La tutela penale della privacy

La tutela penale della privacy

INDICE

INTRODUZIONE

Cap.1 – Il diritto alla protezione dei dati personali

1 Fondamento giuridico e rilevanza costituzionale 2 La normativa di riferimento

2.1 Il Codice della privacy

3 I Principi generali del Codice e le modalità del trattamento 3.1 Principi generali

3.2 Le Modalità del trattamento

4 I Provvedimenti dell'Autorità Garante

5 Il trattamento dei dati personali: i concetti di trattamento, di dato personale e di interessato prima e dopo il c.d Decreto Salva Italia

6 I soggetti del trattamento: titolare, responsabile, incaricati 7 I principali adempimenti

7.1 L'informativa 7.2 Il Consenso

8 Le misure di sicurezza

8.1 Le misure adeguate e le misure minime di sicurezza 9 L'apparto sanzionatorio del Codice della privacy 9.1 La responsabilità civile

9.2 La responsabilità amministrativa 9.3 La responsabilità penale

10 Il nuovo Regolamento europeo sulla protezione dei dati personali

Cap.2 – L'evoluzione della disciplina comunitaria e

interna in materia di tutela penale di riservatezza

1 Introduzione

2 Le origini del concetto di privacy

3 I primi riconoscimenti normativi comunitari in materia di riservatezza

4 La tutela penale della privacy in Italia prima della legge n. 675/1996

Cap.3 – La tutela penale nel Codice della privacy

1 Introduzione

2 La struttura delle disposizioni penali

3 L'utilizzo della tecnica del rinvio per la tipizzazione della norma penale

4 Trattamento illecito dei dati personali: articolo 167 del Codice Privacy

4.1 La clausola di riserva 4.2 La condotta

4.2.1 Le condotte punibili ai sensi del primo comma dell'articolo

167

4.2.2 Le condotte punibili ai sensi del secondo comma

dell'articolo 167

4.2.3 Ulteriori elementi strutturali del reato: la “comunicazione”

e “diffusione” e il nocumento

4.2.3.1 “Comunicazione” e “diffusione” 4.2.3.2 “Il dolo specifico”

4.2.3.3 “Il nocumento” 4.3 Soggetto attivo del reato

5 Falsità nelle dichiarazioni e notificazioni al Garante. Articolo 168 del Codice Privacy

6 Misure di sicurezza. Articolo 169 del Codice Privacy

7 Inosservanza dei provvedimenti del Garante. Articolo 170 del Codice Privacy

8 Altre fattispecie. Articolo 171 del Codice Privacy 9 Pene accessorie. Articolo 172 del Codice Privacy

Cap.4 - I reati informatici

1 Introduzione: lo sviluppo della tecnologia e la nascita di nuovi crimini

2 I reati informatici

3 La disciplina dei crimini informatici in Italia

4 Accesso abusivo ad un sistema informatico. Articolo 615 ter del c.p.

4.1 Il bene giuridico tutelato

4.2 Le misure di sicurezza 4.3 Le condotte incriminate 4.4 Elemento soggettivo 4.5 Circostanze aggravanti

5 Detenzione e diffusione abusiva di codici di accesso a sistemi informatici. Articolo 615 quater c.p.

6 Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico. Articolo 615 quinquies c.p.

Introduzione

L'incessante evoluzione dei mezzi tecnologici, unita alla crescita e all'invadenza della rete internet sono alcuni tra i fattori che hanno portato, negli ultimi decenni, il tema della privacy al centro del dibattito giuridico oltre che politico e sociale.

Nella moderna società dell'informazione, caratterizzata proprio dall'avvento dei computer e della rete, il concetto di privacy è fortemente legato a quello di diritto alla protezione dei dati personali, il quale negli ultimi anni ha trovato pieno riconoscimento normativo sia a livello internazionale che nazionale.

Il diritto alla privacy si sviluppa dunque in risposta alle esigenze sorte nel contesto sociale con il progresso tecnologico, e segue un costante processo di evoluzione parallelo alle nuove necessità di tutela connesse ai mutamenti economici e allo sviluppo scientifico. Inizialmente, infatti, prima cioè che le scoperte e le evoluzioni tecnologiche consentissero di memorizzare, gestire, conservare e far circolare una quantità infinita di dati e informazioni riguardanti ciascun individuo, il diritto alla privacy coincideva con il diritto, di derivazione statunitense, ad essere lasciati soli (right to be let alone), consistente nel potere del singolo di impedire la pubblicazione e la conoscenza di fatti attinenti alla propria vita privata e familiare, sostanzialmente coincidendo con l'attuale accezione del diritto alla riservatezza.

A partire dalla fine del Novecento, il progresso in campo informatico ha moltiplicato in modo esponenziale i rischi di violare la sfera privata individuale, ed è stato necessario rivedere il contenuto del diritto alla privacy.

dati personali, il quale attribuisce a ciascun individuo il potere di controllo sulla raccolta, elaborazione e circolazione dei propri dati. Questa nuova concezione del diritto alla privacy trova pieno riconoscimento a livello prima comunitario e successivamente a livello nazionale, ed il diritto alla privacy viene ad essere considerato un vero e proprio diritto fondamentale della persona. In questo elaborato si analizzerà in primo luogo la legislazione italiana in merito alla tutela dei dati personali, partendo dalla nascita del concetto giuridico di privacy alla sua evoluzione; successivamente si verificherà come il diritto alla privacy è stato regolamentato nel nostro ordinamento dal punto di vista civilistico, attraverso un'analisi dedicata al Codice della privacy che si appunterà in particolar modo sulle tutele che sono state apprestate dal legislatore penale sul piano sostanziale.

Inoltre, dal momento che lo sviluppo delle tecnologie e di internet non ha portato solo ad un'evoluzione del diritto alla privacy, ma ha anche costituito un veicolo per la realizzazione di nuove forme di illecito, verranno analizzati i principali reati informatici che sono stati introdotti nel Codice Penale.

CAPITOLO I

IL DIRITTO ALLA PROTEZIOINE DEI

DATI PERSONALI

1 Fondamento giuridico e rilevanza costituzionale

In Italia il tema della privacy e più in particolare del trattamento dei dati personali ha avuto una considerevole attenzione a partire dalla seconda metà degli anni '90, a seguito della spinta dell'Unione Europea, che in quegli anni ha provveduto all'emanazione di due importanti normative:

il Trattato di Schengen1 _{che ha eliminato i controlli alle frontiere}

ed ha assicurato la libera circolazione delle persone insieme alle informazioni che le riguardano. Il Trattato stabiliva quale presupposto per il trasferimento dei dati da un paese all'altro, che lo Stato ricevente avesse adottato delle misure di protezione adeguate o quantomeno paragonabili a quelle garantite nello Stato di origine. L'Italia, quindi, se non si fosse dotata di una normativa sulla protezione dei dati personali, non sarebbe potuta entrare a far parte del gruppo dei paesi di Schengen.

La Direttiva 95/46/CE del Parlamento Europeo, che ha introdotto

un complesso sistema di regole che devono governare i trattamenti, anche non automatizzati, di dati personali e imponeva agli Stati membri il suo recepimento entro tre anni dalla sua entrata in vigore. Come conseguenza di questa spinta in Italia venne approvata la prima normativa organica in tema di privacy, la Legge n. 675 del 31 dicembre 1996, “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”.

Con tale legge si istituiva per la prima volta in Italia una disciplina specifica sul trattamento dei dati personali e veniva introdotta nel nostro ordinamento la figura del Garante per la protezione dei dati personali, comunemente chiamato Garante per la privacy: si tratta di un'autorità indipendente che ha il compito di controllare e vigilare sulla corretta attuazione della normativa sulla tutela dei dati personali ed il potere di esprimere pareri, imporre divieti, prescrivere le misure necessarie, irrogare sanzioni e denunciare eventuali violazioni.

Dopo pochi anni dalla sua entrata in vigore la L. 675/1996 è stata completamente sostituita dal Decreto Legislativo n. 196 del 30 giugno 2003, Codice in materia di protezione dei dati personali, ancora oggi in vigore, pur essendo stato più volte integrato e modificato dal Legislatore e ora in procinto di essere sostituito dal Regolamento europeo 2016/679.

Il D.Lgs. 196/2003, che comunemente viene chiamato Codice della privacy, si apre con una disposizione fondamentale, innovativa per l'ordinamento giuridico italiano, in quanto stabilisce un importante principio: l'art. 1 del Codice, infatti, sancendo che “chiunque ha diritto alla protezione dei dati personali che lo riguardano” introduce nel nostro ordinamento un vero e proprio nuovo diritto, cioè il diritto alla protezione dei dati personali, distinto ed autonomo rispetto al più generale diritto alla riservatezza2_{, già richiamato}

dall'articolo 1 della precedente legge n. 675/19963_.

Se infatti, prima dell'emanazione del Codice, il diritto alla riservatezza ed il diritto alla privacy venivano spesso utilizzati come 2 _{Art. 1 L. 675/1996:“la presente legge garantisce che il trattamento dei dati personali}

si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale”.

3 _{Cosi come dichiarato nella Relazione di accompagnamento al decreto legislativo}

sinonimi, l'art. 1 ne ha codificato la differenza.

Il diritto alla riservatezza è stato ampiamente definito dalla giurisprudenza e consiste nel diritto di ciascuno “alla tutela di quelle situazioni personali e familiari svoltesi anche al di fuori del domicilio domestico che non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze non giustificate da interessi pubblici prevalenti, anche se lecite e tali da non offendere l'onore e il decoro. Questo diritto non può essere negato a nessuna categoria di persone, salvo che un reale interesse sociale all'informazione o altre esigenze pubbliche lo esigano”4_.

Il diritto alla privacy, invece, consiste nel diritto del soggetto cui i dati si riferiscono di esercitare un controllo sui dati stessi.

Potremmo anche definirlo come “il diritto del singolo a decidere autonomamente, quando, e con quali limiti, possono essere diffuse informazioni riguardanti la propria persona”5_.

La differenza è significativa, in quanto, quando si parla di diritto alla protezione dei dati personali, non facciamo riferimento alla libertà negativa di non subire interferenze nella propria vita privata, che costituisce il fulcro del diritto alla riservatezza, bensì siamo di fronte ad una libertà positiva che consiste nel potere di controllo sulla circolazione delle proprie informazioni personali6_.

La finalità di questa disposizione è evidente: i dati personali devono essere tutelati sempre, a prescindere dalla loro comunicazione e diffusione, dalla possibilità stessa della lesione del valore sociale dell'individuo.

Come abbiamo detto, il diritto alla protezione dei dati personali è stato riconosciuto nel nostro ordinamento dall'art. 1 del Codice della 4 _{Cass., 27 maggio 1975, n. 2129, in Foro.it, 1976, I, 2895.}

5 _{DE CUPIS A., I diritti della personalità, A. Giuffrè Editore, Milano, 258.}

6 _{RODOTA' S., in Privacy e costruzione della sfera privata. Ipotesi e prospettive, in}

privacy. C'è da dire però che tale diritto era di fatto già disciplinato dalla previgente legge 675/1996, seppur non esplicitamente ed attraverso una chiara e diretta affermazione di principio, bensì attraverso il riconoscimento dei singoli diritti di accesso, di rettifica, e di controllo che compongono e costituiscono il nuovo diritto. La disposizione contenuta nell'articolo 1 del Codice è frutto del recepimento di un diritto già contenuto nella Carta dei diritti fondamentali dell'Unione Europea7_{, laddove, all'articolo 8, si}

dispone che: “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano”. Proseguendo poi nei commi successivi con l'enunciazione di altri principi generali che sono stati anch'essi recepiti dal legislatore italiano: “Tali dati devono essere trattati secondo il principio di lealtà per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente”.

Il diritto alla protezione dei dati personali è dunque il diritto che ciascun individuo ha affinché i propri dati personali siano trattati con adeguati criteri di sicurezza.

Trattandosi, come abbiamo detto in apertura, di un tema relativamente recente in Italia, è comprensibile che il diritto alla protezione dei dati personali non sia menzionato della Costituzione del 1948, ma è allo stesso tempo indiscutibile che, nonostante la mancanza di una previsione espressa, il suo fondamento giuridico risieda proprio nella Carta Costituzionale.

Tale riconoscimento è avvenuto sul piano giurisprudenziale attraverso una lettura “aperta” dell'articolo 2 della Costituzione il quale, sancendo che “la Repubblica riconosce e garantisce i diritti 7 _{Approvata a Nizza il 7 dicembre 2000 e confluita nella Carta costituzionale}

inviolabili dell'uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità”, si pone come clausola aperta e generale di tutela del libero ed integrale svolgimento della personalità umana, come ha avuto modo di affermare la Corte di Cassazione nella fondamentale decisione sul diritto all'identità personale8_.

L'articolo 2 dunque, cosi come tutti gli articoli della Costituzione che sono a presidio dell'intangibilità della persona umana, può essere considerato pertanto il referente normativo di tutti quei diritti che, pur non essendo “formalmente” riconosciuti dall'ordinamento giuridico, si impongono allo stato attuale come diritti fondamentali ed inviolabili della persona9_.

8 _{Cass., 22 giugno 1985, n. 3769, in Resp. Civ., 1985, 578, con nota di Ponzanelli} 9 _{AULETTA T.A., Riservatezza e tutela della persona, Milano, 1978, pagg. 42 e 43}

afferma che “l’art. 2 avrebbe il compito di garantite costituzionalmente tutti quegli aspetti che, in un determinato momento storico, in base ad una interpretazione evolutiva della Costituzione, il diritto inviolabile può assumere, in vista di una completa tutela. In tal modo si realizza il fine, proprio dell’ordinamento, di proteggere in maniera efficace la persona umana.”

2 La normativa di riferimento 2.1 Il Codice della privacy

Per poter procedere ad un'analisi degli aspetti fondamentali della disciplina in materia di protezione dei dati personali, dobbiamo necessariamente partire dal testo normativo attualmente in vigore, che contiene tale disciplina: il Codice della privacy, entrato in vigore il 1° gennaio 2004.

Si tratta di un Testo Unico sulle disposizioni in materia di protezione dei dati personali, che è stato adottato con il D.Lgs. 30 giugno 2003, n. 196, pubblicato in Gazzetta Ufficiale il 29 luglio 2003.

Tale decreto è stato emanato ai sensi della legge delega 24 marzo 2001, n. 127, la quale, all'articolo 1 ha previsto che “il Governo emana un testo unico delle disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse coordinandovi le norme vigenti ed apportando alle medesime le integrazioni e le modificazioni necessarie al predetto coordinamento o per assicurane la migliore attuazione”.

Il Codice ha difatti operato un riordino di tutta la normativa in tema di trattamento dei dati personali, riunendo la L. 675/199610 _{e i}

successivi decreti legislativi, regolamenti e codici deontologici che si erano succeduti negli anni11_{. Oltre a ciò, il Codice della privacy}

10 _{Legge abrogata ai sensi dell'articolo 183, comma 1, lettera a), del Codice in}

materia dei dati personali.

11 _{D.L. n.135, 11 maggio 1999: Disposizioni integrative sul trattamento di dati}

sensibili da parte dei soggetti pubblici; D.L. n.281, 30 luglio 1999: Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica; D.L. n.282, 30 luglio 1999: Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario; D.P.R. n.318, 28 luglio 1999: Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali.

ha apportato diverse integrazioni e modificazioni che hanno tenuto conto sia di precedenti decisioni, pareri, segnalazioni del Garante per la protezione dei dati personali12 _{sia della Direttiva 2002/58/CE}

sulla riservatezza nelle comunicazioni elettroniche la quale rendeva necessario il suo recepimento.

Dal punto di vista strutturale, il Codice si compone di 186 articoli, ed è suddiviso in tre parti: disposizioni generali (artt. 1-45) riguardanti le regole fondamentali della disciplina del trattamento dei dati personali, applicabili a tutti i tipi di trattamenti, salvo eventuali regole specifiche contenute nella II parte;

disposizioni particolari (artt. 46-140) per specifici trattamenti ad

integrazione o eccezione alle disposizioni generali della parte I; disposizioni relative alle azioni di tutela dell’interessato e al

sistema sanzionatorio (artt. 141-186).

Il Codice è infine completato dai seguenti tre allegati: - Allegato A: Codici di deontologia

- Allegato B: il Disciplinare Tecnico in materia di misure di sicurezza. Attualmente è l’allegato più importante in quanto definisce le modalità di adozione delle misure minime di sicurezza individuate dal Codice. Il disciplinare tecnico potrà essere adeguato al progresso tecnologico del settore della sicurezza in modo flessibile, con decreti ministeriali, non regolamentari.

- Allegato C: Trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia.

Per capire la logica del Codice sulla Privacy è bene evidenziare la ratio della legge: le norme in esso contenute intendono garantire a tutti i soggetti la protezione dei dati personali che li riguardano, al fine di salvaguardare le libertà fondamentali e la dignità degli 12 _{Es. Provvedimento del Garante per la protezione dei dati personali, n.1/P/2000:}

individui.

Lo spirito della legge non è dunque di impedire il trattamento dei dati personali ma di evitare che questo avvenga contro la volontà dell'avente diritto, ovvero secondo modalità pregiudizievoli. Il Codice, in sostanza, definisce la modalità di raccolta dei dati, gli obblighi di chi raccoglie, detiene o tratta dati personali e le responsabilità e le sanzioni in caso di danni causati dal trattamento. Per quanto riguarda l'ambito di applicazione del Codice, l'articolo 5 ha apportato, per quello che riguarda il diritto nazionale applicabile, una importante novità rispetto alla previgente disciplina in materia di privacy la quale prevedeva l’applicazione della legge italiana a prescindere dal luogo nel quale si trovasse l’archivio dei dati personali e indipendentemente dalla nazionalità e dal luogo di residenza dei soggetti coinvolti, purché in Italia si fosse svolta una qualsiasi operazione riconducibile alla nozione di trattamento. La nuova disposizione, infatti, chiarisce che il Codice disciplina il trattamento dei dati personali effettuato da chiunque sia stabilito nel territorio dello Stato, o in luogo comunque soggetto alla sua sovranità, anche qualora riguardi dati detenuti all’estero13_.

Nel caso in cui il soggetto che effettua il trattamento sia stabilito in un altro Paese dell'Unione Europea, troverà invece applicazione la legge del Paese di stabilimento.

La disposizione in esame assume particolare rilevanza dal momento che la materia del trattamento dei dati personali pone spesso problemi di concorso di normative e, di conseguenza, evidenzia la necessità della determinazione della legge applicabile a tale trattamento, poiché i collegamenti territoriali di tale attività possono 13 _{E’ irrilevante che i dati personali siano memorizzati ed elaborati su un calcolatore}

fisicamente dislocato all’estero: se il titolare del trattamento è una società italiana, ad essi si applicherà la legge italiana.

essere molteplici.

Andando a leggere il testo dell'articolo 5 del Codice vediamo che il primo comma contiene una prospettiva del tutto territoriale prevedendo che chiunque compia nel territorio dello Stato attività di trattamento di dati personali, anche se essi sono detenuti all'estero, sarà assoggettato alla legge italiana.

Il secondo comma estende l'applicabilità del codice anche a quei soggetti che hanno sede fuori dall'Unione Europea, ma che utilizzano strumenti situati sul territorio italiano per il trattamento dei dati personali.

Il terzo ed ultimo comma infine prevede un'esclusione dell'ambito di applicazione del Codice con riferimento alle ipotesi di trattamento dei dati effettuate da persone fisiche per fini esclusivamente personali che non prevedano la diffusione dei dati o la loro comunicazione sistematica.

In questi casi saranno applicate esclusivamente le norme in materia di responsabilità e sicurezza dei dati previste dagli articoli 15 e 31.

3 I Principi generali del Codice e le modalità del trattamento 3.1 Principi generali

I principi generali in materia di protezione dei dati personali rappresentano lo strumento principale per verificare la conformità dei trattamenti alla disciplina prevista dal Codice.

Come abbiamo detto precedentemente, il Codice della privacy si apre, all’art. 1, con un chiaro principio: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. I dati personali vanno tutelati sempre, qualunque sia il trattamento al quale sono

sottoposti. I dati personali, infatti, sono informazioni relative alle persone fisiche14 _{la cui massima espressione di tutela è}

riconducibile all’art. 2 della Costituzione.

Qualsiasi attività, pertanto, che abbia ad oggetto i dati personali, posta in essere nel territorio dello Stato con o senza l’ausilio di mezzi elettronici o automatizzati deve essere svolta necessariamente in conformità alle regole contenute nel Codice della privacy.

In tal senso, dunque, il Codice fissa alcuni principi generali che governano la sua intera struttura, disciplinando, così, il trattamento dei dati personali.

Primo tra tutti e di particolare rilevanza, sia perché non era espressamente disciplinato nella L. 675/1996 e rappresenta dunque uno dei principali aspetti innovativi del Codice15_{, sia per la sua}

collocazione immediatamente successiva al riconoscimento del fondamentale diritto alla protezione dei dati personali e alla garanzia delle libertà, dei diritti e della dignità dell'interessato16_,

troviamo il principio di necessità, enunciato all'articolo art. 3 del Codice. Attraverso l'enunciazione di tale principio il Codice stabilisce che i sistemi informativi e i programmi informatici devono essere configurati, già in origine, in modo da ridurre al minimo l’utilizzo di dati personali e di dati identificativi17_.

14 _{Il D.L. 6 dicembre 2011, n. 201 (convertito con modificazioni dalla L. 22 dicembre}

2011, n. 214) ha modificato l’articolo 4 del Codice, eliminando dalla definizione di “dato personale” il riferimento alle persone giuridiche, enti ed associazioni, come vedremo meglio nel paragrafo successivo.

15 _{TORRE A., Costituzioni e sicurezza dello Stato, Maggioli Editore, Santarcangelo}

di Romagna, 2014, pag. 919.

16 _{Articolo 2, comma 1, D. lgs. 196/2003: “Il presente testo unico, di seguito}

denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali”.

17 _{La nozione di dato identificativo è data dall'articolo 4, comma 1, lettera c), del}

codice della privacy che li definisce come “dati personali che permettono

Il trattamento di dati personali non è, pertanto, consentito se le finalità del trattamento stesso (ad es. profilazione del cliente) possono essere perseguite con dati anonimi18 _{o solo indirettamente}

identificativi.

In altri termini, l'articolo 3 sancisce il principio della necessità di identificare l'interessato solo in casi eccezionali quando non sia possibile perseguire determinate finalità in altri modi meno invasivi. La necessità si esplica dunque come criterio per selezionare le tipologie di dati da trattare, determinato ex ante e da incorporare in appositi dispositivi tecnici e in appropriate modalità operative19_.

3.2 Le Modalità del trattamento

Gli altri principi generali ai quali si deve conformare qualsiasi trattamento di dati personali, sono contenuti nell'articolo 11 del D.Lgs. 196/2003, rubricato “Modalità del trattamento e requisiti dei dati”.

Dalla lettura dell'articolo si ricava che il trattamento deve essere lecito, corretto e trasparente nei confronti dell'interessato. In particolare, le finalità specifiche del trattamento dei dati devono essere esplicite e legittime e precisate al momento della raccolta; i dati devono essere adeguati, pertinenti e limitati al minimo 18 _{Dati il cui trattamento è escluso dall'ambito di applicazione del Codice e che sono}

definiti all'articolo 4, comma 1, lettera n), come quei dati che in origine, o a seguito di trattamento, non possono essere associati ad un interessato identificato od identificabile.

19 _{Sul principio di necessità in dottrina, D'ORAZIO R., Il principio si necessità nel}

trattamento dei dati personali, in Il codice del trattamento dei dati personali, a cura

di CUFFARO-D’ORAZIO-RICCIUTO, Giappichelli, Torino, 2007, pagg. 20-27; RESTA G., Il diritto alla protezione dei dati personali, in Il codice dei dati personali, a cura di CARDELLI, SICA, ZENO-ZENCOVICH, Giuffrè, Milano, 2004, pagg. 45 ss.

necessario per le finalità del trattamento, per questo motivo la raccolta dei dati non deve essere eccessiva e il periodo di conservazione dei dati deve essere limitato al minimo necessario. I dati personali devono essere trattati solo se la finalità del trattamento non è conseguibile attraverso altri mezzi.

Infine, devono essere adottate tutte le misure ragionevoli affinché i dati personali non esatti siano rettificati o cancellati.

Al fine di garantire che i dati non siano conservati per un tempo superiore a quello necessario al trattamento, il titolare del trattamento deve stabilire un termine per la cancellazione o per la verifica periodica.

I principi espressi dall'articolo 11 sono i seguenti:

Il principio di finalità20 _{collega l'attività di raccolta dei dati}

personali con l'uso che di quelle informazioni viene fatto. Tale principio si sostanzia nell'obbligo, posto a carico di chi effettua la raccolta, di far conoscere all'interessato, prima della raccolta stessa dei dati, la ragione per la quale i dati sono raccolti.

Questa finalità deve essere legittima, determinata e non incompatibile con l'impiego dei dati.

La finalità deve essere resa nota all'interessato mediante il rilascio dell'informativa di cui all'articolo 13 del Codice.

Il principio dell'autodeterminazione informativa secondo il quale ognuno di noi ha il diritto di determinare l'ambito di comunicazione dei dati che lo riguardano.

Quindi ogni individuo ha il diritto di stabilire se ed in che misura le informazioni a lui riferite possono circolare ed essere conosciute dagli altri.

Il principio di liceità e correttezza21 _{si riferisce alla condotta di chi}

20 _{Articolo 11, comma 1, lettera b), Codice della privacy.} 21 _{Articolo 11, comma 1, lettera a), Codice della privacy.}

utilizza i dati personali: chi tratta dati personali deve comportarsi garantendo la liceità e la correttezza del trattamento, tanto durante la raccolta quanto durante l'elaborazione vera e propria dei dati.

Il trattamento è da considerarsi lecito quando è conforme alla legge, ai regolamenti e alla normativa comunitaria22_{, mentre è corretto}

quando la raccolta dei dati avviene presso l'interessato in modo trasparente e non mediante artifizi e raggiri.

Il principio di qualità ed esattezza dei dati trattati23 _richiede

un'attenta verifica dei dati non solo al momento della loro raccolta presso l'interessato, ma anche in seguito con periodici aggiornamenti. Per poter ottemperare a questo principio, il titolare del trattamento dovrà predisporre delle misure periodiche di monitoraggio, al fine di garantire l'aggiornamento.

Il principio di pertinenza e non eccedenza dei dati24 _{rispetto al}

trattamento è strettamente correlato con il principio di finalità, nel senso che i dati raccolti devono essere pertinenti e non superflui rispetto alla finalità dichiarata.

Il principio della giusta durata del trattamento25 _{richiede che i}

dati siano conservati solo per il tempo necessario alla realizzazione delle finalità per i quali sono stati raccolti.

Infine vi è un altro principio che contribuisce a delineare quelli che sono gli spazi in cui è possibile muoversi nell'ambito del 22 _{La valutazione sulla liceità non riguarda solo le norme specifiche in materia di}

protezione dei dati personali, ma anche quelle generali o di settore applicabili al caso concreto. Per qualificare in termini di liceità o illiceità le modalità di trattamento dei dati, infatti, un altro parametro è contenuto nell'articolo 12,comma 3 del Codice Privacy, il quale stabilisce che “il rispetto delle disposizioni contenute nei codici di

deontologia e buona condotta per determinati settori, promossi dal garante ed adottati direttamente dalle categorie interessate costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici”.

23 _{Articolo 11, comma 1, lettera c), Codice della privacy.} 24 _{Articolo 11, comma 1, lettera d), Codice della privacy.} 25 _{Articolo 11, comma 1, lettera e), Codice della privacy.}

trattamento di dati, il principio dell'obbligo di interpretazione

costituzionalmente conforme.

A differenza dei principi sopra enunciati, quello dell'obbligo di interpretazione costituzionalmente conforme o di interpretazione costituzionalmente orientata, non è rinvenibile dalla lettura del dettato del Codice, ma trattasi di un criterio interpretativo introdotto dalla Corte costituzionale, la quale invita i giudici comuni a cercare e trovare nella Costituzione gli elementi in grado di orientare la portata normativa dei testi legislativi26_.

Nel caso di specie, il principio dell'obbligo di interpretazione conforme stabilisce che il diritto interno nazionale deve essere interpretato in maniera tale che risulti il più possibile aderente al diritto comunitario.

L'interprete, dunque, tra le possibili interpretazioni di un testo normativo deve preferire quella conforme alle prescrizioni del diritto dell'Unione Europea.

Il Garante per la protezione dei dati personali ha applicato questo principio in sede di interpretazione del quadro normativo riferibile alla figura dell'abbonato-persona giuridica alla luce della normativa europea27_.

Si noti che “i dati personali trattati in violazione della disciplina in materia di privacy non possono essere utilizzati”28_{. L’inutilizzabilità}

dei dati comporta che essi possano essere conservati dal titolare ma non possano essere oggetto di alcuna ulteriore operazione.

Il rispetto dei principi in materia di trattamento dei dati personali rappresenta una condizione generale di legittimità delle operazioni 26 _{Sorrenti G., L'interpretazione conforme a Costituzione, Giuffrè, Milano, 2006.} 27 _{Provvedimento del 20 settembre 2012 in ordine all'applicabilità alle persone}

giuridiche del Codice in materia di protezione dei dati personali a seguito delle modifiche apportate dal d.l. n. 201/2011.

di trattamento.

La violazione dei principi analizzati comporta un illecito trattamento di dati, con conseguente applicazione di sanzioni di natura amministrativa e, in alcuni casi, anche penale.

Inoltre, i dati acquisiti illecitamente non potranno essere utilizzati per violazione del principio di liceità.

4 I Provvedimenti dell'Autorità Garante

La materia di cui ci stiamo occupando è sottoposta ad una naturale evoluzione, giustificata dalla tecnologia deputata al trattamento dei dati degli interessati, nonché dalla mutevolezza del tessuto economico e sociale nazionale ed internazionale. Si pensi ad esempio alle nuove tecnologie come la biometria, l’Internet of Things29_{, le attività di profilazione online}30 _{e il direct marketing}31

sempre più spinto ed invasivo. Per rispondere ai suddetti cambiamenti e tutelare prontamente i diritti degli interessati coinvolti, il Codice Privacy ha dotato l'Autorità Garante per la protezione dei dati personali32 _{del potere di emanare provvedimenti}

di carattere generale. La scelta è stata strategica: il Garante ha al suo interno specifiche competenze tecnico/giuridiche che, accompagnate da un processo deliberativo più snello rispetto a quello legislativo ordinario, hanno garantito un allineamento 29 _{Con tale concetto ci si riferisce alla rete di dispositivi, diversi da computer e}

smartphone, connessi a Internet e dotati di funzionalità smart.

30 _{Trattasi di un'attività per mezzo della quale una serie di dati relativi ad utenti che}

navigano su internet viene elaborata da appositi programmi per ottenere particolareggiate analisi di potenziali clienti, per fornire loro servizi e/o promozioni personalizzate.

31 _{Consiste in una tecnica di marketing attraverso la quale aziende e enti comunicano}

direttamente con clienti e utenti finali. Il direct marketing consente di raggiungere un target definito, con azioni mirate che utilizzano una serie di strumenti interattivi, ottenendo in tal modo delle risposte misurabili.

32 _{Il Garante è un'autorità amministrativa indipendente istituita dalla legge 675/1996}

pressoché immediato alle mutevolezze sopra solo succintamente esemplificate.

Per provvedimento generale si intende un provvedimento che non è adottato in riferimento ad un singolo caso o nei confronti di uno specifico destinatario, bensì trattasi di un provvedimento adottato dal Garante per regolare categorie o tipologie di trattamenti ed è dunque rivolto a tutti coloro che effettuano quel tipo di trattamento. L'articolo 154, comma 1, lettera c) del Codice prevede il generale potere di prescrizione e dispone che il Garante può “prescrivere anche d'ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell'articolo 143”.

Da ciò deriva la possibilità per l'Autorità di adottare provvedimenti generali di tipo prescrittivo anche d'ufficio e a prescindere da specifici accertamenti effettuati in base a reclami o segnalazioni ad esso pervenute33_.

Il potere del Garante di emanare provvedimenti generali a carattere prescrittivo ai sensi del predetto articolo ha trovato conferma anche da parte della giurisprudenza, che ha riconosciuto il potere dell’Autorità di emanare provvedimenti a carattere generale muovendo dalle segnalazioni ricevute34_.

Per sottolineare l'importanza dell'intervento del Garante nel contribuire all'aggiornamento costante della disciplina in materia di dati personali, giova segnalare l’ampia attività regolamentare posta in essere dal Garante, ricordando alcuni provvedimenti di riferimento di fondamentale rilievo.

Il provvedimento in materia di videosorveglianza35_{, il quale}

33 _{MODAFFIERI F., in Lezioni di diritto alla protezione dei dati personali, alla}

riservatezza e all'identità personale, Roma, 2015.

34 _{Tribunale di Roma, sentenza del 19 gennaio 2010.}

disciplina le modalità di trattamento dei dati personali effettuato tramite sistemi di videosorveglianza, di notevole impatto sotto il profilo tecnico rispetto all’autodeterminazione degli interessati (es. telecamere di che rilevano automaticamente i comportamenti o quelle che incrociano la morfologia del volto con altri database), che prevede l'obbligo per i titolari di tale tipologia di trattamento di porre in essere una seri di misure ed accorgimenti.

Di notevole rilevanza è il Provvedimento su posta elettronica ed internet negli ambienti di lavoro del 200736_{, che il Garante ha}

emanato in quanto non esisteva nel nostro ordinamento una norma adeguata a disciplinare il potere di controllo del datore di lavoro con riferimento alle moderne tecnologie.

Tale Provvedimento contiene le linee guida per i datori di lavoro, sia pubblici che privati, con riguardo ai controlli sull'utilizzo di internet e della posta elettronica.

Le linee guida si sostanziano nel divieto di registrare e leggere la posta elettronica e di monitorare le pagine web visualizzate dal lavoratore.

Il Garante ha affermato, con questo Provvedimento, che il controllo del datore di lavoro è tendenzialmente legittimo purché sia svolto con modalità tali da non violare le regole in materia di trattamento dei dati personali e in modo da non arrecare alcun pregiudizio alla privacy del lavoratore.

Il Provvedimento appena citato, assieme a numerosi e successivi ulteriori interventi del Garante hanno contribuito alla riformulazione 36 _{Gazzetta Ufficiale n. 58 del 10 marzo 2007, con il quale il Garante “prescrive ai}

datori di lavoro privati e pubblici, ai sensi dell'art. 154, comma 1, lett. c), del Codice, di adottare la misura necessaria a garanzia degli interessati, nei termini di cui in motivazione, riguardante l'onere di specificare le modalità di utilizzo della posta elettronica e della rete Internet da parte dei lavoratori, indicando chiaramente le modalità di uso degli strumenti messi a disposizione e se, in che misura e con quali modalità vengano effettuati controlli”.

dell'articolo 4 della L. 300/197037 _{, avvenuta ad opera del Jobs Act,}

riguardante proprio gli aspetti connessi al controllo a distanza dell’attività lavorativa dei dipendenti.

In materia di sicurezza invece, il provvedimento 27 novembre 2008 sulle modalità di regolarizzazione delle attività svolte dagli amministratori di sistema costituisce, se ben applicato, un presidio procedurale e tecnico primario per la prevenzione dei reati informatici, siano essi rilevanti ex articolo 24 bis D.Lgs. 231/200138

o meno.

Il quadro esposto sino ad ora costituisce solo una breve menzione di quei provvedimenti a carattere generale o particolare di specifico interesse, restando inteso che nel prosieguo della trattazione verranno analizzati singolarmente, per le parti di interesse, rispetto agli specifici temi trattati.

5 Il trattamento dei dati personali: i concetti di trattamento, di dato personale e di interessato prima e dopo il c.d. Decreto Salva Italia

Al fine di poter proseguire la presente trattazione con l'analisi delle norme del Codice per la protezione dei dati personali che stabiliscono le regole che rendono legittimo il trattamento di dati personali, e la cui violazione comporta delle responsabilità, anche di carattere penale, è necessario provvedere a chiarire alcune espressioni lessicali che assumono una determinata valenza

37 _{Statuto dei lavoratori.}

38 _{Disciplina della responsabilità amministrativa delle persone giuridiche, delle}

società e delle associazioni anche prive di personalità giuridica; l'art. 24-bis, aggiunto dall'articolo 7, L.48/2008 (legge di “Ratifica ed esecuzione della Convenzione del

Consiglio d'Europa sulla criminalità informatica”), fa riferimento ai delitti

all'interno della disciplina sulla privacy.

Il riferimento è all'articolo 4 del Codice della privacy, rubricato “Definizioni”, del quale in questa sede interessano i concetti di “trattamento”, di “dato personale” e di “interessato”. Si tratta di concetti mutati nel tempo a seguito dei recenti interventi legislativi in materia.

La definizione di “trattamento” è contenuta nell'articolo 4, comma 1, lettera a) del Codice della privacy che definisce come tale: “qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”.

Si fa dunque riferimento a qualunque operazione effettuata sui dati, e, ai fini della definizione non rileva né il genere di operazione svolta, ne il tipo di ausilio utilizzato per compierla. Tale genericità, voluta dal legislatore, permette un'applicazione estremamente ampia della disciplina, adattabile alle varie fattispecie che si potrebbero venire a creare nel corso del tempo.

Trattamento non è dunque sinonimo di elaborazione. Perfino la semplice conservazione, anche con strumenti cartacei, di un archivio non soggetto a consultazione, costituisce trattamento. Allo stesso modo la mera visualizzazione, senza sottoporre i dati ad ulteriore elaborazione, costituisce trattamento39_.

L'elemento identificativo del trattamento è la finalità, che costituisce lo scopo effettivo per il quale i dati personali sono raccolti e gestiti; 39 _{FINOCCHIARO G., in Privacy e protezione dei dati personali, Zanichelli,}

ad ogni finalità corrisponderà un trattamento40_.

L'unica attività di trattamento dei dati personali non soggetta al Codice è quella effettuata da persone fisiche per fini esclusivamente personali (come, ad esempio nel caso delle agende telefoniche)41_.

Tra le varie operazioni che costituiscono attività di trattamento, il legislatore ha voluto dare una specifica definizione a due particolari tipi di comportamenti poiché riguardano la circolazione dei dati personali di un soggetto al di fuori della struttura del titolare: si tratta delle operazioni di comunicazione e diffusione.

Il Codice definisce la comunicazione42 _{come l'operazione di dare}

conoscenza dei dati personali ad uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Si realizza, invece, una diffusione43_{, quando i dati sono destinati a}

soggetti indeterminati, il cui esempio più attuale è la pubblicazione di dati su internet.

Elemento distintivo dei due concetti è dunque la determinabilità o meno del destinatario del dato personale.

Le operazioni che costituiscono trattamento di dati personali ai sensi del Codice della privacy possono essere suddivise in quattro fasi:

• una fase preliminare (raccolta, registrazione)

• una fase di elaborazione (organizzazione, elaborazione, modificazione, selezione, estrazione, raffronto, interconnessione, utilizzo)

• una fase di circolazione (comunicazione e diffusione)

• una fase residuale (conservazione, blocco, cancellazione, 40 _{IMPERIALI R., IMPERIALI R., Codice della Privacy, Il Sole 24 ore, 2005} 41 _{PANETTTA R. Libera circolazione e protezione dei dati personali, Giuffrè,}

Milano, 2006.

42 _{Articolo 4, comma 1, lettera l, Codice della privacy} 43 _{Articolo 4, comma 1, lettera m, Codice della privacy}

distruzione, consultazione)44_.

Per poter procedere con l'analisi delle nozioni di “dato personale” e di “interessato”, è necessario partire da una premessa.

La Direttiva comunitaria 1995/46, sulla tutela dei dati personali, lasciava liberi gli Stati Membri, in sede di recepimento nazionale, di prevedere nelle rispettive leggi in materia di privacy l’estensione o meno della tutela normativa ai dati delle persone giuridiche45_.

La stessa definizione di “dato personale”, all'interno della Direttiva, è limitata alle sole informazioni relative “ad una persona fisica identificata o identificabile”46_.

Il Legislatore italiano, sia nella legge 675/1996 che nel Codice della privacy, aveva incluso nella definizione di “dato personale” anche le informazioni relative alle persone giuridiche, enti ed associazioni, ampliando in questo modo le garanzie previste dal Codice a questi tipi di soggetti, ma aumentando anche gli obblighi e adempimenti in capo ai titolari del trattamento.

Il Codice della privacy definiva infatti come “dato personale” all'articolo 4, comma 1, lettera b): “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.

44 _{In questo senso Codice della Privacy, nuove leggi amministrative coordinati da}

Vittorio Italia, Tomo I, Ed. Giuffrè, 2004, pag.52

45 _{Più precisamente, il “Considerando” n. 24 della Direttiva prevede che “la presente}

direttiva lascia impregiudicate le normative relative alla tutela delle persone giuridiche riguardo al trattamento dei dati che le riguardano”.

46 _{Art. 2, comma 1, lett. a) della Direttiva 95/46/CEE: “Ai fini della presente}

Direttiva per “dati personali” si intende qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”.

Tale previsione aveva come conseguenza che, anche quando oggetto di trattamento fossero stati solo i dati di persone giuridiche, era necessario porre in essere tutti gli adempimenti previsti dal Codice. Ciò è da sempre stato visto come un appesantimento ed un intralcio alla libera circolazione dei dati nei mercati, alla base della società dell'informazione in cui viviamo. Per questo motivo, nell’ambito dei numerosi interventi di modifica al Codice della privacy che si sono succeduti con una certa frequenza dal 2008, il Legislatore aveva in parte accolto le istanze provenienti dal mondo delle imprese introducendo una semplificazione che prevedeva che “il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell'ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo-contabili, come definite all'articolo 34, comma 1 ter, non è soggetto all'applicazione del presente Codice”47_.

Questo intervento però non si era concretizzato in una vera e propria semplificazione, infatti il Codice continuava ad essere applicabile a tutti quei trattamenti di dati delle persone giuridiche diversi da quelli svolti per “finalità amministrativo-contabili”, come per esempio restava applicabile ai trattamenti di dati di imprese per scopi di marketing; inoltre la stessa definizione delle finalità amministrativo-contabili aveva una portata generica ed era di 47 _{Previsione contenuta nell’art. 5, comma 3-bis, del Codice della privacy. Il comma è}

stato aggiunto dall'art. 6, comma 2, lettera a), numero 1), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106. Con riferimento alla definizione di “trattamenti effettuati per finalità amministrativo – contabili” l’art. 34, comma 1-ter del Codice della privacy prevede che tali trattamenti “sono quelli connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziaria e contabile, a prescindere dalla natura dei dati trattati. In particolare, perseguono tali finalità le attività organizzative interne, quelle funzionali all'adempimento di obblighi contrattuali e precontrattuali, alla gestione del rapporto di lavoro in tutte le sue fasi, alla tenuta della contabilità e all'applicazione delle norme in materia fiscale, sindacale, previdenziale-assistenziale, di salute, igiene e sicurezza sul lavoro”.

difficile applicazione pratica per gli operatori.

Per questi motivi, e per semplificare ulteriormente la materia, è intervenuto l'articolo 40, comma 2 del decreto Legge 201/2011 (c.d. Decreto salva Italia) il quale ha disposto che “all'articolo 4, comma 1, alla lettera b), le parole «persona giuridica, ente od associazione» sono soppresse e le parole «identificati o identificabili» sono sostituite dalle parole «identificata o identificabile»” ed ha espressamente abrogato il comma 3-bis dell'articolo 5.

A seguito di tale intervento si ha una modifica della definizione stessa di “dato personale” nell'articolo 4 del Codice. Dato personale è adesso “qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.

Come conseguenza diretta si ha che tutte le disposizioni del Codice, ma anche i numerosi provvedimenti generali dell'Autorità Garante che si riferiscono ai “dati personali”, diventano automaticamente applicabili ai soli dati delle persone fisiche, con esclusione di qualsiasi obbligo o adempimento ed allo stesso tempo anche di tutela con riferimento ai dati di persone giuridiche oggetto di trattamento.

Dalla lettura della nuova definizione si evince che “dato personale” è qualunque informazione, inclusi suoni o immagini, che sia tale da consentire l'identificazione della persona fisica sia in modo diretto che indiretto, tale informazione può dunque essere anche un semplice numero di identificazione personale, che potrebbe derivare da un indirizzo, da un elenco telefonico, da un certificato, da una carta di credito o da altro mezzo di pagamento48_.

48 _{PANETTA R., Libera Circolazione e Protezione dei Dati Personali, Giuffrè,}

I dati che consentono l'identificazione diretta del soggetto sono chiamati “dati identificativi”49 _{e sono ad esempio il nome, cognome,}

la data di nascita, l'indirizzo fisico ecc.

Il Codice identifica e distingue diverse tipologie di dati personali e attribuisce a ciascuna tipologia diversi livelli di sicurezza e diverse garanzie per effettuare un loro trattamento.

I dati personali “comuni” sono intesi come quelle informazioni generiche relative a persone fisiche, come, ad esempio, i dati anagrafici; sul fronte della sicurezza, sono dati che hanno un livello minimo di protezione.

I dati “sensibili” sono invece quelli che riguardano informazioni concernenti gli aspetti più intimi della vita di un individuo e sono tassativamente indicati dalla norma50 _{come quei “dati personali che}

sono idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Sono dati maggiormente tutelati dalla legge al fine di impedire eventuali intenti discriminatori o persecutori. Basti fare cenno all’appartenenza o meno a un partito politico o ad un sindacato, a una fede religiosa oppure alla condizione di etero od omosessualità così come a quella di sano o ammalato. Proprio perché queste informazioni toccano la sfera più intima e delicata della personalità degli individui, la necessità di tutela e di sicurezza raggiunge indubbiamente un livello molto più alto51_.

49 _{Articolo 4, comma 1, lettera c), Codice della privacy.} 50 _{Articolo 4, comma 1, lettera d), Codice della privacy.}

51 _{PANETTA R., Libera circolazione e protezione dei dati personali, Giuffrè, Milano,}

Infine i dati personali “giudiziari”52 _{sono quei dati idonei a rivelare}

i provvedimenti iscritti nel casellario giudiziario, le sanzioni amministrative dipendenti da reato e i relativi carichi pendenti, i dati personali idonei a rivelare la qualità di indagato o di imputato. I dati giudiziari raggiungono lo stesso livello di protezione dei dati sensibili, infatti, non a caso, per il trattamento di entrambe queste tipologie di dati sono previste le Autorizzazioni del Garante, così come sono previsti specifici adempimenti anche in termini di misure minime di sicurezza.

Con le modifiche introdotte dal decreto Monti e con la nuova definizione di “dato personale”, cambia anche la definizione di “interessato” contenuta nel Codice della privacy: se prima era tale “la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali”, ora l’interessato è solamente “la persona fisica cui si riferiscono i dati personali”53_{, e in base a tale}

nuova definizione, viene eliminata una specifica disposizione in materia di esercizio dei diritti di accesso ai (propri) dati personali da parte di “interessati” rappresentati da persone giuridiche54_.

Inoltre viene meno la possibilità di esercitare i diritti di cui all’art. 7 del Codice Privacy (che garantisce la possibilità, a titolo esemplificativo, di conoscere quali dati siano trattati dal titolare del trattamento, ottenerne l’aggiornamento, la rettifica o l’integrazione o anche, in alcuni casi, la cancellazione e il blocco del trattamento) e di far valere tali diritti dinanzi all’Autorità Garante o in eventuali 52 _{Articolo 4, comma 1, lettera e), Codice della privacy.}

53 _{Art. 40, comma 2, del decreto 201/2011: “All'articolo 4, comma 1, alla lettera i) del}

Codice della privacy, le parole «la persona giuridica, l'ente o l'associazione» sono soppresse”.

54 _{Art. 40, comma 2, del decreto 201/2011: “Al comma 4 dell’articolo 9 del Codice}

della privacy, l’ultimo periodo è soppresso. Tale periodo prevedeva che se l'interessato ad accedere ai propri dati personali era una persona giuridica, un ente o un'associazione, la richiesta doveva essere avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti.

contenziosi giudiziari (es. richieste di risarcimento danni): imprese, enti o associazioni potranno solo essere chiamati in causa come convenuti, in qualità di titolari o responsabili del trattamento, nel contesto di procedimenti attivati da persone fisiche per la tutela dei loro diritti.

Abbiamo dunque visto che, con le modifiche apportate al Codice dal D.L. 201/2011, la nozione di dato personale è attualmente riferibile solo alle persone fisiche; tuttavia, i riferimenti alle persone giuridiche non sono completamente spariti.

Innanzitutto, come vedremo a breve, è da sottolineare che le persone giuridiche conservano il ruolo di “titolare” e di “responsabile” del trattamento, e continuano cosi, ogni qual volta trattino dati personali di persone fisiche, ad essere obbligate ad eseguire tutti gli adempimenti imposti dal Codice della privacy.

Inoltre, anche nella definizione di “contraente”55 _{che ha sostituito}

quella di “abbonato” resta il riferimento alle persone giuridiche, enti o associazioni, con tutto ciò che ne consegue in termini di tutela dinnanzi ai trattamenti compiuti per finalità di marketing, con riferimento alle comunicazioni commerciali indesiderate, disciplinate dall'articolo 130 del Codice della privacy.

È stato lo stesso Garante, con provvedimento del 20 settembre 2012, a chiarire che le disposizioni del Codice Privacy che riguardano i “contraenti” (nella specie, il capo I del Titolo X del Codice, dedicato ai “servizi di comunicazione elettronica”) continuano ad applicarsi anche alle persone giuridiche, enti e associazioni.

Viene a delinearsi, così, una posizione anomala per le persone 55 _{Articolo 4, comma 2, lettera f), Codice della privacy. La parola "abbonato" è stata}

sostituita con la parola "contraente" dall’art. 1, D.Lgs. 28 maggio 2012, n. 69, a decorrere dal 1° giugno 2012.

giuridiche, le quali, da una parte, non possono più considerarsi soggetti “interessati” e dall’altra conservano il ruolo di “contraenti”.

6 I soggetti del trattamento: titolare, responsabile, incaricati

Al fine di garantire una corretta ed effettiva applicazione della normativa sulla privacy il legislatore, così come già era stato fatto con la precedente legge n. 675/1996, ha ritenuto opportuno individuare con chiarezza le categorie di soggetti che rilevano nell'ambito dell'attività di trattamento e ha provveduto a tipizzare e distinguere le varie attività compiute da coloro che effettuano il trattamento dei dati, per meglio individuare gli adempimenti a cui ciascuno di essi è tenuto e quindi le loro responsabilità in caso di un'eventuale violazione della disciplina.

Le figure di cui stiamo parlando sono tre: il titolare del trattamento, il responsabile del trattamento e l'incaricato del trattamento.

Il titolare del trattamento è, ai sensi dell’articolo 4 comma 1 lettera f), “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza”. Il titolare è dunque il soggetto che esercita un potere decisionale del tutto autonomo circa le finalità e le modalità del trattamento, ivi incluso il profilo della sicurezza.

Il potere decisionale è l'elemento fondamentale che consente di individuare la figura del titolare; dalla definizione dell'articolo 4, infatti, risulta evidente l'importantissimo ruolo che il Codice ha attribuito a tale soggetto, dato il rilievo che rivestono i compiti a lui

attribuiti e dal momento che esso sia l'unica figura assolutamente necessaria in quanto è colui che da vita al trattamento.

Sotto il profilo soggettivo la norma si riferisce sia a persone fisiche che a persone giuridiche, dal momento che l'articolo 2856 _{del Codice}

precisa che quando il trattamento è effettuato da una persona giuridica, titolare del trattamento è l'entità nel suo complesso.

Già con riferimento alla vecchia legge 675/1996 il Garante ebbe modo di precisare a riguardo, attraverso un suo provvedimento57_,

che titolare del trattamento è la persona giuridica e non il legale rappresentante o l'amministratore unico quale organo della società. Il concetto è stato inoltre ribadito anche dalla Corte di cassazione in occasione di una mancata notifica da parte di una società che aveva come legale rappresentante lo stesso soggetto di un'altra società che aveva effettuato la notificazione58_.

Il compito principale del titolare del trattamento è quello di organizzare e vigilare sul processo di trattamento dei dati.

L'aspetto realmente qualificante del ruolo del titolare consiste nel fatto che su di lui si concentra l'autonoma ed esclusiva potestà nella determinazione degli scopi del trattamento e delle scelte operative per la sua concreta attuazione, nell'individuazione degli strumenti da utilizzare e delle modalità da seguire per la raccolta e la gestione dei dati, così come per la loro custodia e per la prevenzione dei rischi di distruzione e perdita.

Il titolare del trattamento ha la facoltà di designare uno o più

responsabili del trattamento, individuando tale figura “tra i

56 _{“Quando il trattamento è effettuato da una persona giuridica, da una pubblica}

amministrazione o da un qualsiasi altro ente, associazione od organismo, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza”.

57 _{Provvedimento 11 dicembre 1997 del Garante per la protezione dei dati personali.} 58 _{Sentenza n. 8184 del 18 marzo 2014.}

soggetti che, per esperienza, affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”59_.

Il responsabile è definito dall'articolo 4, comma 1, lettera g) come “la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali”.

I compiti affidati al responsabile del trattamento devono essere determinati in un formale atto scritto formato dal titolare e sono svolti sempre in ottemperanza alle istruzioni impartite da quest'ultimo, il quale deve procedere a verifiche periodiche.

Il responsabile ha pertanto il compito di dare concreta esecuzione e rilevanza esterna alle disposizioni del titolare e può essere chiamato a rispondere di illeciti civili, penali e amministrativi; assume dunque un ruolo fondamentale nell’economia del trattamento. Anche in questo caso, il responsabile può essere una persona fisica o giuridica; può essere designato per la totalità delle operazioni di trattamento, o solo per alcune di esse.

La nomina non integra un esonero di responsabilità per il titolare, ma ne costituisce un’attenuazione: il titolare ha infatti la possibilità di affidare specifici incarichi di ordine organizzativo e direttivo a un soggetto professionalmente qualificato e capace, ma rimane sempre in capo al titolare la culpa in eligendo, nel caso in cui il responsabile non si dimostri in grado di adempiere ai propri compiti.

Il responsabile deve inoltre essere controllato periodicamente dal titolare, in capo al quale permane anche la culpa in vigilando60_. Nei confronti dell'operato del responsabile del trattamento è 59 _{Articolo 29 Codice della privacy.}

invocabile la responsabilità civile, in via esclusiva o solidale con il titolare del trattamento, per ogni eventuale atto illegittimo di trattamento dei dati personali. Se questa responsabilità viene accertata, il responsabile ha l'obbligo di risarcire l'eventuale danno arrecato.

La responsabilità penale è invece limitata ai casi in cui vi sia concorso nel fatto di reato posto in essere dal titolare.

Da ultimo, bisogna fare riferimento all'incaricato del trattamento, a quel soggetto, cioè, che materialmente esegue le singole operazioni di trattamento dei dati sotto la diretta autorità del titolare e del responsabile, attenendosi alle istruzioni impartite e senza potere di autonomia.

L'articolo 4, comma 1, lettera h), definisce gli incaricati (dal momento che possono essere nominati più soggetti per rivestire tale figura) come “le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile”.

È opportuno evidenziare che la designazione dell’incaricato è un atto unilaterale che deve essere portato a conoscenza del destinatario ma che non richiede accettazione: l’incaricato è tale perché lo svolgimento delle sue funzioni impone il trattamento dei dati personali, pertanto, egli può rifiutare l’incarico di trattare i dati solo rifiutando di espletare l’attività a cui è preposto.

L'incaricato del trattamento può essere chiamato a rispondere in via esclusiva o in via solidale con il titolare ed il responsabile per responsabilità civile derivata da illegittimo trattamento di dati personali.

Da un punto di vista della responsabilità penale, l'incaricato risponderà del proprio illecito operato solo nel caso in cui vi sia concorso nel fatto di reato compiuto dal titolare del trattamento.

7 I principali adempimenti 7.1 L'informativa

Alcuni adempimenti previsti dal Codice della privacy per i titolari di trattamento, devono essere posti in essere a prescindere dalla natura pubblica o privata del soggetto titolare del trattamento.

Lo strumento più rilevante attraverso il quale è possibile garantire il potere dell'interessato di controllare il flusso delle informazioni che lo riguardano e, quindi per tutelare il suo diritto alla protezione dei dati personali, è costituito dall'informativa sul trattamento dei dati personali.

L'informativa costituisce il fondamento per l'esercizio dei diritti dell'interessato ed infatti, data la sua importanza, è sempre stata al centro della disciplina della privacy, sia nella L. n. 675/1996 che nell'attuale Codice61_.

Costituisce dunque un atto di trasparenza, presupposto fondamentale per il consenso, in quanto mette in condizione l’interessato di esercitare il proprio diritto ad avere il controllo delle informazioni che lo riguardano. Tale controllo può avvenire solo se si conosce chi possiede e tratta tali informazioni, e per quali scopi62_.

L'importanza dell'informativa era già stata sottolineata dalla Direttiva 95/46/CE la quale aveva previsto “che il trattamento leale dei dati presuppone che le persone interessate possano conoscere l'esistenza del trattamento e disporre, quando i dati che le riguardano sono forniti direttamente da loro, di un'informazione effettiva e completa in merito alle circostanze della raccolta”63_.

L'informativa deve essere fornita all'interessato prima di procedere 61 _{L'articolo 13 del D.Lgs. 196/2003 che regola l'informativa, è il frutto della}

rielaborazione dell'articolo 10 della previgente legge.

62 _{FARINA M., La nuova Privacy, Experta, 2011, pag. 43.} 63 _{Considerando n. 38, Direttiva 95/46/CE.}