Struttura, ambito di applicazione e valore “dei considerando”.

il GDPR si compone di 99 articoli, i quali sono suddivisi in undici capi, nello specifico:

- capo I: disposizioni generali (artt. 1-4); - capo II: principi (artt. 5-11);

- capo III: diritti dell’interessato (artt. 12-23);

- capo IV: titolare del trattamento e responsabile del trattamento (artt. 24-43);

- capo V: trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali (artt. 44-50);

- capo VI: autorità di controllo indipendenti (artt. 51-59); - capo VII: cooperazione e coerenza (artt. 60-76);

- capo VIII: mezzi di ricorso, responsabilità, sanzioni (artt- 77- 84);

- capo IX: disposizioni relative a specifiche situazioni di trattamento (artt. 85-91);

- capo X: atti delegati e atti di esecuzione (artt. 92-93); - capo XI: Disposizioni finali (artt. 94-99).

Il campo di applicazione soggettivo è limitato alle persone fisiche298, con l’esclusione dei trattamenti di dati personali effettuati da persone                                                                                                                

297 _{Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio}

d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op. cit., p. 33.

fisiche per l’esercizio di attività a carattere personale e domestico; ne consegue che rimangono escluse dalla tutela del GDPR le persone giuridiche.

Per quanto riguarda, invece, l’ambito di applicazione materiale, il GDPR “si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuto in archivi o destinati a figurarvi”299: come si evince dalla lettura dell’articolo, l’ambito di applicazione del GDPR è molto vasto, ma non desta particolari questioni di interpretazione. Molto esteso risulta anche l’ambito di applicazione territoriale300, il quale copre non solo le attività di trattamento effettuate da parte di soggetti, Titolari o Responsabili, stabiliti nell’unione301, ma, in alcuni casi, determinati dal comma due dell’articolo 3, anche da soggetti che svolgono attività in paesi extraeuropei che offrono beni o servizi a soggetti interessati europei, a prescindere dalla previsione di un corrispettivo, oppure che controllano il comportamento di persone nell’unione.

Il GDPR si compone, inoltre di 173 “considerando”, i quali hanno valore interpretativo, ma non normativo.302

299 _{Articolo 2, co. 1., GDPR.} 300 _{Articolo 3, GDPR.}

301 _{Per determinare se un soggetto può essere fatto rientrare nella categoria di}

coloro che risultano stabiliti nell’unione, dobbiamo fare riferimento alla definizione di “stabilimento principale” dell’articolo 4, co. 16, e al considerando n° 22, il quale sancisce che “lo stabilimento implica l’effettivo e reale svolgimento di attività nel quadro di un’organizzazione stabile”.

302 _{Agenzia dell’Unione Europea per i Diritti Fondamentali e Consiglio}

d’Europa, Manuale sul diritto europeo in materia di protezione dei dati, op. cit., p. 36.

4.2.2. I Soggetti.

I soggetti protagonisti del trattamento dei dati personali possono essere distinti in due categorie: da una parte abbiamo l’interessato303, colui al quale devono essere riferiti i dati personali oggetto di trattamento e soggetto beneficiario delle tutele impartite dal GDPR, mentre dall’altro lato abbiamo quei soggetti che, a vario titolo, sono coinvolti nel flusso del trattamento dei dati personali, nello specifico, il titolare del trattamento, il responsabile del trattamento e il responsabile della protezione dei dati (DPO); andiamo ad analizzarli.

L’interessato (data subject) è la persona fisica destinataria finale del sistema di tutele previste dal GDPR; egli è titolare di una serie di diritti, indicati nel capo III del Regolamento, nello specifico, ha il diritto di sapere304 se i propri dati sono trattati e, in caso affermativo, ha il diritto di ricevere da colui che li tratta ogni informazione relativa (quali dati sono trattati, per quali finalità, con quali finalità – automatizzate o meno – per quanto tempo, se possono essere comunicati ad altri); in alcune circostanze305, egli avrà il diritto di ricevere tali informazioni in un formato strutturato, di uso comune e leggibile da dispositivo automatico, tale da poter consentire il trasferimento di detti dati ad altro titolare306_.

303 _{“Persona fisica identificata o identificabile”, articolo 4, co. 1, GDPR.} 304 _{C.d. diritto di accesso, articolo 15 GDPR.}

305 _{Tali circostanze si sostanziano nel fatto che il trattamento venga effettuato}

con modalità automatizzate (quindi non si applica ai dati contenuti in archivi o registri cartacei) e che tali dati siano stati precedentemente trattati con la base giuridica del consenso espresso dall’interessato o sulla base di un contratto stipulato con lo stesso, articolo 15, co. 1, lett a) e b).

Una volta ottenute tali informazioni, oppure nel caso in cui l’interessato ne sia già in possesso, egli può chiedere al titolare di compiere una serie di operazioni su quei dati, ovvero, può chiedere di rettificarli307, chiedere la limitazione308 di utilizzo in relazione a determinate finalità o direttamente opporsi309 a determinati trattamenti, ed infine può chiedere la cancellazione dei dati stessi310, nel caso in cui ricorrano determinate condizioni311.

307 _{Cd. Diritto di rettifica, articolo 16, GDPR.}

308 _{Cd. Diritto di limitazione di trattamento, articolo 18, GDPR.} 309 _{C.d. Diritto di opposizione, articolo 21, GDPR.}

310 _{C.d. Diritto all’oblio, articolo 17, GDPR. Il diritto all’oblio merita qualche}

precisazione. Le nuove tecnologie, in particolare internet, hanno apportato una serie di vantaggi, correlati ad altrettanti svantaggi: una volta che una determinata informazione varca la soglia della rete, colui al quale quella informazione deve essere riferita, ne perde il controllo. La “memoria digitale”, può causare un grave pregiudizio alla persona fisica, ed è pertanto in questa realtà che si inserisce il diritto all’oblio. Il diritto all’oblio rappresenta qualcosa in più della semplice cancellazione o della rettifica, e deve essere ricollegato non sono alla protezione dei dati personali, ma anche alla tutela di diritto all’identità personale, inteso quale diritto di essere identificati per quello che si è in quel momento, a prescindere dalle situazioni passate che possono aver caratterizzato un determinato periodo della vita di una persona. Il diritto all’oblio è di origine giurisprudenziale, ed è stato tradotto per la prima volta in una norma positiva con l’articolo 17 GDPR. Esso è balzato agli onori della cronaca attraverso la sentenza del 2014 relativa al cd. Caso Google Spain, nel quale, adattandosi alle nuove sfide imposte dall’era digitale, ha assunto la nuova veste di diritto alla de- indicizzazione, in relazione alle ipotesi nella quali il soggetto ha interesse a vedere cancellate alcune informazioni che lo riguardano. In quel caso concreto, la Corte di Giustizia era intervenuta disponendo che, un motore di ricerca è responsabile dei dati che tratta, anche se questi appaiono su pagine Web pubblicate da soggetti terzi, e che, di conseguenza, al verificarsi di determinate condizioni, egli sia tenuto a cancellare, o meglio a deindicizzare i

link rimandanti a tali pagine contenenti informazioni sulla persona alla quale

viene riconosciuto tale diritto. Occorre precisare che il diritto all’oblio è il risultato di un bilanciamento tra lo stesso, quale posizione di diritto inclusa nel diritto all’identità personale, e il diritto all’informazione. Uno degli aspetti più problematici relativi al diritto all’oblio, riguardava l’ambito di applicazione territoriale delle decisioni: la recentissima sentenza del 24 settembre 2019 sembra limitare tale obbligo alle versioni del motore di ricerca appartenenti ai soli stati dell’unione. In relazione al diritto all’oblio si veda: M. Tampieri, Il diritto all’oblio e alla tutela dei dati personali, in

Come si evince da questo schema riassuntivo, in generale possiamo affermare che la tutela dei diritti della personalità esce rafforzata dal nuovo impianto previsto dal GDPR.

Il regolamento si preoccupa, inoltre, di disciplinare le modalità attraverso le quali l’interessato potrà venire a conoscenza dell’esistenza di tali diritti, stabilendo, a carico del titolare, degli obblighi informativi e di comunicazione312_.

Appare evidente che il titolare e il responsabile, al fine di poter essere adempienti rispetto agli obblighi imposti dal GDPR in relazione al diritti degli interessati, dovranno necessariamente dotarsi di un’organizzazione rigorosa e strutturata, come avremo modo di illustrare nel prosieguo.

Il titolare del trattamento dei dati è “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”313, mentre il responsabile del trattamento “è colui che tratta i dati personali per conto del titolare del trattamento”314: ecco che in questo passaggio si coglie la differenza tra le figure del data controller e del data processor, ovvero il titolare del potere decisionale, in ordine all’indicazione delle finalità e alle modalità di trattamento, poiché è su                                                                                                                                                                                                                                                                      

Responsabilità civile e previdenza, fascicolo 3, 2010, p. 1010B e ss.; M.

Mensi – P. Falletta, il diritto del web, op. cit., p. 386 e ss; F. Frigerio, la

Corte di Giustizia, 5 anni dopo Google Spain, limita l’estensione del diritto all’oblio nell’Unione europea, in Filodiritto, 2019, consultabile al seguente

indirizzo https://www.filodiritto.com/la-corte-di-giustizia-5-anni-dopo- google-spain-limita-lestensione-del-diritto-alloblio-allunione.

311 _{Quali esaurimento delle finalità, revoca del consenso precedentemente}

prestato, semplice opposizione in mancanza di un diverso motivo legittimo prevalente che ne consenta la trattazione.

312 _{Articoli 12-13-14 GDPR.} 313 _{Articolo 4, co. 7, GDPR.} 314 _{articolo 4, co. 8, GDPR.}

di lui che “gravano le responsabilità fondamentali”315_{, e del potere di} controllo sui soggetti che svolgono attività per suo conto.

Il responsabile del trattamento, il quale svolge solitamente attività in outsourcing, è pertanto il soggetto chiamato a coadiuvare il titolare nell’attività di trattamento dei dati: esso è soggetto al potere di controllo del titolare ed è tenuto ad agire dietro sue indicazioni e sulla base di un incarico scritto.

Nel GDPR scompare il riferimento alla figura dell’incaricato del trattamento; il titolare e il responsabile hanno comunque facoltà di autorizzare determinati soggetti a svolgere attività di trattamento dati, sempre attraverso la predisposizione di una lettera di incarico dalla quale emergano in modo chiaro ambiti di operatività e limitazioni. Il GDPR introduce la figura del responsabile per la protezione dei dati316 (in inglese, Data protection Officer, DPO), non menzionato nella precedente normativa; esso è una persona con conoscenza specialistica della normativa e delle pratiche in materia di protezione dei dati e controllo del rispetto a livello normativo del […] regolamento […] il livello necessario di conoscenza specialistica dovrebbe essere determinato in particolare in base ai trattamenti di dati effettuati e alla protezione richiesta per i dati personali trattati dal titolare. Tali responsabili della protezione dei dati, dipendenti o meno del titolare del trattamento, dovrebbero poter adempiere alle funzioni e ai compiti loro incombenti in maniera indipendente”317.

La designazione del DPO è obbligatoria in alcuni casi determinati dall’articolo 37 comma 1, nello specifico, “ogniqualvolta a) il                                                                                                                

315 _{M. Mensi – P. Falletta, Il diritto del Web, op. cit., p, 362.} 316 _{Articolo 37, GDPR.}

trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b) le attività principali del titolare del trattamento o del responsabile consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) la attività principali del titolare del trattamento o del responsabile consistono nel trattamento su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali o reati di cui all’articolo 10.”318.

La designazione deve risultare da un atto scritto e deve inoltre essere fatta pervenire all’Autorità di controllo, questo perché tale indicazione rappresenta, tra le altre cose, proprio il punto di contatto tra i soggetti chiamati a dover applicare la disciplina e i soggetti deputati a controllare l’applicazione della stessa: egli è “l’interlocutore dell’autorità garante”319.

4.2.2. Definizioni, principi generali e meccanismi di controllo.