificare, gestire e mitigare i rischi legati al trattamento di dati personali178. Tali rischi, possono derivare da una serie
infinita di fonti, come ad esempio le vulnerabilità del sistema interno all'ente che si occupa del trattamento, oppure da minacce esterne ad esso179. Qualora
un' organizzazione di qualsiasi genere, non prestasse un'adeguata attenzione alla tutela dei dati personali, potrebbe soffrire di un'ampia serie di conseguenze negative. Ad esempio potrebbe subire un forte danno all'immagine, con una conseguente perdita della fiducia dei consumatori, oppure potrebbe essere costretta a pagare ingenti somme di denaro a fini risarcitori qualora, a causa della sua negligenza avesse provocato un danno all'interessato. Inoltre potrebbe essere costretta a pagare multe anche salate in caso di mancata osservazione di una norma o di una legge rischiando così di perdere una parte del vantaggio competitivo rispetto ad altre aziende affini che invece garantiscano una tutela maggiore180. Dall'implementazione di una
corretta procedura di PIA, inoltre, derivano chiari benefici. Tale processo,
176 Wright D., De Hert P., ivi, p.5
177 Clarke, Roger, Privacy impact assessment: Its origin and development, in Computer law &
security review, 2009, p. 125.
178 Wright D., De Hert P., Privacy Impact Assessment, cit., p. 10. 179 Wright D., De Hert P., ivi, p.14.
infatti, rende il trattamento dei dati molto più trasparente e ciò accresce notevolmente la fiducia degli interessati e la possibilità di dimostrare di essere sempre stati sensibili sul tema della protezione dei loro dati181.
La procedura della PIA, dunque, è una branca del risk management, tuttavia si differenzia da esso poiché l'analisi viene effettuata ex ante, ovvero prima che il processo di trattamento dei dati abbia inizio e si protrae come già anticipato, per tutta la sua durata. Tutto ciò viene fatto per indurre chi si appresta ad effettuare determinate tipologie di trattamento di dati ad adottare misure preventive di tutela, volte ad evitare che si verifichi un danno per l'interessato182. Si potrebbe ragionevolmente sostenere183 che l'impianto
complessivo del Regolamento è volto a creare un sistema in cui si cerca di evitare che il danno si verifichi piuttosto che un sistema in cui punire chi l'ha provocato. Su questo punto torneremo in seguito.
I soggetti responsabili di implementare la procedura della PIA sono in prima istanza i managers che si occupano del progetto che comporta l'utilizzo dei dati. Fino all'entrata in vigore del Regolamento essi avevano il compito di stabilire la necessità o meno dell'assessment, lo scopo e in che misura esso doveva essere fatto184. Tale procedura, infatti, comportava e comporta tuttora
dei costi, ed è proprio a causa di tali costi che in Italia è sempre stata vista come un'inutile aggravio per le imprese185. Queste, infatti, potrebbero
necessitare, per svolgere tale procedura, di consulenti esterni all'azienda e molte aziende non vedono tutto ciò di buon occhio. Infatti, esse risultano restie a condividere informazioni interne che ritengono strategiche e non sono aperte alla collaborazione e condivisione di idee con specialisti che potrebbero bloccare o modificare un progetto già pianificato186. Come abbiamo spiegato
181 Wright D., De Hert P., ivi, p.16.
182 Mantelero A., Competitive value of data protection, cit., p. 5.
183 Mantelero A., Responsabilità e rischio nel Reg. UE 2016/679, in Le nuove leggi commentate, vol.
1, 2017, p. 157.
184 Wright D., De Hert P., Privacy Impact Assessment, cit., p. 25.
185 In merito a questo si veda il riferimento al documento programmatico all'interno del capitolo 1
paragrafo 1.5.
nel capitolo precedente, un assessment ex post era stato implementato in Italia attraverso l'obbligo di redigere il Documento Programmatico sulla sicurezza. Tale obbligo tuttavia è venuto meno, ed è dunque ragionevole pensare che le imprese italiane si troveranno in serie difficoltà con l'entrata in vigore del Regolamento, il quale prevede, all'art. 35, l'obbligo di effettuare tale procedura187.
Tenuto conto degli aspetti appena elencati tuttavia, il Regolamento non estende il processo di PIA a ogni tipologia di trattamento. L'art. 35 “valutazione d'impatto sulla protezione dei dati.”, collocato all'interno della sezione II del regolamento, dedicata alla sicurezza, recita, al comma 1 : “
quando un tipo di trattamento, allorchè prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla