126
CAPITOLO III
La protezione dei dati personali all’interno della rete.
3.1. Dalla nozione di riservatezza alla tutela della persona in Internet.
La nozione giuridica di riservatezza compare per la prima volta nel 1881 in un articolo di Samuel D. Warren e Louis D. Brandies pubblicato sulla Harvard law Review, nel quale si chiedeva ai Tribunali di prendere in considerazione il right to
privacy che, nell’intenzione dei due autori, indicava il diritto di
godere della vita privata.
La rivendicazione per Warren nasceva dall’aver constatato a sue spese quanto già la società del suo tempo fosse dominata dal bisogno di informazioni e sottoposta al controllo dei mezzi di comunicazione. Infatti, dopo il matrimonio con la figlia del
127
senatore Bayard, la vita mondana e lussuosa condotta dalla coppia aveva attirato l’attenzione e la critica dei giornali ,le cui indebite invasioni nella vita della stessa si erano tradotte in attentati alla libertà.127128
Il dibattito sul diritto alla riservatezza si sviluppò a livello dottrinale, giurisprudenziale e legislativo dopo l’approvazione da parte dell’Assemblea delle Nazioni unite a San Francisco della Dichiarazione Universale dei diritti dell’uomo il 10 dicembre 1948 e la Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali il 4 novembre 1950:l’una all’art. 12 vietò il c.d. l’”arbitrary interference with
privacy” cioè le interferenze nella vita privata; l’altra all’art. 8
sancì il diritto di ogni persona al rispetto della sua vita privata e familiare.
Questi due interventi giuridici dettero consacrazione formale alla riservatezza, quale diritto di libertà attribuito all’uomo sia come singolo, sia all’interno delle formazioni sociali in cui si svolge la sua personalità. 129
127
D.FLAHERTY, Protecting Privacy in Surveillance Societas, University of North Carolina Press, Chapel Hill, 1989.
128
A.F.WESTIN, Privacy and Freedom, Atheneum, New York, 1967.
129
G. SARTORI, Tutela della personalità e normativa per la
128
Nell’evoluzione caratterizzante tale diritto si distinguono due momenti significativi che hanno il loro spartiacque negli anni sessanta. Prima di tale momento e cioè fino alla prima metà del secolo scorso, la privacy riguardava solo casi singoli ed eccezionali, per lo più legati a posizioni sociali di rilievo, come nel caso Warren. Successivamente, l’esigenza di protezione della sfera della riservatezza si manifestò a livello sociale, inducendo gli Stati industriali a farsene carico. Infatti, il progresso tecnologico da un lato e il bisogno di dosare gli interventi pubblici per ridurre la spesa pubblica dall’altro, aveva spinto il potere politico a immagazzinare in modo automatizzato un’enorme quantità di informazioni, creando conseguentemente un certo allarme sociale. 130
Da un lato infatti, con l’introduzione dell’elaboratore elettronico si era reso possibile accumulare un’enorme quantità di dati in uno spazio ridottissimo, attraverso la loro archiviazione nella memoria di un nastro magnetico, ridurre sensibilmente il tempo impiegato per il reperimento di informazioni e consentire l’elaborazione automatica dei dati anche a distanza. Con l’avvento “dell’intelligenza artificiale”, che taluno ha definito come una protesi elettronica
130
R.PARDOLESI, Diritto alla riservatezza e circolazione dei
129
dell’intelligenza umana, l’accesso a qualsiasi informazione era divenuto estremamente facile.131132
Di questa facilitazione hanno usufruito i governi che, compressi tra l’esigenza di ridurre la spesa pubblica per far fronte alla crisi economica e la sempre maggiore domanda di stato assistenziale, si sono avvalsi delle informazioni acquisite in modo automatizzato per individuare gli interventi pubblici strettamente necessari.
Questa crescente ingerenza del potere pubblico nella sfera privata dei cittadini ha a sua volta ingenerato una domanda di riservatezza a cui si è dato risposta con i primi interventi legislativi. Primo fra tutti quello tedesco sulla protezione dei dati limitatamente all’ambito del controllo sugli atti e procedimenti della pubblica amministrazione nel Land dello Hesse, approvato il 7 ottobre 1970. Esso ebbe il merito di regolare la materia della riservatezza in ordine all’uso dei centri di informazione elettronica gestiti dalle pubbliche autorità dello Hesse e di istituire un apposito organo di sorveglianza, il
Datenschtzauftragter o Commissario per la protezione dei dati.
131
V. FROSINI, L’informatica, il diritto alla riservatezza e la
democrazia elettronica in Amministrazione e politica, 1985, p.
51.
132
R.PARDOLESI, Diritto alla riservatezza e circolazione dei
130
La prima legge completa sulla protezione dei dati e sul controllo delle banche dati pubbliche e private fu approvata dal Parlamento svedese l’11 maggio 1973; 133 poco dopo il Senato e il Congresso degli Stati Uniti approvarono il Privacy Act.
Altro momento significativo nell’evoluzione del diritto alla riservatezza, quale determinatosi a seguito delle innovazioni tecnologiche, è rappresentato dal suo ingresso nelle Costituzioni dei diversi Stati, come la Costituzione portoghese del 1977 e quella spagnola del 1978.
Contemporaneamente si assistette ad una proliferazione delle leggi nazionali in materia di dati personali: dalla “legge relativa all’informatica, agli archivi e alle libertà” approvata in Francia nel 1978, alla “legge sui registri privati” approvata in Danimarca e seguita da quella sui registri pubblici; alla “legge sui registri di dati personali” approvata in Norvegia; a quella “sulla protezione dei dati personali” approvata in Austria nel 1979; a quella “per regolare l’utilizzazione dei dati nominativi
133
E. GIANNANTONIO, Il nuovo disegno di legge sulle
131
nei trattamenti informatici” approvata nel 1979 nel Granducato di Lussemburgo.134
Ben presto ci si rese conto che gli sforzi dei legislatori nazionali potevano essere vanificati trasferendo i dati personali all’estero. Si fece pertanto sentire l’esigenza di una disciplina omogenea che riducesse al minimo la possibilità di formazione di paradisi informatici.
In quest’ottica deve essere letto il progetto di convenzione concernente “la protezione delle persone riguardo al trattamento automatizzato dei dati a carattere personale” approvato il 22 settembre 1980. Esso recepiva le risoluzioni del 1973 e 1974 che stabilivano standard minimi per la protezione della riservatezza rispetto alle informazioni contenute nelle banche dati elettroniche, ma che avevano il valore di mere raccomandazioni e dunque non erano vincolanti per i governi nazionali. Questo limite viene superato dal progetto di convenzione del 1980 che ha il merito di aver ricompreso il diritto alla riservatezza tra i diritti umani e la libertà di circolazione delle informazioni fra i popoli, intesa sia come
134
V.FROSINI, Banche dati e tutela della persona in Banche
dati e tutela della persona, Documenti di lavoro della Camera
132
libertà di informare e di essere informati, tra le libertà fondamentali. 135
La novità introdotta dalla convenzione, tenuto conto che già gli accordi di Helsinki del 1 agosto 1975 ricomprendevano la libertà di informazione tra i diritti umani, è quella di aver arricchito quest’ultima di un nuovo contenuto rappresentato dalla libertà informatica.
La Convenzione entrò in vigore il 1 ottobre 1985 e vide l’adesione di numerosi Stati già dal 18 gennaio 1981, con l’esclusione dell’Italia che si protrasse fino all’approvazione della legge n. 98 del 1989, per non avere adottato le misure necessarie a garantire la protezione dei dai al momento dell’entrata in vigore della Convenzione medesima.
Allora il quadro legislativo italiano in materia di libertà informatica era del tutto insufficiente, anche a causa della mancata conversione di diversi progetti di legge.
Tra questi, quello approvato dal senato nella seduta del 27 giugno 1967, di riforma del testo unico delle leggi di pubblica sicurezza, che all’art. 5 vietava la schedatura dei cittadini, senza però fare alcun riferimento all’impiego di elaborati elettronici, poi oggetto del progetto di legge sul nuovo
135
M.G. LOSANO, Il diritto pubblico dell’informatica, Torino, 1986.
133
ordinamento dell’amministrazione della pubblica sicurezza, discusso alla Camera nel luglio 1980. 136
Da ricordare anche il progetto “Mirabelli”, mai convertito in legge, contenente una disciplina uniforme per qualunque tipo di banca dati e che prevedeva:
un regime generale di notificazione esteso ai dati concernenti le persone giuridiche; la nomina di un responsabile per ciascuna banca dati; l’istituzione di un ufficio centrale di controllo preposto a una tutela amministrativa concorrente con quella affidata alla magistratura ordinaria; alcune regole sostanziali sulla elaborazione e la comunicazione dei dati oltre frontiera.
L’unico intervento legislativo, ma insufficiente a regolare la libertà informatica, è rappresentato dalla legge 121/1981, che prevede un obbligo di notifica per chiunque detenga archivi magnetici contenenti dati su cittadini italiani.
Ad oggi la tutela dei dati personali è affidata al d.lgs 196/2003 (c.d. Codice della privacy) che abroga la precedente legge 675/96, introdotta per rispettare gli Accordi di Schengen ed entrata in vigore nel maggio 1997. Il merito di quest’ultima
136
V. FROSINI, Informatica diritto e società, Milano, 1992, p. 178.
134
legge è quello di avere introdotto in Italia la cultura della riservatezza fino ad allora inesistente. 137
Tuttavia, emerse molto presto che, pur non trattandosi di una legge “da rifare”, questa dovesse essere migliorata. Le critiche più ricorrenti ad essa sollevate riguardavano sia la poca chiarezza, sia i troppi adempimenti burocratici richiesti ai titolari delle banche dati, sia il carattere troppo pesante delle sanzioni previste in caso di violazioni. Non ultimo, il problema di armonizzare i principi della tutela dei dati personali con una realtà tecnologica da cui non si può prescindere. 138
Con il tempo, a tale legge si sono affiancate numerose altre disposizioni concernenti specifici aspetti del trattamento dei dati e che sono state conglobate nel Testo Unico vigente, entrato in vigore il 1º gennaio 2004.
Il codice della privacy si inserisce in un quadro comunitario rappresentato dalla direttiva n. 46/95 e n. 66/97, di cui la prima applicabile a qualsiasi trattamento dei dati personali a prescindere dai mezzi tecnici utilizzati; la seconda solo al trattamento di dati personali effettuato nel corso della fornitura
137
Codice in materia di protezione dei dati personali in https://it.wikipedia.org/wiki/Codice_in_materia_di_protezione_ dei_dati_personali.
138
M. CAMMARATA, La legge e la rete, Pescara, 2008, pp.229 ss.
135
di servizi di telecomunicazione, accessibili al pubblico su apposite reti, tra i quali astrattamente rientrano i servizi
internet.
L’applicabilità della seconda Direttiva non è però così pacifica con riferimento alla diffusione di notizie mediante pagina web. La questione è diversamente risolvibile a seconda che si ritenga o meno tale attività ricompresa tra i servizi di telecomunicazione, intesi come servizi di trasmissione ed inoltro di segnali su reti di telecomunicazione, secondo la definizione fornita dall’art. 2, lett. d), della direttiva n. 66/97.
Quest’ultima inoltre non è applicabile a determinati soggetti
internet e cioè ai titolari dei siti, limitandosi questi a stabilire
quali contenuti immettere, senza svolgere direttamente alcun tipo di operazione che comporti la trasmissione o l’inoltro dei dati sulle reti di telecomunicazione.
La direttiva n. 66/97 è invece applicabile ai fornitori di hosting, cioè di spazio web, i quali mettono a disposizione della clientela una certa quantità di memoria per l’archiviazione on
line di informazione. 139
139
Gruppo Europeo dei garanti per la privacy, Documento di
lavoro, Trattamento dei dati personali su Internet, adottato il
136
Per ovviare ai limiti di applicazione di tale direttiva alla nuova realtà di internet, nel 1999 la Commissione europea ha adottato una comunicazione rivolta al Consiglio e al Parlamento europeo con cui ha espresso l’intenzione di adottare una direttiva quadro per le reti e i servizi di comunicazione elettronica, 140 associata a quattro direttive specifiche, riguardanti:
le licenze e le autorizzazione,141 l’accesso e l’interconnessione,
142
il servizio universale, 143 la tutela dei dati nel settore delle comunicazioni elettroniche.
La volontà espressa dalla Commissione di adeguare la direttiva n. 66/97 alla sempre maggiore espansione delle comunicazioni elettroniche è sfociata nell’emanazione della Direttiva n. 58/2002. 144
Tale aspettativa è stata però in parte disattesa, poiché la Direttiva n. 58/2002 non ha innovato in modo significativo con riguardo ai già esistenti criteri di individuazione del soggetto fornitore dei servizi di comunicazione elettronica. Il titolare del
140
Successivamente adottata come Direttiva 2002/21/CE
141
Successivamente adottata come Direttiva 2002/20/CE
142
Successivamente adottata come Direttiva 2002/19/CE
143
Successivamente adottata come Direttiva 2002/22/CE
144
S. VIGLIARI, Privacy e comunicazioni elettroniche: la
137
sito web ha dunque continuato ad essere un semplice abbonato ad un servizio di telecomunicazione, offerto dal provider ossia dal fornitore di servizi internet.
3.2.La tutela della persona in Internet in base al D.lgs 196/2003.
Nello scenario comunitario rappresentato dalle direttive n. 46/95, n. 66/97 e n. 58/02, si inserisce il d.lgs 196/2003 che ad oggi rappresenta l’unica fonte in materia di tutela dei dati personali, dovendosi intendere con tale espressione qualunque informazione relativa a persona fisica, giuridica o ente, incluse quelle contenute nelle banche dati.
Ad aprire un varco a questo intervento legislativo è stata anche l’evoluzione della giurisprudenza, che ha avuto inizio negli anni cinquanta e che ha fatto della riservatezza un diritto avente un fondamento indiretto nella Costituzione. 145
Si suole infatti fare riferimento, oltre all’art. 2 Cost., a tutti quegli articoli che tutelano la libertà della persona dalle ingerenze altrui nella propria sfera di intimità, come gli artt. 13, 14, 15, 19, 22, 24, 29, 32 cost.. In qualunque modo si voglia configurare la riservatezza, ora come diritto unitario, ora come
145
138
insieme di interessi costituzionalmente garantiti,146 il suo contenuto tende sempre ad atteggiarsi come potere di controllo sulla circolazione delle proprie informazioni personali e quindi come diritto al corretto trattamento dei dati personali.
Anche la Corte costituzionale ci conferma che il nucleo centrale della riservatezza è costituito proprio da tale potere di controllo, avente ad oggetto sia le informazioni che le modalità con le quali vengono trattate. 147
Il Codice in materia di protezione dei dati personali tende a tutelare in modo organico il loro trattamento, introducendo una disciplina che riconosce una serie di diritti alle persone fisiche e a quelle giuridiche relativamente ai propri dati, regolando in modo analitico “caratteristiche, limiti, modalità di esercizio,
garanzie, forme di tutela in sede amministrativa e giurisdizionale”. 148
Tale legislazione sul trattamento dei dati personali è ispirata alla tutela di un valore sommo, quale è la dignità dell’interessato, ai sensi dell’art. 3, primo comma, prima parte e dell’art. 2 della Costituzione, rispetto al quale le operazioni di
146
A. PACE in A.PACE, M. MANETTI, Art. 21. La libertà di
manifestazione del proprio pensiero, P. 145 ss., Bologna, 2006,
p. 145.
147
Corte cost., sentenza n. 271 del 2005.
148
139
trattamento sono potenzialmente lesive. Ciò può infatti accadere ogni qualvolta dal loro accostamento, comparazione, esame, analisi, rapporto o incrocio è possibile ricavare un valore aggiunto informativo, non estraibile dai dati isolatamente considerati. 149
Il Codice della privacy entrando nel merito del diritto alla riservatezza nel contesto di internet, introduce il principio di necessità (art. 3), per cui i sistemi informativi e i programmi informatici debbono essere configurati riducendo al minimo l’utilizzazione di dati personali e identificativi.
Questi cioè debbono essere utilizzati solo se indispensabili per il raggiungimento di finalità consentite e non anche quando queste possono essere realizzate con dati anonimi.
Il principio di necessità, che va ad integrare il principio di pertinenza e non eccedenza dei dati trattati già operante nella vigenza della legge n. 675/1996, diventa dunque una regola generale, sebbene non specificatamente sanzionata. 150
Se i dati personali sono detenuti all’estero, l’applicabilità o meno del Codice è subordinata al principio comunitario del
149
Cass. civ., sez. I, sent. n.11864 del 2004.
150
Relazione parlamentare di accompagnamento al teso del “Codice in materia di protezione dei dati personali” in Raccolta atti dei lavori Parlamentari, Roma, 2003.
140
luogo di stabilimento del titolare, ossia della sua attività economica. Se questo si trova nel territorio dello stato, il trattamento dei dati sarà soggetto al d.lgs 196/2003.
Tale criterio si sostituisce al precedente che aveva riguardo “a
qualunque trattamento effettuato nello Stato”, determinando
così una restrizione dell’ambito di applicazione della legge, risultando necessaria una stabile organizzazione.
Per i trattamenti effettuati nei Paesi terzi, ma che impiegano strumenti anche non elettronici situati in Italia, si applica la legge italiana, secondo il principio dell’ubicazione territoriale degli strumenti utilizzati, già introdotto dal d.lgs 467/2001. 151
Come emerge dalla relazione del governo al d.d.l. n. 1580, presentato alla Camera il 20 giugno 1996, con il Codice della
privacy “si sono operate scelte innovative rispetto alle tradizionali forme di tutela”, che riguardano anche le modalità
del trattamento e i requisiti dei dati. 152
151
L.DANIELE, Diritto del mercato unico europeo,Milano, 2012.
152
Relazione del governo al d.d.l. n. 1580, presentato alla Camera il 20 giugno 1996 (tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) in Camera dei deputati (a cura della), Banche dati e tutela della riservatezza, n. 14, Roma, 1996, 52.
141
La principale novità è contenuta all’art. 11, secondo comma, che sancisce il principio dell’inutilizzabilità dei dati trattati in violazione del Codice, come conseguenza automatica di un provvedimento del Garante o dell’Autorità giudiziaria che accerta la violazione, anche se non disposta. Il nuovo codice conferma la distinzione fra misure di sicurezza idonee e preventive (art. 31) e misure minime (art.33), con le medesime conseguenze previste dalla L. 675/1996. 153
La violazione delle prime genera una responsabilità civile ai sensi dell’art. 15 e obbliga al risarcimento ai sensi dell’art. 2050 c.c..
La loro scelta è rimessa alla discrezionalità del titolare, che dovrà comunque tenere conto delle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, così da ridurre al minimo i rischi di distruzione o perdita, o di accesso non autorizzato.
Tali misure sono imposte dall’art. 32 - che recepisce l’art.4 della Direttiva 2002/58/CE - anche ai fornitori di un servizio di comunicazione elettronica accessibile al pubblico, che debbono adeguarle al rischio esistente.
153
G. CORASANTI, Esperienza giuridica e sicurezza
142
Lo scopo è quello di salvaguardare la sicurezza dei suoi servizi, l’integrità dei dati relativi al traffico, di quelli relativi all’ubicazione e delle comunicazioni elettroniche, rispetto ad ogni forma di utilizzazione o cognizione non consentita.
Il fornitore del servizio di comunicazione elettronica deve adottare tali misure insieme al fornitore della rete pubblica di comunicazione, ogni qual volta la sicurezza del servizio o dei dati personali richiede anche l’adozione di misure che riguardano la rete.
Sul fornitore del servizio di comunicazione grava l’obbligo di informare gli abbonati e, ove possibile, anche gli utenti, del rischio di violazione della sicurezza della rete, specificando se questo è al di fuori dell’ambito di applicazione delle misure che è tenuto ad adottare, i possibili rimedi e i relativi costi presumibili. La violazione delle misure minime invece determina una responsabilità penale punita con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro ed è prevista la procedura del ravvedimento operoso. 154
154
R.BORRUSO, G: BONUOMO, G. CORASANITI, G. D’AIETTI, Profili penali dell’informatica, Milano, 1994; C. SARZANA di S.IPPOLITO, Informatica e diritto penale, Milano, 1994.
143
Esse sono elencate dal Codice ed esplicitate nell’Allegato B e devono essere obbligatoriamente adottate nei casi di trattamento di dati personali effettuato con strumenti elettronici (art. 34).
È innanzitutto previsto un sistema di autenticazione informatico, che consente un’identificazione certa dell’utente e che può prevedere anche il ricorso ad una password.
Le credenziali di autenticazione sono individuali e consistono in un codice per l’identificazione (c.d. account) associato ad una parola chiave, oppure in un dispositivo di autenticazione (es. badge, smart card) eventualmente associato a un codice identificativo o ad una parola chiave, oppure, in una caratteristica biometrica anch’essa eventualmente associata a una password o a un codice identificativo. La password deve essere composta da 8 caratteri, non deve contenere riferimenti facilmente riconducibili all’incaricato, deve essere da lui modificata al primo utilizzo e successivamente ogni sei mesi (punto 5 dell’Allegato B).
Alla fase dell’autenticazione segue quella di autorizzazione con cui il sistema concede a un utente precedentemente identificato, l’accesso a determinati dati o programmi in funzione del suo profilo stabilito dal responsabile (art. 34, lett. c).
144
Il punto 16 dell’Allegato B prescrive l’adozione di programmi antivirus al fine di proteggere i dati contro il rischio di intrusione, da aggiornarsi con cadenza annuale e semestrale per i dati sensibili o giudiziari. Per gli esperti del settore si tratta di aggiornamenti sporadici che espongono i dati a innumerevoli rischi quotidiani, tanto da poter parlare di “non misura minima”.
Altra questione disciplinata dal codice della privacy riguarda il caso di danneggiamento dei dati o degli strumenti elettronici. L’art. 34 infatti, alla lettera f) impone l’adozione di procedure per la custodia di copie di sicurezza e per il ripristino della disponibilità dei dati e dei sistemi (c.d. Disaster recovery), che deve avvenire in tempi compatibili con i diritti degli interessati e comunque non superiori a sette giorni.
Come già previsto dal D.P.R. 318/1999, pur con un ambito di applicazione più esteso, il codice della privacy alla lettera g) dell’art. 34 impone di tenere un aggiornato Documento programmatico sulla sicurezza (DPS), che altro non è che un resoconto aggiornato delle misure di sicurezza adottate. Il nuovo Codice amplia la fattispecie cui riferire un tale obbligo, prima circoscritta al caso di trattamento per fini non esclusivamente personali.
145
Si pone però un problema interpretativo nell’individuare con esattezza tale fattispecie, soprattutto per la discrasia tra quanto stabilito dall’art. 34 del Codice da un lato, il punto 19 e i punti dal 20 al 24 dell’Allegato B. La prima norma infatti circoscrive l’obbligatorietà del DPS ai casi di trattamento di qualsiasi tipo di dati effettuato con strumenti elettronici; invece l’allegato B fa riferimento ai soli dati sensibili o giudiziari oggetto di qualsiasi trattamento, con o senza strumenti elettronici. La dottrina ha optato per un’interpretazione che distingue il regime normativo a seconda che ci si riferisca a trattamenti effettuati con (art. 34) o senza l’ausilio di strumenti elettronici (art. 35).
Nella prima ipotesi la redazione del DPS è sempre obbligatoria, a prescindere dal tipo di dato oggetto del trattamento; nella seconda l’obbligo sussiste solo quando il trattamento ha ad oggetto dati sensibili o giudiziari (punto 19, allegato B). Infine l’art. 34 lett. h) prevede l’adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati sullo stato di salute o sulla vita sessuale, effettuati dagli organismi sanitari, allo scopo di renderli temporaneamente intelligibili. 155
Una disciplina specifica è dettata per il “trattamento dei dati
personali connesso alla fornitura di servizi di comunicazione
155
F. BERGHELLA, Guida pratica alle nuove misure di
146
elettronica accessibili al pubblico su reti pubbliche di comunicazione” (art. 121).
In particolare si prevede il divieto di usare una rete di comunicazione elettronica “per accedere a informazioni
archiviate nell’apparecchio terminale di un abbonato di un utente per archiviare informazioni o per monitorare le operazioni dell’utente” (art. 122, comma 1), fatta eccezione per
alcuni trattamenti necessari per finalità tecniche e comunque previo consenso del soggetto a cui i dati si riferiscono; la cancellazione o “l’anonimizzazione” dei “dati relativi al
traffico riguardanti abbonati ed utenti trattati dal fornitore di una rete pubblica di comunicazione o di un servizio di comunicazione elettronica accessibile al pubblico […] quando non sono più necessari ai fini della trasmissione della comunicazione elettronica” (art. 123, comma 1); un obbligo di
informazione “circa la sussistenza di situazioni che permettono
di apprendere in modo non intenzionale il contenuto di comunicazioni o conversazioni da parte di soggetti ad esse estranei” (art. 131, comma 1). 156
Distinti dai dati relativi al traffico sono quelli che riguardano l’ubicazione, cioè tutti quei dati trattati in una rete di comunicazione elettronica, che indica la posizione geografica
156
147
dell’apparecchiatura terminale dell’utente di un servizio di comunicazione elettronica accessibile. Questi possono essere trattati a condizione dell’anonimato o previa manifestazione del consenso dell’utente o dell’abbonato, revocabile in ogni momento e solo nella misura e per la durata necessaria per la fornitura del servizio a valore aggiunto richiesto.157
3.3.L’applicabilità in ambito internazionale della normativa nazionale in materia di tutela dei dati personali di derivazione comunitaria.
La normativa nazionale sul trattamento dei dati personali, come anche la Convenzione n. 108 del 1981 del Consiglio d’Europa (art. 2, lett. d) identifica il titolare del trattamento nella persona fisica o giuridica, nella Pubblica Amministrazione, o in qualsiasi ente, associazione o organismo, cui spettano le decisioni sulle finalità e sulle modalità del trattamento.
Una tale identificazione ha lo scopo di stabilire quale sia il soggetto nei cui confronti è possibile esercitare il diritto d’accesso e di distinguere chi è imputabile per le scelte sul trattamento dei dati, in termini di finalità e ampiezza e chi ha
157
148
meri compiti esecutivi rispetto alle istruzioni impartite dal titolare. Questa stessa esigenza di identificazione si pone anche nel trattamento dei dati personali on line, considerata la vasta gamma di servizi di comunicazione, sia privati che pubblici, disponibili su internet: dalle e-mail, alle chat line on to one, al collegamento a bacheche elettroniche, alle chat line pubbliche, al forum di discussione.158
Le informazioni inviate sulla rete provengono da differenti tipologie di comunicazioni riconducibili sinteticamente a tre gruppi:la comunicazione in tempo reale (real time), cioè sincrona tra una o più persone (chat line, video conferenza…); la comunicazione di messaggi asincroni ad personam (tipo
e-mail), cioè la divulgazione generalizzata di messaggi asincroni
a un numero indefinito di persone che accedono ad uno specifico spazio web che ospita tali messaggi, come le bacheche elettroniche.159
La problematica dell’individuazione del soggetto titolare e di quello responsabile del trattamento è particolarmente
158
BUZZACCHI C. (a cura di) Il mercato dei servizi in Europa,
Milano, 2014.
159
P.P. SWIRE, R.E. LITAN, None of Your Business: Worrld
Data Flows, Electronic Commerce and the European Privacy Directive, Brookings Institution Press, Washington DC, 1998.
149
complessa, tanto da indurre ad un restringimento del campo di indagine alle attività espletate dal provider, distinguendo da subito l’attività informatica effettuata direttamente da quest’ultimo nella veste di editore telematico e le diverse prestazioni di connessione alla rete e di cessione di spazio web offerte ai clienti mediante hosting ed housing.
La normativa europea sulla privacy distingue i dati personali trasmessi con i mezzi di comunicazione privata come la posta elettronica e quelli immessi nelle “aree” pubbliche del web, cioè liberamente consultabili dagli utenti (hosting), dai dati personali che i clienti di un’impresa disseminano durante la navigazione. Nel primo caso il titolare del trattamento è colui che crea ed emana il messaggio, piuttosto che chi appresta il mezzo tecnico con cui avviene la trasmissione o memorizzazione dei dati; nel secondo caso è il provider nell’esercizio della propria attività di impresa o eventualmente il webmaster, cioè il responsabile tecnico della gestione del sito
internet, a seconda di chi registra ed elabora le tracce
informatiche. 160
160
N. PEARCE, G.N. PLATTEN, Achieving personal Data
Protection in th European Union in Journal of Common Market Studies, n. 36 1998, 529; G. SCHAFFER, Globalization and Social Protection: The Impact of EU and International Rules in
150
La questione che si pone riguarda l’applicabilità in ambito internazionale della normativa nazionale in materia di tutela dei dati personali di derivazione comunitaria, regolamentata dalla Direttiva comunitaria n. 45/1996, ma destinata ad essere sostituita da una recente Direttiva e da un Regolamento entrati ufficialmente in vigore, rispettivamente, il 5 maggio 2016, con ricezione da parte degli Stati membri entro due anni ed il 24 maggio 2016, con ricezione da parte degli Stati membri prevista per la stessa data.
Per capire questa tematica è opportuno però, preliminarmente, delineare un breve excursus normativo:
analizzando l’art. 4 della Direttiva n. 45/1996, il criterio di riferimento deve essere quello del Paese di stabilimento del titolare del trattamento, per cui se questo è ricompreso nel territorio di uno Stato membro, si applicano le disposizioni nazionali adottate in attuazione della direttiva comunitaria sul trattamento dei dati personali; se invece uno stesso responsabile del trattamento sia stabilito nel territorio di più Stati membri, esso deve adottare le misure necessarie per assicurare l’osservanza, da parte di ciascuno di detti stabilimenti, degli obblighi stabiliti dal diritto nazionale applicabile.
the Ratcheting, Up of US Privacy Standards in Yale Journal of International Law, n. 25/1, 2000, 1.
151
Ciascuno Stato membro applica altresì le disposizioni nazionali adottate in attuazione della presente direttiva al trattamento dei dati personali, se il suo responsabile non è stabilito nel territorio dello Stato membro, ma pur sempre in un luogo in cui si applica la sua legislazione nazionale, a norma del diritto internazionale pubblico o se, pur non essendo stabilito nel territorio della Comunità, ricorre, ai fini del trattamento dei dati personali, a strumenti, automatizzati o non, situati nel territorio di detto Stato membro, a meno che questi non siano utilizzati ai soli fini di transito nel territorio della Comunità europea. 161
La Direttiva n. 46/95 agli articoli 25 e 26 disciplina inoltre il trasferimento di informazioni personali verso Paesi extra-UE, stabilendo una regola generale e delle deroghe.
In linea generale il trasferimento dei dati al di fuori dell’Unione può avvenire solo se l’ordinamento giuridico del territorio di destinazione dei dati stessi garantisce un adeguato livello di protezione (art. 25), come nel caso della Svizzera, 162
161
M.L. CAPPARELLI, The development of internet and data
protection in the european community in Resp.. com.impresa,
2000, p. 197.
162
Decisione della Commissione, COM 2000/518/CE del 26 maggio 2000, pubblicata sulla G.U.C.E. 25 agosto 2000, n. L. 215.
152
dell’Ungheria163 del Canada,164 dell’Argentina, 165 secondo quando stabilito dalla Commissione UE.
Come ha precisato la Corte di giustizia Europea, il trasferimento di dati al di fuori dell’Unione deve essere tenuto distinto dalla loro semplice accessibilità on line a partire da Paesi extra UE.166
Solo nel primo caso infatti si è in presenza di un atto inteso deliberatamente a trasferire dati personali da un soggetto che si trova in un luogo preciso del territorio di uno Stato membro verso una terza persona, ben identificata e ubicata in un altro luogo di un Paese extracomunitario.
A questa sola ipotesi l’art. 25 della Direttiva n. 95/46 impone agli Stati membri di giudicare l’adeguatezza del livello di protezione accordato ai dati personali nel Paese terzo e dunque l’eventuale stipula di Convenzioni comunitarie con lo Stato
163
Decisione della Commissione, COM 2000/519/CE del 26 maggio 2000, pubblicata sulla G.U.C.E. 25 agosto 2000, n. L. 215.
164
Decisione della Commissione, COM 2001/569/CE del 20 dicembre 2001, pubblicata sulla G.U.C.E. 4 gennaio 2002, n. L. 215.
165
Decisione della Commissione, COM 2003/490/CE del 30 giugno 2003, pubblicata sulla G.U.C.E. 5 luglio 2003, n. L. 16.
166
Corte di giustizia Europea, sentenza del 6 novembre 2003, Causa C-101/01 in Danno e resp., n. 4/2004, p. 377.
153
extracomunitario destinatario di dati personali provenienti dall’UE. 167
Il caso su cui si è pronunciata la Corte è rappresentato dal trasferimento di dati sensibili verso Paesi terzi da parte di una cittadina svedese, che li aveva utilizzati nell’ambito di un trattamento automatizzato senza informare per iscritto la
Datainspektionen, cioè l’ente pubblico che tutela i dati
trasmessi per via telematica. La donna era curatrice di alcune pagine web create da un gruppo parrocchiale di Alseda e contenente informazioni per la preparazione alla cresima. La donna è stata condannata in primo grado nel suo Paese ad un’ammenda di 4 mila corone svedesi, mentre in appello il giudice nazionale ha rimesso la questione alla Corte di giustizia.
La decisione di quest’ultima è sostanzialmente dettata da esigenze pratiche come quelle di evitare che tutti gli Stati membri siano tenuti ad impedire qualsiasi immissione in
internet di dati personali, come accadrebbe se si interpretasse in
modo estensivo l’art. 25 della Direttiva n. 46/95, così da ricomprendervi anche l’acquisizione e il trasferimento on line di dati personali del cybernauta.
167
T.M. UBERTAZZI, A. GIANNACCARI in Danno e resp., n. 4/2004, p. 377.
154
Tuttavia non sfugge l’aspetto elusivo della norma, nella misura in cui risulta facilmente aggirabile attraverso la semplice creazione su di un sito web di una banca dati “accessibile”, su cui poter scaricare dati ivi contenuti da parte di soggetti ubicati in Paesi extra UE.
Né tale rischio può essere arginato identificando il discrimine tra il trasferimento di dati al di fuori dell’Unione e la loro semplice accessibilità on line a partire da Paesi extra UE, nella finalità di colui che si è adoperato per la pubblicazione on line di dati personali altrui.
Infatti, subordinare la prima ipotesi all’intento deliberato del trasferimento implica un’indagine sulla volontà di agire del soggetto di difficile riscontro e che allontana dalla ratio dell’art. 25, che è quella di individuare le condizioni oggettive alle quali consentire il trasferimento di dati personali al di fuori dell’UE e non di sanzionare comportamenti illeciti in merito al trattamento di dati.
Una soluzione che garantirebbe un minor margine di incertezza, sebbene complessa e dispendiosa, sarebbe quella di applicare l’art. 25 ad ogni avvenuto accesso alle informazioni presenti on line da parte di una persona residente in un Paese extracomunitario.
155
Si tratterebbe comunque di un criterio applicabile ex post, cioè a violazione avvenuta, del tutto svincolato dalla volontarietà della condotta dell’agente, in quanto impossibilitato a controllare quali e quante persone consulteranno e scaricheranno le informazioni immesse on line. 168
Le contorsioni della Corte sono dovute non ad una cattiva comprensione del fenomeno internet, ma alla mancanza di regole specifiche e compatibili con questa realtà che costringe all’applicazione di regole di natura territoriale.
Alla regola generale di cui all’art. 25 della Direttiva n. 95/46 si può derogare nel rispetto di alcune condizioni, quali sono:
la manifestazione inequivocabile del consenso da parte dell’interessato, il carattere necessario del trasferimento per la conclusione e l’esecuzione di un contratto tra l’interessato e il responsabile o per l’invio di informazioni precontrattuali, ma anche necessario per la tutela di un interesse rilevante pubblico o privato che sia, ma vitale per l’interessato, o per l’esercizio di un’azione giudiziaria (art. 26).
Infine il trasferimento verso Paesi extracomunitari in deroga all’art. 25 è consentito se il responsabile del trattamento
168
Camilla Buzzacchi(a cura di) Il mercato dei servizi in Europa, Milano, 2014.
156
garantisce a sufficienza la tutela accordata ai diritti e alle libertà fondamentali delle persone, nonché per l’esercizio dei diritti connessi, anche attraverso apposite clausole contrattuali.
Con riguardo invece al trattamento effettuato da gestori di siti
Internet, la disciplina varia a seconda che siano o meno stabiliti
all’interno dell’Unione. Nel primo caso la Direttiva n. 45/1996 ha accolto il criterio di connessione del luogo di stabilimento del responsabile del trattamento da intendersi, secondo il Gruppo dei garanti per la privacy, non come il luogo in cui si trova il server che ospita il sito, né come quello indeterminato da cui il sito è accessibile, bensì come il luogo in cui tali società esercitano in prevalenza la loro attività. 169
Nel secondo caso il criterio di connessione adottato dal legislatore sia comunitario che nazionale è quello classico del diritto internazionale, basato sul legame fisico tra l’azione compiuta e il sistema giuridico. Di conseguenza la normativa sulla privacy del Paese membro si applicherà ogni qual volta il titolare del trattamento dei dati personali, pur non essendo stabilito nel territorio UE, raccolga dati personali on line
169
Documento di lavoro, Sulla determinazione dell’applicazione internazionale della normativa comunitaria in materia di tutela dei dati al trattamento dei dati personali su Internet da parte di siti web non stabiliti nell’UE, adottato il 30
157
ricorrendo a strumenti, automatizzati o non, situati nell’ambito del territorio di detto Stato membro. Ciò che conta dunque è esclusivamente il luogo di ubicazione degli strumenti utilizzati per il trattamento, a prescindere anche dalla nazionalità o residenza della persona tutelata dalla norma, sia essa anche non cittadina comunitaria o non residente nell’UE.
Lo scopo del legislatore comunitario che si può evincere dalla Direttiva 45/1996, è quello di apprestare una tutela da eventuali abusi in relazione al trattamento dei dati personali a tutte le persone, anche se il responsabile del trattamento si sia stabilito fuori dell’ambito comunitario. 170
Tale Regolamento si inserisce all'interno di quello che, insieme alla Direttiva 2016/680, è stato definito il "Pacchetto europeo protezione dati".
Nel quadro comunitario il “pacchetto protezione dati” è stato presentato dalla Commissione europea nel 2012 ed è composto
170
Documento di lavoro, Sulla determinazione dell’applicazione internazionale della normativa comunitaria in materia di tutela dei dati al trattamento dei dati personali su Internet da parte di siti web non stabiliti nell’UE, adottato il 30 Maggio 2002.
158
da una proposta di Regolamento concernente “la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, destinata a sostituire la Direttiva 95/46; da una proposta di Direttiva che regolamenta i settori di prevenzione, contrasto e repressione dei crimini, nonché l’esecuzione delle sanzioni penali. Essa sostituirà la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia.
Dopo l’approvazione del Consiglio europeo, i testi del
Regolamento e della Direttiva sono stati adottati dalla plenaria del Parlamento europeo e successivamente pubblicati sulla Gazzetta Ufficiale Europea (GUUE) il 4 maggio 2016. 171
La Direttiva e il Regolamento sono entrati ufficialmente in
vigore, rispettivamente, il 5 maggio 2016 con ricezione da parte degli Stati membri entro due anni e il 24 maggio 2016, con
ricezione da parte degli Stati membri prevista per la stessa data.
La Direttiva, come precisato nella stessa, si colloca nel contesto di una rapida evoluzione tecnologica e della globalizzazione, nel quale è aumentata in modo significativo la portata della raccolta e della condivisione dei dati personali, anche nello
171
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio in http://eur-lex.europa.eu.
159
svolgimento di attività quali la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali. 172
Il suo obiettivo è quello di contemperare la libera circolazione dei dati personali tra le autorità competenti ai fini delle attività sopra descritte all'interno dell'Unione e il loro trasferimento verso Paesi terzi e organizzazioni internazionali da un lato, con la garanzia di un elevato livello di protezione dei dati personali dall’altro. Ciò richiede la costruzione di un quadro giuridico solido e coerente in materia di protezione dei dati personali nell'Unione, affiancato da efficaci misure di attuazione.
Solo in questo modo è possibile assicurare un livello uniforme ed elevato di protezione dei dati personali delle persone fisiche e facilitarne lo scambio tra le autorità competenti degli Stati membri, così da garantire un'efficace cooperazione giudiziaria in materia penale e di polizia.
In questa prospettiva la Direttiva stabilisce le norme specifiche relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento
172
Giustizia digitale. Condivisione dati a fini giudiziari, ecco le nuove norme Ue in www.forumpa.it.
160
di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, nel rispetto della natura specifica di tali attività. 173
La protezione dei dati si riferisce dunque alle attività svolte dal-la polizia compresa queldal-la svolta in occasione di manifestazio-ni, grandi eventi sportivi e sommosse, o da altre autorità preposte all'applicazione della legge.
Le autorità competenti possono includere non solo le autorità pubbliche quali le autorità giudiziarie, altre autorità incaricate dell'applicazione della legge, o la polizia, ma anche qualsiasi organismo o entità incaricati dal diritto dello Stato membro di esercitare l'autorità pubblica e i poteri pubblici ai fini della presente Direttiva.
Le autorità pubbliche a cui i dati personali sono comunicati conformemente a un obbligo legale, ai fini dell'esercizio della loro missione istituzionale, non dovrebbero essere considerate destinatari, qualora ricevano dati personali necessari a svolgere
173
Direttiva (UE) 2016/680 del parlamento europeo e del consiglio in http://eur-lex.europa.eu.
161
una specifica indagine nell'interesse generale, conformemente al diritto dell'Unione o dello Stato membro.174
Le richieste di comunicazione inviate dalle autorità pubbliche devono sempre essere scritte, motivate e occasionali e non
devono riguardare un intero archivio o condurre all'interconnessione di archivi. Il trattamento di tali dati
perso-nali da parte delle autorità pubbliche deve essere conforme alle norme in materia di protezione dei dati applicabili secondo le finalità del trattamento. Pertanto, nel caso specifico dei dati genetici, in linea di principio è vietata qualunque discrimina-zione basata su caratteristiche genetiche.
La Direttiva prescrive la liceità, la correttezza e la trasparenza di qualsiasi trattamento di dati personali nei confronti della per-sona fisica interessata, oltre a dovere perseguire unicamente fi-ni specifici previsti dalla legge. Ciò non impedisce di per sé alle autorità incaricate dell'applicazione della legge di svolgere attività quali operazioni di infiltrazione o videosorveglianza. Queste possono essere svolte a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di
174
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio in http://eur-lex.europa.eu.
162
nacce alla sicurezza pubblica, purché siano previste dalla legge e costituiscano una misura necessaria e proporzionata in una società democratica, tenuto debito conto dei legittimi interessi della persona fisica interessata. 175
In particolare la liceità del trattamento dei dati personali pre-suppone il rispetto di alcune condizioni:
la sensibilizzazione delle persone fisiche rispetto ai rischi, alle norme, alle garanzie e ai diritti in relazione al trattamento dei loro dati personali, nonché alle modalità di esercizio dei loro diritti in relazione al trattamento; l’indicazione esplicita e legit-tima delle finalità specifiche del trattamento dei dati personali da effettuarsi al momento della raccolta; il carattere non ecces-sivo, adeguato e pertinente della raccolta dei dati personali rispetto alle finalità del loro trattamento; il carattere necessario nel senso che il trattamento dei dati deve avvenire solo se la sua finalità non è ragionevolmente conseguibile con altri mezzi. La necessità del trattamento dei dati personali deve inoltre essere strumentale all'esecuzione di un compito svolto nell'interesse pubblico da un'autorità competente in base al diritto dell'Unio-ne o dello Stato membro a fini di prevenziodell'Unio-ne, indagidell'Unio-ne,
175
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio in http://eur-lex.europa.eu .
163
tamento e perseguimento di reati o esecuzione di sanzioni pena-li, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. 176
La conservazione dei dati deve avvenire per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati. A questo scopo spetta al titolare del trattamento stabilire un termine per la cancellazione o per la verifica periodica.
In caso di conservazione dei dati personali per periodi più lunghi per finalità di archiviazione nel pubblico interesse o per finalità scientifiche, storiche o statistiche, è compito degli Stati membri stabilire garanzie adeguate.
Il trattamento dei dati personali è inoltre soggetto al principio dell'esattezza, con conseguente divieto di trasmissione in caso di violazione dello stesso o di non aggiornamento dei dati, al cui rispetto devono provvedere le Autorità competenti.
All’interessato sono riconosciuti i diritti all’informazione, all’accesso, alla rettifica e alla cancellazione relativamente al trattamento dei dati personali che lo riguardano.
176
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio in http://eur-lex.europa.eu.
164
Il diritto all’informazione riguarda l'identità del titolare, l’esistenza e le finalità del trattamento, il diritto di proporre reclamo e l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l’accesso ai dati e la rettifica o la cancellazione degli stessi ovvero la limitazione del trattamento.
Il diritto di accedere ai dati raccolti deve poter essere esercitato facilmente e a intervalli ragionevoli. È pertanto opportuno che ogni interessato abbia il diritto di conoscere e ottenere comunicazioni in relazione alla finalità del trattamento, al periodo per il quale i dati sono trattati e ai destinatari dei dati, anche quelli nei Paesi terzi. 177
Affinché tale diritto sia rispettato, è sufficiente che l'interessato sia in possesso di una sintesi completa di tali dati in forma intelligibile, cioè in una forma che gliene consenta la conoscenza. Detta sintesi potrebbe essere fornita attraverso una copia dei dati personali oggetto del trattamento.
Il diritto di rettifica riguarda invece i dati personali inesatti, in particolare se relativi a fatti ed è privo di effetti sulla prova testimoniale. Alla cancellazione si ricorre quando il trattamento di tali dati viola la presente Direttiva, salvo che essa possa compromettere gli interessi legittimi dell'interessato. In tal
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio in http://eur-lex.europa.eu.
165
caso, i dati limitati dovrebbero essere trattati solo per la finalità che ne ha impedito la cancellazione. Le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l'altro, nel trasferire i dati selezionati verso un altro sistema di trattamento, ad esempio a fini di archiviazione, o nel renderli inaccessibili.
Di tali rettifiche o cancellazioni di dati personali o limitazioni del trattamento devono essere informati i destinatari a cui tali dati sono stati comunicati e le autorità competenti da cui i dati inesatti provengono. I titolari del trattamento devono inoltre astenersi dal diffonderli ulteriormente. 178
Nel caso in cui il titolare del trattamento neghi all'interessato il suo diritto di informazione, accesso, rettifica o cancellazione di dati personali o limitazione di trattamento, l'interessato dovrebbe avere il diritto di chiedere che l'autorità nazionale di controllo verifichi la liceità del trattamento. La responsabilità generale per qualsiasi trattamento di dati personali spetta al suo titolare.
178
Direttiva (UE) 2016/680 del parlamento europeo e del consiglio in http://eur-lex.europa.eu .
166
In particolare, egli è tenuto a mettere in atto misure adeguate ed efficaci, così da garantire la conformità delle attività di trattamento alla presente Direttiva.
Per dimostrare tale conformità il titolare o il responsabile del trattamento deve tenere un registro di tutte le categorie di attività di trattamento effettuate sotto la sua responsabilità, contenente tutte le seguenti informazioni:
il nome e i dati di contatto del titolare, se del caso del contitolare e del responsabile del trattamento; le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di Paesi terzi od organizzazioni internazionali; una descrizione delle categorie di interessati e delle categorie di dati personali; se del caso, le categorie di trasferimenti di dati personali verso un Paese terzo o un'organizzazione internazionale; un'indicazione della base giuridica del trattamento, compresi i trasferimenti, al quale sono destinati i dati personali.
Per mantenere la sicurezza e prevenire trattamenti che violino la presente Direttiva, il titolare o il responsabile del trattamento devono valutare i rischi ad esso inerenti e attuare misure per limitarli, quali la cifratura. Lo scopo è quello di assicurare un adeguato livello di sicurezza, inclusa la riservatezza.
167
Gli effetti di una violazione dei dati personali non affrontata in modo adeguato e tempestivo sono rappresentati da danni fisici, materiali o immateriali alle persone fisiche come la perdita del controllo dei dati personali che li riguardano o la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d'identità, le perdite finanziarie, la decifratura non autorizzata della “pseudonimizzazione”, il pregiudizio alla reputazione, la perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata. Una tale violazione dei dati personali deve essere notificata dal titolare all'autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che il titolare del trattamento non sia in grado di dimostrare che, conformemente al principio di responsabilizzazione, è improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Anche queste ultime hanno diritto ad essere informate senza ingiustificato ritardo, in caso di violazione dei dati personali suscettibile di presentare un rischio elevato per i loro diritti e le loro libertà, affinché possano prendere le precauzioni del caso.
168
Ai fini del rispetto a livello interno delle disposizioni adottate ai sensi della presente Direttiva, il titolare del trattamento deve designare una persona che lo assista nel controllo. La scelta deve essere effettuata tra i membri del personale in organico dello stesso titolare, purché dotato di una formazione specifica sulla normativa e la prassi in materia di protezione dei dati.
Detta persona dovrebbe aiutare il titolare del trattamento e i dipendenti che trattano dati personali informandoli e consigliandoli in merito al rispetto dei loro pertinenti obblighi in materia di protezione dei dati. 179
3.4. Il pacchetto europeo protezione dati del 2016.
Lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679.
Esso si inserisce all'interno di quello che, insieme alla Direttiva 2016/680, è stato definito il "Pacchetto europeo protezione dati".
Nel quadro comunitario quest'ultimo è stato presentato dalla Commissione europea nel 2012 ed è composto da una proposta di Regolamento concernente “la tutela delle persone fisiche con
179
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio in http://eur-lex.europa.eu.
169
riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, destinata a sostituire la Direttiva 95/46; da una proposta di Direttiva che regolamenta i settori di prevenzione, contrasto e repressione dei crimini, nonché l’esecuzione delle sanzioni penali. Essa sostituirà la decisione quadro 977/2008/CE sulla protezione dei dati personali scambiati dalle autorità di polizia e giustizia.
Dopo l’approvazione del Consiglio europeo, i testi del Regolamento e della Direttiva sono stati adottati dalla plenaria del Parlamento europeo e successivamente pubblicati sulla Gazzetta Ufficiale Europea (GUUE) il 4 maggio 2016. 180
La Direttiva e il Regolamento sono entrati ufficialmente in vigore, rispettivamente, il 5 Maggio 2016 e il 24 Maggio 2016, mentre la loro ricezione da parte degli Stati membri è stata prevista entro due anni da tali date. Entrambi gli interventi si collocano nel contesto di una rapida evoluzione tecnologica e della globalizzazione, nel quale è aumentata in modo significativo la portata della raccolta e della condivisione dei dati personali.
180
Direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio in http://eur-lex.europa.eu.
170
Il Regolamento contiene norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali riconosciuta come diritto fondamentale delle persone fisiche; nonché norme relative alla libera circolazione di tali dati che non può essere limitata, né vietata per motivi attinenti alla protezione delle persone fisiche.
Esso si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi, fatte salve alcune eccezioni come il trattamento dei dati personali effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione, o effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico o effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.
Il Regolamento individua i principi applicabili al trattamento dei dati personali, tra cui quello di liceità, correttezza, trasparenza, di minimizzazione dei dati, di esattezza, di limitazione della conservazione, di integrità e riservatezza (Art 5).
171
La liceità del trattamento presuppone la presenza di almeno una delle seguenti condizioni e cioè il consenso espresso dall'interessato al trattamento dei propri dati personali per una o più specifiche finalità, sempre revocabile e che il titolare del trattamento deve essere in grado di dimostrare (art. 7); o il rapporto di strumentalità necessario del trattamento con l'esecuzione di un contratto di cui l'interessato è parte o con l'esecuzione di misure precontrattuali adottate su richiesta dello stesso; o rispetto all'adempimento di un obbligo legale al quale è soggetto il titolare del trattamento; o rispetto alla salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica; o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento; o per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore (art 6).
Il principio della trasparenza impone al responsabile del trattamento di fornire all’interessato tutte le informazioni e le comunicazioni relative al trattamento dei dati personali in forma intelligibile, con linguaggio semplice e chiaro (art. 12).
172
Le informazioni che il titolare del trattamento deve fornire all'interessato devono riguardare l'identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; i dati di contatto del responsabile della protezione dei dati, ove applicabile; le finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica del trattamento; gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale(artt. 13, 14).
L'interessato ha inoltre diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle informazioni che riguardano le finalità del trattamento, le categorie di dati personali in questione, l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del loro trattamento o l'opposizione allo stesso, il diritto di proporre reclamo a un'autorità di controllo.
In attuazione dei principi di minimizzazione dei dati, di esattezza, di limitazione della conservazione, di integrità e riservatezza si subordina la raccolta dei dati personali a finalità
173
determinate, esplicite e legittime; se ne vieta il trattamento qualora sia incompatibile con tali finalità; se ne impone l'adeguatezza, la pertinenza e il ricorso limitato a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); l'esattezza e, se necessario, l'aggiornamento, prescrivendo tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
La conservazione dei dati deve avvenire in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, salvo ammetterne la conservazione per periodi più lunghi a condizione che il trattamento dei dati abbia esclusivamente fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici, sempre tutelando i diritti e le libertà dell'interessato, con l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento («limitazione della conservazione»). 181
181
REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 Aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva
174
Infine il trattamento dei dati personali deve avvenire in maniera da garantirne un'adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).
Tra i principi di maggiore rilevanza introdotti dal Regolamento meritano un particolare approfondimento il diritto di rettifica e all’oblio o cancellazione, il principio di accountability, il principio della privacy by design. 182
Il primo indica la facoltà dell'interessato di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo, oltre all'integrazione di quelli incompleti, anche fornendo una dichiarazione integrativa, tenendo sempre conto della finalità del trattamento. L'interessato ha altresì il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo; il titolare del trattamento dal canto suo ha l'obbligo di provvedervi se i dati 95/46/CE(regolamento generale sulla protezione dei dati) in
http://eur-lex.europa.eu.
182
M.IASELLI, Protezione dei dati personali: il nuovo
Regolamento europeo in Gazzetta Ufficiale UE in www.altalex.com.
175
personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; in caso di revoca del consenso da parte dell'interessato, se non sussiste altro fondamento giuridico per il trattamento; nel caso di trattamento illecito di dati personali e in presenza di un dovere di cancellazione in adempimento di un obbligo legale previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento.
Il Regolamento promuove la responsabilizzazione (accountability) dei titolari del trattamento e l'adozione di approcci e politiche che tengano conto costantemente del rischio che un determinato trattamento di dati personali può comportare per i diritti e le libertà degli interessati. 183
In virtù del principio di accountability il responsabile del trattamento deve adottare politiche e attuare misure adeguate per garantire ed essere in grado di dimostrare la conformità del trattamento dei dati personali allo stesso Regolamento (art. 24).
Il termine anglosassone accountability non è facilmente traducibile e difatti nel Regolamento europeo si parla impropriamente di “responsabilità”. La traduzione più corretta,
183
Guida al nuovo regolamento europeo in materia di