• Non ci sono risultati.

La protezione dei dati personali nel mondo del lavoro al tempo del web

N/A
N/A
Protected

Academic year: 2021

Condividi "La protezione dei dati personali nel mondo del lavoro al tempo del web"

Copied!
86
0
0

Testo completo

(1)

UNIVERSITÀ DI PISA

DIPARTIMENTO DI SCIENZE POLITICHE

Corso di Laurea in Scienze delle pubbliche amministrazioni

TESI DI LAUREA

LA PROTEZIONE DEI DATI PERSONALI NEL

MONDO DEL LAVORO AL TEMPO DEL WEB

CANDIDATA

RELATORE

Ilaria Fattori

Prof. Saulle Panizza

(2)

2

La protezione dei dati personali nel mondo del lavoro al tempo del web Abstract

Questo lavoro si propone di analizzare lo status del diritto in Italia, relativamente alla protezione dei dati personali, al tempo dell’avvento della

Rivoluzione 4.0.

Il contesto operativo sta rapidamente e profondamente mutando ad opera dell’intelligenza artificiale e dell’Internet delle cose, che attraversano e governano la mondializzazione dei fenomeni e dei rapporti.

La privacy, in ogni ambito, rischia di essere seriamente minacciata e violata. Di questa istanza si è fatto carico il Parlamento europeo che ha emanato il

GDPR poi recepito dalla legislazione italiana con un Decreto di adeguamento.

Attraverso l’analisi del GDPR e del suo riflesso nella legislazione italiana, si è proceduto ad evidenziare le novità introdotte, i nuovi attori e i titolari del trattamento dei dati, nonché i limiti ancora presenti nella suddetta legislazione. Si è colta anche, se pure mai esplicitata, la consapevolezza della impossibilità di normare in modo puntuale i nuovi e molteplici problemi connessi ai cambiamenti in atto.

Per questo diventa forte il richiamo alla responsabilità che si trasferisce dal legislatore all’operatore, come suggeriscono i ricorrenti richiami al principio di

accountability.

L’argomento della protezione dei dati personali si impone quindi per la sua stringente attualità e per le implicazioni, di natura non solamente giuridica, inevitabilmente coinvolte.

(3)

3

INDICE

INTRODUZIONE Il futuro del diritto nella società tecnologica………....5

CAPITOLO 1 La privacy nel mondo digitale………..8

1.1 Si fa presto a dire privacy...8

1.2 Recepimento delle Direttive europee sulla privacy nella legislazione italiana…14 1.3 L’avvento del GDPR………15

CAPITOLO 2 GDPR: il nuovo diritto europeo sulla protezione dei dati personali...18

2.1 Le novità normative introdotte dal GDPR………18

2.1.1 Principio di accountability e i principi di privacy by design e privacy by default……….19

2.1.2 Il diritto alla portabilità dei dati………25

2.1.3 Il diritto all’oblio………29

2.1.4 Il data breach, ovvero la violazione dei dati personali………..32

2.2 I nuovi attori introdotti dal GDPR………38

2.2.1 Autorità di controllo capofila (Lead Supervisory Authority)……….38

2.2.2 Data protection officer (DPO) o Responsabile per la protezione dei dati (RPD)……….40

2.2.3 Il Comitato europeo per la protezione dei dati (European Data Protection Board-EDPB)………..43

2.3 Il GDPR si applica anche alle aziende non europee……….45

CAPITOLO 3 Il Decreto (D.lgs. n. 101/2018) di adeguamento al GDPR…………48

3.1 Ragioni e scopi del decreto attuativo………48

(4)

4

CAPITOLO 4 Il trattamento dei dati personali nei rapporti di lavoro………..59

4.1 Dalla Direttiva del 1995 al GDPR………59

4.2 Le innovazioni introdotte dal GDPR in materia di privacy nei rapporti di lavoro………..60

4.3 Il framework privacy italiano………63

4.4 Il contributo sulla materia del Gruppo Articolo 29………..64

4.5 Attenti alla rete nell’era Onlife………69

CONCLUSIONI………73

Bibliografia……….75

Sitografia………80

Normativa………..82

(5)

5

INTRODUZIONE

Il futuro del diritto nella società tecnologica.

Che il mondo sia nel mezzo di una rivoluzione tecnologica in continua evoluzione e dagli esiti impensabili, è un dato di fatto.

La società si adegua velocemente alle innovazioni, ma con difficoltà, anzi raramente si pone domande in merito alla portata dei loro effetti, dei cambiamenti che comportano e che spesso sovvertono i principi e i valori sui quali ancora, invece, crede di poggiare.

La tecnologia sta cambiando il mondo, ma con la sua potenza pervasiva sta cambiando anche gli uomini. Nativi digitali e non inseguono e si avvalgono della intelligenza artificiale, di Internet delle cose, del blockchain e rincorrono il 5G.

Già a una prima e immediata riflessione si fa evidente un sovvertimento che dovrebbe allarmare tutti: non è più l’uomo a ordinare e a governare il mondo, come sempre ha sostenuto il pensiero occidentale, bensì la tecnologia.

Se questa è una realtà evidente di per sé, non risulta tuttavia che sia grande, profonda e diffusa la consapevolezza della stessa.

È vero che già nel corso del Novecento i filosofi, da Heidegger in poi, hanno a lungo discettato sull’impatto della Tecnica con il mondo contemporaneo, senza tuttavia incidere realmente sulla mentalità collettiva. Forse perché lo hanno fatto con discorsi troppo accademici e con un linguaggio comprensibile solo agli addetti ai lavori.

Se è vero tuttavia che la filosofia è la prima disciplina ad essere chiamata in causa in quanto, per statuto, tenuta a fornire gli strumenti critici, concettuali e pratici, per “capire” le trasformazioni che il digitale sta producendo, anche

(6)

6

altri ambiti risultano essere del tutto coinvolti nel possibile, e si spera non residuale, controllo della rete: gli ambiti del diritto e delle Istituzioni.

Non sfugge a nessuno che con gli attuali iter legislativi e le relative tecniche di normazione occorrerebbero anni prima che una nuova tecnologia venisse disciplinata. Ma proprio questo sta accadendo, come risulta dal vuoto normativo che si riscontra in diverse situazioni che, benché si configurino come reati, sfuggono al giudizio e alle conseguenti sanzioni, mentre si diffonde nella collettività l’idea che tutto è lecito, che il limite non esiste e che l’impunità è assicurata.

I processi decisionali democratici faticano a decollare anche all’interno dell’Unione Europea, dove la Commissione sta comunque cercando di dotarsi di strumenti idonei, come ha fatto ultimamente con il GDPR, per tutelare la

privacy dei cittadini nei diversi ambiti privati e lavorativi.

I Big Tech (Google, Facebook, Microsoft, Apple, Amazon…) infatti si infilano nelle nostre vite, le controllano, ne modificano i comportamenti politici, economici e sociali.

Dopo aver privatizzato lo spazio virtuale, anzi proprio grazie a questa operazione, hanno trasformato l’uomo in un prodotto, quasi sempre a sua insaputa, atto ad alimentare con le sue pseudo-scelte i loro profitti vertiginosi. Neppure il capitalista più ottimista e lungimirante avrebbe potuto prefigurarsi un esito tanto estremo quanto lucroso quale quello realizzato dal neoliberismo digitale.

Contestualmente anche importanti funzioni dello Stato sono state demandate alle aziende tecnologiche e questo genera fondate preoccupazioni non solo per la privacy, ma anche per la democrazia.

E. Morozov, sociologo bielorusso, uno dei massimi esperti dei nuovi media,

nell’intervista rilasciata a Londra a Leonardo Clausi, giornalista, afferma: “Se un’azienda come Facebook può gestire sistemi di riconoscimento identitario e

(7)

7

monetari, se Google può gestire sanità e trasporti, se Microsoft può gestire l’istruzione e la sicurezza digitale, a cosa serve il settore pubblico? E, per esteso la democrazia?” 1.

Di questi temi l’autore discute ampiamente nel suo libro Silicon Valley: i

signori del silicio 2, dove inoltre, esorta l’Europa ad avere una visione della

storia e della politica più ampia e rispondente agli attuali bisogni, se davvero non vuole “essere comandata a bacchetta” dalle aziende tecnologiche.

Il dibattito su quali siano gli aspetti giuridici più critici e prioritari da regolamentare è apertissimo, ma ancora forse non così vivace e rigoroso come i tempi richiederebbero.

La questione prima, che sta alla base di tutti i processi che attengono al mondo digitale, è senz’altro quella relativa ai dati personali, alla loro protezione e al loro utilizzo. Da qui lo studio e l’analisi della normativa italiana ed europea esistente sull’argomento. Addentrarsi in questa materia fa capire il bisogno di giuristi del digitale, esperti che conoscano a fondo le implicazioni delle nuove tecnologie, con competenze che consentano loro di tenere comunque fermo il principio della non negoziabilità della persona.

1 In L’Espresso settimanale di politica, cultura, economia n. 29 anno LXV, 14 luglio 2019. 2

(8)

8

CAPITOLO 1 La privacy nel mondo digitale. 1.1 Si fa presto a dire privacy.

Nel cominciare questo percorso è bene dire subito che il centro e l’obiettivo ultimo del lavoro sono la persona umana e i suoi diritti fondamentali.

L’evoluzione tecnologica delle comunicazioni elettroniche che è alla base della società digitale e della globalizzazione delle relazioni interpersonali, economiche, finanziarie e sociali, ha talora compromesso il diritto alla dignità della persona tanto da indurre alla tutela dei dati personali, elevandola gradualmente a diritto fondamentale ed elemento essenziale del rispetto della persona e della sua vita familiare.

La protezione dei dati personali, nata come risposta alla tecnologia legata al trattamento automatizzato dei dati, è oggi diventata l’ultima e più importante barriera allo straripare della società digitale che, anche al fine di assicurare servizi che la stessa persona richiede, fa circolare in rete, e rende quindi potenzialmente acquisibili e controllabili, i dati personali di ognuno.3

Proprio la rete e i servizi che essa stessa offre consentono una circolazione potenzialmente illimitata nel tempo delle informazioni che riguardano ciascuno. Tutto questo comporta pericoli elevati per la libertà e la dignità delle persone, e quindi richiede sistemi di tutela sempre più adeguati.

Uno degli aspetti delle nuove tecnologie che mette a dura prova la protezione dei dati è quello relativo ai big data 4, che consentono raccolte gigantesche di

3

F. Pizzetti, Privacy e diritto europeo alla protezione dei dati personali. Il Regolamento

europeo 2016/679, Giappichelli, 2016, pag. 8.

4

Questo termine indica genericamente una raccolta di dati così estesa in termini di volume, velocità e varietà da richiedere tecnologie e metodi analitici specifici per la memorizzazione e l’analisi degli stessi. Il termine è utilizzato in riferimento alla capacità, propria della scienza dei dati, di analizzare ovvero estrapolare e mettere in relazione un'enorme mole di dati

(9)

9

dati, acquisiti soprattutto in rete e trattati per diverse finalità, a costi più bassi e con tempi più veloci, grazie a elaboratori più potenti. È questa una realtà in continua evoluzione, che ha lo scopo di utilizzare i dati e le informazioni raccolte per trarne un numero tendente all’infinito. Si tratta di un aspetto estremamente delicato perché tutto ciò che viene captato in assenza di adeguate protezioni, rivela una quantità sterminata di informazioni sui comportamenti, le abitudini e le opinioni di ciascuno.

Quindi nella società digitale il diritto fondamentale alla protezione dei dati personali diventa anche il presidio irrinunciabile di tutte le libertà classiche, tutelate dalla nostra Costituzione e proprie della nostra società democratica. Se infatti pensiamo che attraverso la raccolta e l’analisi dei dati che riguardano una persona, che naviga in rete, si può arrivare a capire quali siano le sue abitudini, i suoi gusti, e quali saranno le sue scelte future, è chiaro che chi raccoglie dispone di fatto del soggetto in questione che, da libero fruitore di servizi, diventa lui stesso un prodotto disponibile sui mercati digitali.

Quello della privacy è un tema da sempre avvertito come fondamentale dall’uomo. La privacy è la ragione per cui da millenni l’uomo ha costruito dei muri per delimitare la sua proprietà privata. Nella natura umana vi è un bisogno intrinseco di separare la sfera privata, in cui si può agire senza rendere conto e temere gli sguardi e i giudizi altrui, ed una sfera pubblica, che espone al giudizio altrui ogni azione approvata o meno dagli altri.

Questo bisogno emerge già nelle antiche società greca e romana dove era vietato invadere la vita privata dei cittadini 5.

eterogenei, strutturati e non strutturati, allo scopo di scoprire i legami tra fenomeni diversi (ad esempio correlazioni) e prevedere quelli futuri.

glossariomarketing.it 5

(10)

10

Ma è nell’età moderna che si prende consapevolezza del valore e della sacralità dell’intimità, descritta come “evasione dal mondo esterno nel suo insieme per rifugiarsi nell'interiore soggettività individuale”6. L’intimità non ha

un posto tangibile né nel mondo, né nella società, ma ha ragione di esistere esclusivamente nella sfera del privato.

Il diritto alla privacy viene concettualizzato per la prima volta da due giovani avvocati, Samuel D. Warren e Louis D. Brandeis7. I due vivevano a Boston in un’epoca in cui la carta stampata si stava evolvendo, con il passaggio al fotogiornalismo, e con la pubblicazione di eventi mondani e pettegolezzi. Vivendo quel particolare momento storico, i due furono ispirati a pubblicare nel dicembre 1890 un saggio intitolato “The right to privacy”. Warren e

Brandeis definirono la privacy come un’estensione del diritto di proprietà che

andava ad includere aspetti non materiali come i sentimenti, i pensieri e le emozioni, che fino a quel momento non avevano ancora ricevuto alcuna tutela. Lo definirono come un diritto negativo, nello specifico usarono l’espressione “right to be let alone”, cioè il diritto a essere lasciati soli. Inoltre Warren e

Brandeis invitarono i giudici americani a garantire il diritto alla privacy nelle

loro sentenze, e a farlo diventare un diritto di Common Law. Ma i tempi non erano ancora maturi e la voce dei due avvocati rimase per lo più inascoltata. Successivamente in Europa la terribile esperienza dei regimi totalitari è servita da lezione per comprendere l’importanza della privacy. I regimi totalitari volevano esercitare un controllo totale sull’individuo, privandolo del tutto della sua sfera privata per assicurarsi la sua totale fedeltà. Il partito si inseriva nella vita privata delle persone ed agiva non diversamente dal Grande Fratello di

6

H. Arendt, Vita activa: la condizione umana, Bompiani, 1958, nota n. 6, pag. 70.

7 G. G. Fuster, The Emergence of Personal Data Protection as a Fundamental Right of the

(11)

11

George Orwell, che controlla giorno e notte la vita dei cittadini per assicurarsi

che questi siano fedeli alla volontà del capo.

L’idea dell’ “uomo di vetro” che non ha nulla da nascondere è una metafora totalitaria basata sulle mire dello Stato a conoscere anche gli aspetti più intimi della vita dei propri cittadini8. Sono stati necessari tempo, sacrifici inauditi e lotte per conquistare la democrazia e, con questa, un’altra concezione della persona. Perciò ora la privacy diventa un prerequisito della democrazia.

Oggi, in relazione soprattutto ad uno sviluppo tecnologico imponente ed inarrestabile, la privacy assume un nuovo significato e cerca in tutti i modi di tutelare non solo la dignità umana, ma nel contempo, la sfera privata, i contenuti informativi e i dati personali.

Il diritto alla privacy assume pertanto nuovi significati in virtù del mutevole contesto culturale, sociale, economico e tecnologico che caratterizza l’odierna società dell’informazione 9

. Oggi questo diritto viene riconosciuto ad ogni soggetto come pure la facoltà di gestire i propri dati personali con discrezionalità, ma non sempre si può davvero decidere il modo con cui trattarli e l’ambito in cui farli circolare.

Lo sviluppo delle tecnologie digitali ha reso urgente la riforma della normativa sulla privacy, in particolare della Direttiva 95/46/CE, così detta

Direttiva madre sulla privacy risalente agli anni Novanta, quando molte

tecnologie e servizi di oggi non esistevano.

La Direttiva 95/46/CE del Parlamento e del Consiglio d'Europa è stato il principale strumento giuridico dell'Unione Europea in materia di protezione dei

8 S. Rodotà’, L’ansia di sicurezza che cancella i diritti, 2011, articolo su “La Repubblica”,: http://www.repubblica.it/online/speciale/ventitreottobredue/ventitreottobredue/ventitreottobredue.ht ml Accesso 16 Settembre 2016

9 S. Niger, Le nuove dimensioni della privacy: dal diritto alla riservatezza alla protezione dei

(12)

12

dati personali negli anni Novanta; era stata infatti adottata con l’obiettivo di assicurare che questi potessero circolare liberamente nel territorio europeo, garantendo il loro “flusso libero”, e la salvaguardia dei diritti fondamentali della persona.

Già in quegli anni vi era un’esigenza di “armonizzazione” della materia, dovuta alla frammentazione normativa esistente nei diversi Paesi aderenti all'Unione, per cui si sentiva la necessità di procedere ad una “armonizzazione” delle normative nazionali tale però da non determinare un indebolimento della tutela delle persone.

“La Direttiva 95/46/CE può iscriversi in quella prima fase di politica europea di liberalizzazione che accanto ai profili economici mira a proteggere i diritti dei cittadini interessati dai cambiamenti tecnologici, in particolare, nel settore dell’informazione e della comunicazione.”10

I suoi principi fondamentali sono considerati ancora oggi validi e sono stati rafforzati nella riforma del 2016. In seguito è stata adottata la Direttiva 2002/58/CE, chiamata Direttiva

e-privacy, relativa al trattamento dei dati personali e alla tutela della vita privata

nel settore delle comunicazioni elettroniche. L’obiettivo era quello di stabilire nuove regole che assicurassero agli utenti lo stesso livello di tutela, indipendentemente dalla tecnologia utilizzata. Si voleva adeguare la disciplina, allora esistente, in materia di dati personali nel settore delle comunicazioni elettroniche, agli sviluppi economici e tecnologici, oltre che normativi.

La Direttiva e-privacy è stata successivamente modificata dalla Direttiva 2009/136/CE, ovvero la Direttiva cookies, che ha rafforzato la tutela degli

10

R. Zaccaria, A. Valastro, E. Albanesi, Diritto dell’informazione e della comunicazione, Wolters Kluver, nona edizione, pag. 209.

(13)

13

utenti contro le violazioni dei dati personali, in particolare contro lo spam 11, introducendo il principio dell’opt-in 12

in tutti i casi in cui si accede a/o si

registrano informazioni sul terminale dell’utente.

Non tutte le tipologie di raccolta dei dati, che vengono scambiati in Internet, sono uguali: alcuni dati possono essere forniti consapevolmente dall’utente, mentre altri, al contrario, vengono carpiti in modo occulto dagli operatori durante la navigazione dell’utente in rete. Quest’ultima raccolta di dati rivela al provider le abitudini di navigazione dell’individuo, nonché le sue preferenze, che vengono pertanto ad assumere un valore economico, in quanto utilizzabili per scopi commerciali. S. Rodotà, già Presidente dell’Autorità garante per la protezione dei dati personali, affermava che “viviamo in un mondo nel quale cresce il valore aggiunto delle informazioni personali e dove avviene la trasformazione dell’informazione in merce.” 13 I cookies 14 quindi

consentono di tracciare i siti visitati dall’utente, le sue preferenze e i prodotti che acquista online.

11 Lo spam è una pratica (anche pericolosa) che consiste nell'invio reiterato di messaggi di posta elettronica generalmente a carattere pubblicitario. L’obiettivo di queste e-mail è quello di appropriarsi con l’inganno dei dati personali degli utenti.

https://tecnologia.libero.it/cosa-e-lo-spam-e-come-difendersi-13387

12 Principio che prevede l’obbligo di acquisire il previo consenso dell’utente riguardo il trattamento dei suoi dati personali, in Diritto dell’informazione e della comunicazione, nona edizione, pag. 215.

13 S. Rodotà, Tecnopolitica, Bari, Laterza, 1997, pag. 151. 14

Sono piccoli programmi che registrano le informazioni sulla navigazione effettuata dall’utente, spesso utilizzati dai providers come strumenti, più o meno occultamente installati sul browser, per parametrare l’offerta pubblicitaria ai gusti del singolo consumatore.

http://www.diritto24.ilsole24ore.com/avvocatoAffari/mercatiImpresa/2012/03/direttiva-e-privacy-verso-il-recepimento-in-italia-della-direttiva-2009136ce.php

(14)

14

1.2 Recepimento delle Direttive europee sulla privacy nella legislazione italiana.

Il legislatore italiano ha recepito la Direttiva 2002/58/CE con il D.lgs. n. 69/12, apportando modifiche al Codice privacy 15. La principale novità

introdotta dalla Direttiva e-privacy, e recepita dall’art. 126 del Codice privacy, riguarda i dati relativi alla localizzazione dell’utente, stabilendo che i dati in questione possono essere utilizzati esclusivamente con il consenso di quest’ultimo. Esistono infatti servizi forniti dalle reti satellitari e cellulari che consentono di individuare con precisione l’ubicazione dell’apparecchio elettronico dell’utente e di utilizzare i dati a fini commerciali per offrire servizi personalizzati. Disciplinando normativamente questi servizi si vuole bilanciare il loro sviluppo con la tutela della vita privata.

Sempre con il D.lgs. n. 69/12 il legislatore italiano ha recepito anche la Direttiva 2009/136/CE, modificando ulteriormente il Codice privacy, in particolare all’art. 122, che vieta la raccolta di informazioni sull’utente, salvo previo consenso informato (principio di opt-in).

La Direttiva cookies ha sollevato delle critiche sia da parte degli utenti, in quanto rallenterebbe la navigazione, sia da parte delle aziende, in quanto impedirebbe lo sviluppo dei mercati online, attraverso l’introduzione di una normativa più vincolante, come agli artt. 32 e 32-bis del Codice privacy, dove si è introdotto l’obbligo per i fornitori di comunicare tempestivamente al Garante e all’interessato eventuali violazioni di dati personali.

15

Il Codice della privacy è stato emanato con il d.lgs. 30 giugno 2003, n. 196, in vigore dal 1º gennaio 2004.

(15)

15

1.3 L’avvento del GDPR.

L'aumento esponenziale dei servizi online, i conseguenti rischi per i diritti dei cittadini, e i crescenti problemi di sicurezza, collegati al fenomeno della mondializzazione, hanno portato il legislatore europeo ad un ripensamento radicale dell'intero impianto normativo, giungendo così all’elaborazione del Regolamento (UE) 2016/679, conosciuto con l’acronimo GDPR 16

.

Dalle Direttive citate si evince la crescente preoccupazione del legislatore impegnato nella tutela dell’utente, della sua vita privata e dei dati personali, per evitare che le nuove tecnologie abbiano un impatto negativo sui diritti e le libertà dei singoli.

È di rilevante importanza consentire agli individui di essere informati sull’ utilizzo dei loro dati e far sì che possano prendere decisioni il più possibile autonome al riguardo. Per questo sono necessarie chiare e precise regole sulla protezione dei dati personali da applicare in modo uniforme nel contesto dell’Unione Europea.

È dunque stato redatto il Regolamento Generale sulla Protezione dei Dati personali, adottato il 27 aprile 2016. 17, a quasi cinque anni dalla proposta della Commissione europea 18 , entrato in vigore il 25 maggio dello stesso anno ed operativo a partire dal 25 maggio del 2018.

16

General Data Protection Regulation.

17 Regolamento (UE) n. 2016/679, noto come GDPR, del Parlamento europeo e del Consiglio del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), pubblicato in Gazzetta Ufficiale dell’Unione europea 127 del 4 Maggio 2016.

18 Cfr. Commissione Europea, Proposta di Regolamento del Parlamento Europeo e del Consiglio concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libertà di circolazione dei dati, COM (2012) 11 del 25 gennaio 2012.

(16)

16

Esso si prefigge di rafforzare in modo uniforme i diritti delle persone, rendendo al tempo stesso più agevoli, per le imprese e gli enti pubblici, gli oneri amministrativi relativi al trattamento dei dati personali.

Il regolamento disciplina il trattamento e la libera circolazione dei dati personali solo delle persone fisiche, comprendendo anche quelli, sempre di persone fisiche, trattati in ambito professionale o associativo, ovvero nei rapporti tra imprese, enti e associazioni. In pratica, il campo di applicazione riguarda i dati personali di persone fisiche, trattati in qualsiasi attività: professionale, economica, di interesse pubblico, associativa, etc… .

Il GDPR rappresenta un quadro comune europeo in materia di tutela dei dati personali per tutti gli Stati membri dell’UE, dato che è un Regolamento direttamente applicabile in tutti gli Stati membri. Questo anche per ridurre la frammentazione giuridica tra gli Stati, offrendo contemporaneamente maggiore certezza sulla tutela dei diritti fondamentali e sul corretto funzionamento del mercato digitale.

Il regolamento infatti costituisce un prezioso tentativo di armonizzazione delle regole sulla privacy dei vari Stati membri ed è finalizzato a sviluppare il mercato unico digitale.

Insieme alla Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 Aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, il GDPR costituisce il c.d. pacchetto protezione dati personali.

Il Regolamento (UE) 2016/679 abroga la Direttiva 95/46/CE in materia di protezione dei dati personali, la così detta Direttiva madre sulla privacy, concepita in un periodo nel quale solo una minima parte della popolazione europea utilizzava Internet e non esistevano social media, tablet, app.

(17)

17

Con il GDPR, il Consiglio europeo, oltre ad armonizzare e ad aggiornare le normative privacy in tutta l’ Unione, si pone un ulteriore obiettivo, quello di ridefinire l’approccio delle aziende in materia di protezione dati, in virtù dei continui attacchi informatici di cui sono oggetto, da alcuni anni, le imprese di ogni dimensione e settore, fornendo una guida utile anche in questa direzione. I cittadini, con le nuove disposizioni, sono al centro del sistema, e gli sono riconosciuti: il diritto alla portabilità dei dati, il diritto all’oblio (riconosciuto fino ad ora solo a livello giurisprudenziale), il diritto di essere informato in modo trasparente, leale e dinamico relativamente ai trattamenti effettuati sui propri dati personali, comprese le eventuali violazioni (data breach 19) degli stessi.

Da come si evince dal testo, il Regolamento (UE) 2016/679 riconosce un livello elevato e uniforme di tutela dei dati personali ed è finalizzato a dare ai cittadini un maggiore potere di controllo sull’utilizzo dei loro dati medesimi.

Il Regolamento in esame comporta anche un cambiamento culturale: difendere i dati significa difendere le persone, l’identità e la libertà delle stesse, e come afferma A. Soro, Presidente dell’autorità garante per la protezione dei dati personali: il GDPR “rappresenta una tappa fondamentale per garantire lo sviluppo di un mercato unico digitale. L’Europa ha la straordinaria opportunità di dimostrare la capacità di proporre, su scala mondiale, il proprio modello di protezione dei dati. Un modello che è capace di coniugare al punto più alto i diritti degli individui con le esigenze delle imprese, del mercato e delle innovazioni.” 20

19 Notificazione di una violazione di dati, artt. 33-34 GDPR. 20

(18)

18

CAPITOLO 2 GDPR: il nuovo diritto europeo sulla protezione dei dati personali.

2.1 Le novità normative introdotte dal GDPR.

Con il GDPR si introducono delle importanti novità legate alle sfide che la rapidità dell’evoluzione tecnologica e lo sviluppo della mondializzazione comportano per la protezione dei dati personali:

il principio di accountability correlato ai principi di privacy by design

e privacy by default ;

 l’obbligo generale di maggiore trasparenza sull’uso dei dati, anche attraverso informative semplificate ma efficaci e intuitive;

 l’attribuzione di nuovi poteri, anche sanzionatori, alle autorità nazionali di vigilanza;

la Lead Supervisory Authority;

il DPO (data protection officer) o RPD (responsabile della protezione dei dati);

(19)

19

il diritto alla portabilità dei dati;

il riconoscimento del diritto all’oblio, ovvero il diritto alla cancellazione dei dati dell’interessato;

Data breach;

 estensione del campo di applicazione del Regolamento anche ad aziende non europee.

2.1.1. Principio di accountability e i principi di privacy by design e privacy

by default.

L’entrata in vigore del GDPR ha introdotto il principio della privacy by

design e il correlato principio della privacy by default, ed ha attribuito un

ruolo di centralità a quello così detto di “responsabilizzazione” del titolare 21

e del responsabile 22 del trattamento dei dati personali.

Il termine in lingua inglese utilizzato dal legislatore europeo per esprimere il concetto in esame è quello di accountability, termine non facilmente

21

Per titolare del trattamento dei dati personali si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Art. 4 (7) GDPR.

22

Per responsabile del trattamento dei dati personali si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. Art. 4 (8) GDPR.

(20)

20

traducibile nella nostra lingua, infatti, nella traduzione del Regolamento (UE) 2016/679 si parla impropriamente di responsabilità, mentre la traduzione più corretta potrebbe essere quella di rendicontazione la quale comunque necessita di un ulteriore sforzo interpretativo perché ne venga colto per intero il più ampio significato.

Con il concetto di accountability, l’attenzione viene posta sulla capacità di dimostrare come viene esercitata la responsabilità e la sua verificabilità. La responsabilità e l’obbligo di rendere conto sono due facce della stessa medaglia ed entrambi sono elementi essenziali di una buona governance e di un buon modo di rispondere ai problemi che derivano dal trattamento dei dati. Solo quando si dimostra, ovvero si è in grado di rendicontare, come e in che modo si è provveduto a gestire quello specifico problema, il concetto di

accountability funziona concretamente.

L’esigenza che si vuole soddisfare, attraverso l’introduzione di questo principio, è quella di far in modo che il titolare e il responsabile del trattamento dei dati personali siano spinti a porre in essere tutte le misure necessarie alla protezione effettiva del dato personale oggetto del trattamento. Quindi, adesso, quello che viene richiesto ai titolari e ai responsabili del trattamento è un approccio proattivo e non più solamente reattivo, come quello messo in atto nelle legislazioni precedenti, dove predominava una regolamentazione volta a determinare i rimedi alle possibili violazioni e conseguenti danni.

Essere proattivi è il necessario atteggiamento da adottare per non rispondere in futuro di un danno derivante dal trattamento dei dati personali, attraverso la dimostrazione (inversione dell’onere della prova) di aver fatto tutto il possibile per evitarlo. 23 Questo atteggiamento è richiesto ad esempio nell’adozione di misure di sicurezza adeguate contro un eventuale data breach e nella fase

23

(21)

21

privacy by design. Significa avere il controllo della situazione e non adattarsi

o attendere che qualcosa accada per poi porvi rimedio.

L’atteggiamento proattivo non si esaurisce nell’adempimento normativo e nel dare prova di questo, ma consiste nell’essere in grado di dimostrare anche l’efficacia delle misure adottate, nel rendicontare come si è arrivati a prendere quella determinata decisione definendo nello stesso tempo le misure di sicurezza.

L’accountability quindi è uno strumento per l’attuazione di meccanismi pratici in un contesto in cui l’adempimento degli obblighi legali e la garanzia di un’assistenza adeguata diventano indici virtuosi della tutela dei dati personali; essa punta pertanto allo sviluppo di strumenti che possano essere utilizzati dalle organizzazioni per valutare lo stato della propria accountability e renderne conto alle Autorità garanti.

Sulla base del principio di accountability, il GDPR dispone che “tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario” 24 D’ora in avanti si potranno avere effetti giuridicamente rilevanti in conseguenza delle scelte operate dai titolari al momento della pianificazione dei trattamenti, e non solo al momento dell’effettivo svolgimento delle operazioni in cui il trattamento si sostanzierà.

24

(22)

22

L’accountability si compone di almeno tre elementi 25

:

1. la trasparenza, intesa come garanzia della completa accessibilità alle informazioni, in primo luogo per i cittadini, anche in quanto utenti del servizio;

2. la responsività, intesa come la capacità di rendere conto di scelte, comportamenti e azioni intraprese;

3. la compliance, intesa come la capacità di far rispettare le norme.

Sotto questi aspetti, il principio in questione può essere anche definito come l’obbligo di spiegare e giustificare il proprio comportamento per adempiere al meglio alla normativa del GDPR.

Un esempio di come l’accountability possa avere un effetto positivo sugli individui è rappresentato dall’adozione dei Codici aziendali obbligatori (Binding Corporate Rules - BCRs), con i quali le organizzazioni sono tenute a dimostrare di aver adottato ogni misura idonea a rispettare i parametri prestabiliti dalle norme, ogni volta che si impegnano in attività rischiose. Le aziende munite di BCRs sono inoltre esentate dal dovere di comprovare la documentazione presso gli organi di controllo, beneficiando in questo modo di maggiore flessibilità.

Il principio di accountability è una delle sfide più importanti e decisive che ci pone davanti l’attuale normativa sulla protezione dei dati personali.

25 A. Carnabuci, P. Ceccoli, B. De Rosa, I. Mariani, C. Minieri, P. Radaelli, A. Zappia, A. Zucchetti, Privacy e dati personali: problemi e casi pratici., Key Editore, 2018, pag. 22.

(23)

23

Questo principio si lega ai principi di privacy by design e privacy by default, disciplinati dall’art. 25 del GDPR, ovvero quest’ultimi rappresentano un esempio di implementazione del principio di accountability, ossia l’adozione da parte del titolare del trattamento di tutte quelle misure efficaci e adeguate a garantire la protezione dei dati personali e la capacità di dimostrare la conformità delle attività di trattamento alle disposizioni del Regolamento (UE) 2016/679.

L'art. 25 del GDPR, disciplinando i principi di privacy by design e privacy by

default, introduce un approccio concettuale innovativo che impone alle aziende

l'obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.

Il principio di privacy by design attiene alla fase di progettazione del processo di raccolta e trattamento dati che consiste nel definire procedimenti e modalità conformi alla normativa, in quanto concepiti fin dall’inizio per essere adattati alla tipologia di dati trattati ed alle finalità perseguite.

Si tratta di un concetto di prevenzione rischi, che consiste:

 nel prevenire, non correggere, eventuali problemi nella fase iniziale, quindi nella fase di progettazione;

nella privacy come impostazione di default, ad esempio non deve essere obbligatorio compilare un campo di un form il cui conferimento di dati è facoltativo ;

(24)

24

nella privacy incorporata nel progetto, ad esempio, l'utilizzo di tecniche di pseudonimizzazione 26 o minimizzazione dei dati;

 in funzionalità e flessibilità ottimale, in modo tale da rispettare tutte le esigenze;

 in sicurezza dei dati durante tutto il ciclo del prodotto o servizio;

 nel principio della trasparenza, cioè tutte le fasi operative devono essere trasparenti in modo che sia verificabile la tutela dei dati personali;

 nella centralità dell’utente, quindi rispetto dei suoi diritti, tempestive e chiare risposte alle sue richieste di accesso.

Dall'art. 25 si evince che l'approccio del GDPR è centrato sulla valutazione del

rischio (risk based approach), con cui si determina il grado di responsabilità

26

Per pseudonimizzazione si intende il trattamento dei dati personali in modo tale che i dati personali non possano essere più attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile. Art. 4 (5) GDPR.

(25)

25

del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

Il principio di privacy by default riguarda le modalità tecniche ed organizzative funzionali a garantire che vengano trattati solo i dati personali necessari alle finalità previste. Lo scopo è quello di assicurare che i dati siano utilizzati solo se necessario, siano conservati ed accessibili solo per il periodo di tempo richiesto dalla tipologia di trattamento e solo al personale addetto.

Il legislatore europeo quindi, all’art. 25 del GDPR, non prescrive soluzioni tecniche specifiche, ma rimanda ad una valutazione caso per caso lasciando margini di discrezionalità al titolare, in base alla tipologia del trattamento, alle finalità, alla natura dei dati e dei diritti e libertà dell’interessato.

2.1.2 Il diritto alla portabilità dei dati.

La portabilità dei dati è un altro dei nuovi e importanti diritti introdotti con il Regolamento (UE) 679/2016 e rappresenta uno strumento pro-concorrenziale con rilevanti effetti regolativi sui mercati digitali.

Questo diritto consente a ciascun individuo, che utilizza servizi online, di “portare” i propri dati da un servizio all’altro, in modo da poterli riutilizzare in piena autonomia, senza perdere il patrimonio di informazioni creato in precedenza. In questo modo permette all’utente di ottenere una copia dei propri dati e di archiviarli nel proprio computer, oppure di trasmetterli a un’altra piattaforma per essere lì riutilizzati.

Il diritto in questione è disciplinato all’art. 20 del GDPR, in base al quale “l’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro

(26)

26

titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.”

L’obiettivo della norma è duplice: consiste, da un lato, nel tentativo di agevolare il passaggio e lo scambio dei dati da un servizio online a un altro, evitando fenomeni di lock-in, ovvero il blocco all’interno di un servizio, e promuovendo di conseguenza la libera circolazione dei dati, favorendo altresì la concorrenza tra i titolari del trattamento. Dall’altro lato vi è invece la volontà di rafforzare la posizione del soggetto interessato, riconoscendogli un maggiore potere di controllo e di gestione sui propri dati personali. Quindi questo diritto non si limita ad aumentare il controllo dell’interessato sui suoi dati, rafforzando in questo modo i diritti individuali in un ambiente digitale dove lo sfruttamento commerciale dei dati personali è all’ordine del giorno, ma favorisce anche la libera circolazione dei dati personali stimolando l’economia digitale, promuovendo la concorrenza tra aziende e l’innovazione e lo sviluppo di nuovi servizi.

Attraverso il diritto alla portabilità dei dati l’interessato può facilmente spostare un contratto di servizi da un gestore ad un altro gestore, senza dover fornire nuovamente tutti i suoi dati, ma solo attraverso la richiesta al vecchio gestore di trasferire i dati personali al nuovo titolare. In tal senso, la norma rafforza il principio che i dati appartengono alla persona, anche quando siano in possesso di altri soggetti, e che la persona deve poter decidere in piena autonomia l’uso che viene fatto degli stessi.

Il diritto in questione si applica a tutti i soggetti che trattano dati personali elettronicamente, a prescindere dal tipo di servizio offerto e dalle dimensioni dell’impresa; tutte le imprese che trattano dati personali devono consentire ai propri utenti la portabilità dei loro dati.

(27)

27

 che i dati personali siano trattati sulla base del consenso preventivo dell’interessato, oppure in esecuzione di un contratto di cui l’interessato è parte;

 che il trattamento sia effettuato con strumenti digitali.

L’art. 20 del GDPR esclude espressamente la portabilità quando il trattamento è “necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”. L’esercizio di questo diritto “non deve ledere i diritti e le libertà altrui” 27

, e il trasferimento dei dati personali non deve pregiudicare altri diritti previsti dal GDPR, come quello di accesso, rettifica e cancellazione.

Il diritto alla portabilità si esercita su dati personali che riguardano un soggetto, e che siano stati “forniti”28

dallo stesso interessato a un titolare del trattamento. Da come si evince questo diritto è limitato ai soli dati personali e quindi non si applica ai dati anonimi.

Il termine “forniti”, secondo l’interpretazione del Gruppo Articolo 29, deve essere inteso in senso ampio, per cui il diritto non si limita ai soli dati personali comunicati dall’interessato al titolare del trattamento (es. indirizzo mail), ma si estende anche ai dati personali generati dalle attività online dell’interessato (es. dati di localizzazione, cronologia delle ricerche, il battito cardiaco registrato da un dispositivo…). Non sono invece compresi i dati generati dal titolare e da lui raccolti, né i dati ottenuti da terzi. “È, questa, una condizione specifica del diritto alla portabilità, che non trova riscontro

27

Art. 20 (4) GDPR. 28

(28)

28

negli altri istituti affini come i diritti di accesso, rettifica e cancellazione” 29

, dove ad esempio, il diritto alla cancellazione, o diritto all’oblio, si applica a qualunque dato in possesso del titolare del trattamento, a prescindere dalla sua provenienza (art. 17 del GDPR).

Il titolare del trattamento deve fornire all’interessato una copia dei dati in un formato strutturato, di uso comune e leggibile da un dispositivo automatico. Il

considerando 68 del GDPR riprende il testo dell’art. 20 e chiarisce che tale

formato deve essere “interoperabile”, in modo che sia possibile trasferire dati e informazioni da un sistema, un’applicazione o un dispositivo a un altro, e utilizzarli su ciascuno di essi. Per la prima volta viene introdotto un obbligo di adozione di formati interoperabili nella gestione dei dati.

Per garantire questo diritto i titolari devono informarne gli interessati, fornendo loro un’adeguata comunicazione sull’argomento, nel rispetto di quanto stabilito dagli artt. 13 e 14 del GDPR. Quindi quando un interessato decide di esercitare il diritto alla portabilità dei dati personali, il titolare del trattamento dovrà adempiere a quanto richiesto e fornire al richiedente gratuitamente tutte le informazioni relative all’azione intrapresa, con una tempistica ragionevole. Gli eventuali ostacoli tecnici dovranno essere comunicati e spiegati all’interessato, in quanto potrebbero determinare un rifiuto alla richiesta.

Il diritto alla portabilità agisce anche sulla struttura del mercato, condizionando le dinamiche concorrenziali. Dal punto di vista del consumatore favorisce la riduzione dei costi di switching, ovvero gli impedimenti che il consumatore incontra quando intende passare da un fornitore di servizi a un altro, invece dal punto di vista dell’impresa il diritto alla portabilità favorisce la riduzione delle barriere all’entrata.

Quale concetto emergente del diritto europeo, la portabilità dei dati va configurandosi come uno dei pilastri del mercato unico digitale.

29 M. Borghi, Portabilità768; dei dati e regolazione dei mercati digitali, Il Mulino - Rivisteweb, 2018, pag. 230.

(29)

29

2.1.3 Il diritto all’oblio.

Il diritto all’oblio, inizialmente riconosciuto soltanto a livello giurisprudenziale sia in campo europeo che nazionale, con l’entrata in vigore del GDPR riceve un’espressa regolamentazione che ne indica portata e limiti.

Esso prima della sua esplicita regolamentazione, è stato più volte portato all’attenzione dei giudici e, prima la Corte di Giustizia a livello europeo, poi la Cassazione a livello nazionale, hanno tracciato a grandi linee la stessa disciplina che adesso si trova all’interno del GDPR.

Questo diritto può essere definito come l’interesse di un singolo ad essere dimenticato: infatti consiste nella cancellazione dei propri dati personali e nella richiesta che tali informazioni non siano più oggetto di trattamento. In particolare, qualora si rientri nell’ambito di un trattamento online, tale diritto si realizza attraverso la rimozione dei contenuti, dalle varie pagine web, di precedenti informazioni. Quindi il diritto all’oblio consiste nel diritto alla cancellazione dei dati personali di una persona fisica, esteso e regolato anche con riferimento alla società digitale.

Il diritto in questione, oggi, è dunque disciplinato all’art.17 del Regolamento (UE) 2016/679 intitolato “Diritto alla cancellazione (“diritto all’oblio”).

Già dal preambolo del GDPR si comprende l’importanza dell’istituto in quanto vi vengono dedicati tre considerando 30.

Il diritto all’oblio quale diritto alla cancellazione dei dati personali, ove ricorra di una delle condizioni previste dal GDPR, dà facoltà ai soggetti interessati di esigere la cancellazione dei propri dati personali da parte del titolare del trattamento, il quale ha l’obbligo di attivarsi alla rimozione di tali dati, senza ingiustificato ritardo.

30

(30)

30

Nella fattispecie l’interessato può richiedere la cancellazione dei propri dati personali quando:

 i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati;

 l’interessato revochi il consenso al trattamento dei dati oppure quando il periodo di conservazione degli stessi sia trascorso e quindi non vi siano altri legittimi motivi per proseguire il trattamento;

 l’interessato si oppone al trattamento dei dati personali;

 i dati siano stati trattati illecitamente.

Il GDPR insiste sul dovere specifico del titolare del trattamento che riceva una richiesta di cancellazione, il quale ha l’obbligo di cancellare i dati, ma anche di comunicare la richiesta di cancellazione agli altri titolari che stiano trattando quelle informazioni. Infatti al paragrafo 2 dell’art. 17 si dispone che il titolare deve anche, “tenuto conto della tecnologia disponibile e dei costi di attuazione”, adottare “misure ragionevoli, anche tecniche” per informare della richiesta che gli è stata fatta anche gli altri titolari che stanno utilizzando i dati in questione.

L’obiettivo della disposizione è quello di interrompere definitivamente ogni trattamento relativo a quei dati e di impedirne un futuro utilizzo, quindi è necessario che sia eliminato qualsiasi link, copia o riproduzione dei dati oggetto della richiesta, affinché il diritto dell’interessato non venga eluso dai vari titolari in possesso di quelle informazioni.

(31)

31

Anche se si tratta di un’innovazione importante, che coinvolge tutta la società digitale nella tutela dei diritti dell’interessato, la delicatezza della questione però meriterebbe disposizioni più tassative e meno discrezionali.

In una società che promuove la trasparenza e quindi la conoscenza degli atti, delle delibere e di ogni altra informazione utile ai cittadini da parte delle Pubbliche Amministrazioni, i casi in cui un titolare renda pubblici i dati di un soggetto sono infatti destinati ad aumentare, e la stessa pubblicità del dato comporta che esso possa essere trattato da altri, che assumono in questo modo la veste di titolari. Quindi la richiesta di cancellazione non può essere adeguatamente soddisfatta solo dal titolare al quale è stata rivolta, ma devono essere contattati e informati a riguardo anche gli altri titolari in possesso dei dati oggetto della richiesta. Non spetta al titolare a cui è stata rivolta la richiesta verificare quale sarà il comportamento degli altri titolari, ma questi ultimi valuteranno la richiesta dell’interessato al fine di stabilire se sussiste o meno il dovere di accoglierla.

La norma così configurata presenta comunque ancora un ampio margine di discrezionalità.

Il diritto all’oblio può però essere limitato o impedito nel caso in cui il trattamento dei dati sia necessario:

 per l’esercizio del diritto alla libertà di espressione e di informazione;

 ai fini di archiviazione, di ricerca storica o scientifica o di analisi statistica, (in questo caso i dati potranno essere utilizzati una volta resi anonimi

(32)

32

 per motivi di interesse pubblico generale di tutela della salute pubblica;

 per l’adempimento di un obbligo di legge o per l’esecuzione di un compito svolto nel pubblico interesse o nell’esercizio dei pubblici poteri.

2.1.4 Il data breach, ovvero la violazione dei dati personali.

Per violazione dei dati personali si intende qualsiasi trattamento illegittimo dei dati personali relativi a persone fisiche, violazione che comporta, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati. Quindi potrà essere qualificato come data breach sia un accesso abusivo ai dati di un sistema informatico, ma anche qualsiasi accesso ai dati personali che sia illegittimo e rilevante, nonché ogni evento che determini l’illegittima divulgazione o modifica, oppure la perdita della disponibilità dei dati personali trattati. La violazione dei dati personali può compromettere la riservatezza, l’integrità o la disponibilità dei dati stessi.

Esempi pratici di data breach si ravvisano:

 nell’accesso o nell’acquisizione dei dati da parte di terzi non autorizzati, come un attacco hacker, che costituisce una delle principali cause di violazione di dati personali;

(33)

33

 nel furto o nello smarrimento di dispositivi informatici contenenti dati personali non adeguatamente protetti (es. un driver portatile);

 nell’impossibilità di accedere ai dati personali per cause accidentali o per attacchi esterni come i virus;

 nella perdita o distruzione di dati personali a causa di calamità naturali come incendi, allagamenti o altri eventi fortuiti;

 nella divulgazione non autorizzata dei dati personali.

Il Gruppo Articolo 29 distingue tre macro-categorie di data breach:

1. Confidentiality Breach, in caso di accesso accidentale/abusivo ai dati personali;

2. Availibility Breach, se vi è una perdita/distruzione accidentale o non autorizzata di dati personali;

3. Integrity Breach, se siamo in presenza di alterazioni accidentali o non autorizzate dei dati personali.

Queste tre distinzioni di violazione dei dati personali servono per costituire un processo per la valutazione del data breach, ovvero la valutazione del rischio effettivo a cui sono esposti i dati personali, e quindi degli impatti nel caso in

(34)

34

cui si verificasse una particolare violazione, calcolato in base alle misure di sicurezza adottate sui sistemi e sulla tipologia dei dati trattati.

Il data breach è disciplinato agli artt. 33 e 34 del Regolamento (UE) 2016/679 e i considerando 85, 86, 87 e 88 sono dedicati proprio a questo istituto.

L’art. 33 del GDPR prevede che il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro settantadue ore dal momento in cui ne è venuto a conoscenza, qualora si verifichi una violazione dei dati personali deve notificare la violazione al Garante per la protezione dei dati personali a meno che sia improbabile che la violazione comporti un rischio per i diritti e le libertà delle persone fisiche. Le notifiche al Garante effettuate oltre il termine delle settantadue ore devono essere corredate dei motivi del ritardo.

La notifica di data breach all’Autorità di controllo deve contenere una dettagliata ricostruzione della violazione avvenuta, accompagnata dalla descrizione delle cause che l’hanno determinata, oltre che dalla indicazione delle misure che il titolare del trattamento aveva adottato per evitare proprio la violazione dei dati personali. Inoltre la notifica deve contenere la stima delle possibili conseguenze pregiudizievoli per gli interessati coinvolti dalla violazione, nonché l’indicazione delle misure adottate per contenere e mitigare tali conseguenze pregiudizievoli.

La notifica deve essere inviata al Garante tramite posta elettronica certificata all’indirizzo protocollo@pec.gpdp.it e l’oggetto della mail deve contenere la dicitura “NOTIFICA VIOLAZIONE DATI PERSONALI”.

L’art. 34 del GDPR prevede che se la violazione comporta un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento dei dati personali ha l’obbligo di comunicare l’avvenuta violazione a tutti gli interessati, senza ingiustificato ritardo e con un linguaggio semplice e chiaro;

(35)

35

tutto questo per cercare di ridurre le possibili conseguenze pregiudizievoli derivanti dalla violazione.

Il titolare del trattamento dovrà in ogni caso documentare le violazioni di dati personali subite, anche se non notificate, ad esempio predisponendo di un apposito registro delle violazioni, strumento rilevante per soddisfare anche il principio di accountability.

Soltanto il titolare del trattamento che abbia predisposto valide misure di sicurezza, sulla base di valutazioni ispirate da competenza, buona fede e trasparenza, sarà in grado di cooperare efficacemente con l’Autorità di controllo, qualora si verifichi una violazione dei dati personali. Infatti un’impresa o un ente pubblico che subiscono un data breach, potranno essere ritenuti esenti da provvedimenti e sanzioni, soltanto se sarà giudicata adeguata la policy o modello organizzativo privacy adottato in precedenza.

Nei contesti aziendali, nonché negli enti pubblici, è fondamentale predisporre di un modello organizzativo della privacy e della protezione dei dati personali ben strutturato, che preveda un’ efficace procedura da attivare nell’eventualità in cui si verifichi un data breach, coinvolgendo i vari soggetti del trattamento dei dati. Uno dei soggetti coinvolti, qualora l’azienda ne sia dotata, è il Data

Protection Officer che dovrà analizzare e valutare l’accaduto, e dovrà

supportare il titolare del trattamento dei dati personali, fornendogli consulenza con riguardo alla normativa in vigore e alle misure più opportune da adottare. In particolare il DPO ha la delicata funzione di supportare il titolare del trattamento nella scelta di notificare o meno la violazione dei dati personali al Garante e ai diretti interessati.

Non tutti i tipi di violazione devono essere notificati, ma solamente quelli che possono avere conseguenze significative sugli individui, come la perdita del controllo sui propri dati personali, la discriminazione, il furto d’identità, la perdita di riservatezza dei dati personali protetti dal segreto professionale, una perdita finanziaria, un danno alla reputazione e qualsiasi altro significativo

(36)

36

danno economico o sociale. Quindi, ai sensi dell’art. 33 del GDPR, il titolare del trattamento dovrà essere in grado di documentare gli elementi concreti su cui fonda l’eventuale valutazione di “archiviare” un data breach, perché in grado di ritenere l’insussistenza di rischi effettivi per i diritti degli interessati, eventualmente grazie alle misure preventive precedentemente poste in essere. Vista e considerata la difficoltà delle valutazioni e delle scelte da compiere in caso di una violazione, possono essere utilizzati degli strumenti in grado di facilitare tali scelte; ad esempio l’Autorità di controllo britannica ICO 31

ha predisposto uno strumento di self-assessment per agevolare la comprensione di quando notificare una violazione ex art. 33 del GDPR, corredato di domande a risposta multipla che consentono di velocizzare le valutazioni da compiere. Qualora si verificasse una violazione dei dati che presenti i requisiti per poter essere notificata e il titolare del trattamento non si attivi per segnalarla ed avviare di conseguenza la procedura di notificazione, si auto-esporrebbe sia alle importanti sanzioni previste per la violazione del GDPR, sia alle eventuali richieste di risarcimento del danno da parte dei singoli interessati.

L’art. 83 del Regolamento (UE) 2016/679, rubricato “Condizioni generali per infliggere sanzioni amministrative pecuniarie”, dispone di una serie di criteri che l’autorità di controllo dovrà osservare nell’eventuale applicazione delle sanzioni, tra questi, alcuni riguardano la valutazione delle condotte poste in essere in riferimento ad un data breach. In questo caso “sono previste sanzioni pecuniarie che possono arrivare fino a dieci milioni di Euro, o nel caso di imprese, fino al 2% del fatturato totale annuo mondiale”. 32

31

Information Commissioner’s Office. 32

Riferimenti

Documenti correlati

ai sensi dell’art. 101/2018, verificata la conformità al Regolamento delle disposizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali a

ore 15:30 - La normativa italiana ed europea sulla tutela dei dati personali nel mondo di internet: panoramica generale e il difficile coordinamento con i diritti della persona e

I dati forniti con questo modello verranno trattati dall’Agenzia delle Entrate per le attività connesse all’esercizio dell’opzione relativa agli interventi di recupero del

L’interessato è la persona fisica alla quale si riferiscono i dati trattati. L’interessato è quindi il soggetto “proprietario” dei dati personali e su questi conserva dei diritti

Conserveremo i tuoi dati personali per il periodo massimo necessario ad adempiere gli obblighi di legge e regolamento o per un diverso termine identificato

Non è possibile rispondere in generale. In diversi casi, anche con un personal computer possono essere effettuati delicati trattamenti rispetto ai quali il titolare ha il dovere

Se i dati sono trattati per esercitare il diritto di difesa in sede giurisdizionale, ciò può avvenire anche prima della pendenza di un procedimento, sempreché i dati medesimi

Qualora si verifichi una violazione di dati personali e dalla stessa possa derivare un pregiudizio ai dati personali o alla riservatezza di un contraente o di