Il nuovo regolamento europeo sulla protezione dei dati.

Le problematiche connesse al trattamento dei dati nel diritto europeo.

Autore: Avv. Prof. Marco Mastracci

 

Il presente studio offre una disamina circa la nuova normativa europea sulla privacy di cui al regolamento Ue 2016/679. Prendendo le mosse dal quadro normativo di riferimento, l’indagine si snoda percorrendo l’iter che va dai principi generali ai soggetti coinvolti per approdare alla disamina di taluni aspetti specifici, ovvero il diritto all’oblio e il trattamento dei dati nel perseguimento di finalità investigative e giudiziarie.

 

  1. Premessa

 

In Europa l’esigenza di intervenire nella questione del trattamento dei dati personali e di offrire un’adeguata tutela è stata avvertita sin dai primi anni Novanta[1], con particolare riferimento alla necessità di una regolamentazione degli archivi informatici. Nella dimensione presente la tutela del trattamento dei dati è intimamente connessa ai processi di evoluzione tecnologica, caratterizzati dal superamento dello strumento cartaceo e digitale e fortemente orientati alla dimensione virtuale, da cui la nascita dei sistemi di cloud computing[2].

 

  1. Cenni alla disciplina della privacy in Italia: dalla legge 31 dicembre 1996, n. 675, al decreto legislativo 196 del 2003

 

In Italia la pressione incalzante delle direttive 94/46/ce[3]e 95/46/ce[4]portò, non senza resistenze[5], soprattutto da parte del settore dell’industria e dell’artigianato nonché dei gruppi di interesse e di lobbies rappresentati da banche e assicurazioni, all’approvazione della legge 31 dicembre 1996, n. 675, recante «Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali». Si noti, peraltro, che lo stesso giorno venne approvata un’altra legge, la 676/1996, contenente una delega al governo per l’emanazione di altri decreti legislativi[6]al fine di apportare delle migliorie alla legge 675.

In tale contesto giuridico, la legge 675/1996 si pone come il primo atto normativo organico in tema di tutela della privacy, per il fatto di aver imposto l’adozione di misure di protezione nella gestione e manipolazione dei dati, pur senza prevedere uno standard minimo di sicurezza. Ben si comprende, allora, la difficoltà dei soggetti tenuti all’osservanza delle norme su cui gravava, in sostanza, un generico obbligo di apprestare determinate procedure senza avere linee guide certe che ne definissero la portata.

A fronte di tale esigenza nasce il decreto del Presidente della Repubblica 28 luglio 1999, n. 318, recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali ex articolo 15, comma 2, della legge 675/1996.

Il decreto ha il merito di aver previsto diverse tipologie di trattamento in funzione della piattaforma concretamente utilizzata per il trattamento dei dati, sia esso lo strumento informatico, off line oppure la rete. A ciò si aggiunga l’introduzione di una classificazione dei sistemi utilizzati per il trattamento; l’elaborazione di regole di accesso per gli operatori incaricati; la previsione di una particolare figura professionale, denominata “amministratore di sistema”, cui è demandata la gestione dei codici identificativi personali e la determinazione delle chiavi di accesso, la supervisione dei sistemi informativi dell’azienda al fine di lavorare in modo ottimale per il raggiungimento degli obiettivi prefissati nonché la cura dell’efficienza e dell’affidabilità dei sistemi medesimi; l’obbligo di predisporre il “documento programmatico per la sicurezza” (dps)[7], che attesta l’adeguamento del soggetto obbligato all’osservanza della normativa sulla tutela dei dati personali, specificando quali sono i metodi utilizzati per la conservazione e la protezione dei dati.

Grazie anche all’attività propulsiva del Garante, il parlamento ha approvato la legge 3 novembre 2000, n. 325, e la legge 24 marzo 2001, n. 127, recanti rispettivamente «Disposizioni inerenti all’adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall’articolo 15 della legge 31 dicembre 1996, n. 675», e il «Differimento del termine per l’esercizio della delega prevista dalla legge 31 dicembre 1996, n. 676, in materia di trattamento dei dati personali».

Con l’intervento del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, la legge 675/1996 è stato abrogata e il suo impianto normativo trasfuso nel nuovo Codice.

Il corpus del nuovo Codice, redatto in forma di Testo unico ed entrato in vigore il primo gennaio 2004, è corredato da diversi codici deontologici[8], da un Disciplinare tecnico in materia di misure di sicurezza (allegato B), nonché da un allegato riguardante i trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia (allegato C).

Il nuovo testo costituisce una prima compilazione organica della materia in Italia accogliendo altresì l’impianto normativo comunitario disegnato dalle direttive 95/46/ce e2002/58/cee quello internazionale. A queste si aggiunga la direttiva 11 febbraio 2005, n. 1[9], emanata dalla Presidenza del Consiglio dei ministri in tema di protezione dei dati personali,con particolare riguardo alla gestione delle risorse umane, che ha dettato i principi e i criteri ai quali deve essere improntata l’azione amministrativa nell’esercizio della sua potestà organizzativa.

Il decreto legislativo 28 maggio 2012, n. 69, apporta sostanziali modifiche all’impianto del Codice in attuazione delle direttive 2009/136/cee 2009/140/ce concernenti, rispettivamente, il trattamento dei dati personali e la tutela della vita privata nel settore delle comunicazioni elettroniche nonché in tema di reti e servizi di comunicazione elettronica e del regolamento 2006/2004/ce sulla cooperazione tra le Autorità nazionali responsabili dell’esecuzione della normativa a tutela dei consumatori.

 

  1. La tutela connessa al trattamento dei dati nel diritto europeo: i principi generali nell’acquisizione e nel trattamento dei dati

Passiamo ora alla trattazione del tema oggetto del presente studio, la disciplina del trattamento dei dati alla luce del regolamento europeo 2016/679[10].

Data la vastità del tema e la molteplicità degli aspetti[11] che la privacy lambisce nei più disparati campi del diritto, premessa una disamina generale circa i principi che regolano la materia nel diritto europeo, verranno in questa sede approfondite due tematiche principali, ovvero il diritto all’oblio e il trattamento dei dati per finalità investigative e giudiziarie.

Con riferimento ai principi generali in tema di acquisizione e trattamento dei dati, già il regolamento 45/2001 del Parlamento europeo e del Consiglio del 18 dicembre 2000, recante disposizioni circa la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, oltre a fornire utili chiarificazioni sotto il profilo definitorio[12], disciplinava una serie di aspetti quali:

a) l’oggetto del trattamento e l’ambito di applicazione;

b) le condizioni generali di liceità del trattamento dei dati personali;

c) l’individuazione di particolari categorie di trattamento;

d) gli strumenti utilizzabili dal soggetto leso per proporre ricorso;

e)la protezione dei dati personali ela tutela della vita privata nell’ambito delle reti interne di telecomunicazioni;

f) l’istituzione di un’autorità di controllo indipendente, il Garante europeo della protezione dei dati[13].

Nel quadro normativo offerto dal regolamento 45/2001, il nuovo regolamento europeo 2016/679 si pone obiettivi più ambiziosi, dettando una normativa organica ed esaustiva in tema di finalità, compatibilità e classificazione dei dati oggetto del trattamento; informativa, diritto di accesso agli atti e raccolta del consenso; raccolta dei big data e disciplina della profilazione, con particolare riguardo ai dati gestiti dai social network.

La normativa generale europea sulla privacy è poi integrata da un’importante direttiva[14] che regolamenta alcune questioni specifiche quali il trattamento dei dati nel settore delle comunicazioni e del marketing[15] e la gestione della posta elettronica.

Con riferimento alle finalità della raccolta dei dati, l’articolo 5 del regolamento 2016/679 prescrive che questi siano:

a) «trattati in modo lecito, corretto e trasparente nei confronti dell’interessato»(principio di liceità, correttezza e trasparenza); 


b)«raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1[16], considerato incompatibile con le finalità iniziali» (principio della limitazione della finalità);

c)«adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati» (principio della minimizzazione dei dati); 


d)«esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (principio dell’esattezza);

e)«conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato» (principio della limitazione della conservazione);

f) «trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali» (principio dell’integrità e riservatezza).

I dati oggetto del trattamento vengono classificati in base a un gradiente di rischio relativo alle informazioni. Ciò significa che l’entità della tutela accordata è in funzione della struttura del dato, dei valori che esso sottende nonché degli strumenti preposti nel caso specifico[17].

Il livello di classificazione deve essere attentamente ponderato attraverso una scrupolosa attività di valutazione del rischio, di modo che le misure di sicurezza siano adeguate all’entità del dato oggetto di protezione.

L’articolo 7 del regolamento disciplina la raccolta del consenso, rispetto al quale l’informativa costituisce l’elemento prodromico. La norma, al paragrafo 1,prevede che «qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali».

Se il consenso dell’interessato è prestato nel contesto di una dichiarazione scritta che riguarda anche altre questioni, la richiesta di consenso deve poter essere chiaramente distinguibile dalle altre materie, «in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro» (paragrafo 2). Inoltre, «nessuna parte di una tale dichiarazione che costituisca una violazione del presente regolamento è vincolante» (ibidem).

Il consenso può essere revocatoad libitum, lasciando impregiudicata la liceità del trattamento,«con la stessa facilità con cui è accordato» (paragrafo 3).

La disciplina del consenso incontra un’eccezione nell’articolo 8 del regolamento 2016/679, con riferimento alle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione[18].

 

  1. Protezione dei dati e diritto all’oblio

Il tema del consenso al trattamento dei dati e della conservazione degli stessi è strettamente connesso al c.d. “diritto all’oblio”

La disciplina generale del diritto all’oblio è contenuta nell’articolo 17 del regolamento 2016/679. In particolare, «l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali», in presenza delle seguenti circostanze (paragrafo 1):

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b)l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a)[19], o all’articolo 9, paragrafo 2, lettera a)[20], e se non sussiste altro fondamento giuridico per il trattamento;

c)l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;

d)i dati personali sono stati trattati illecitamente;

e)i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f)i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

Secondo il paragrafo 2 del medesimo articolo, «il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali».

Ciò premesso, la cancellazione dei dati personali non ha luogo nella misura in cui il trattamento sia necessario: per l’esercizio del diritto alla libertà di espressione e di informazione; per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento; per motivi di interesse pubblico nel settore della sanità pubblica; a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (art.17, par. 3, regolamento 2016/679).

Risulta allora evidente come il c.d. “diritto” all’oblio non costituisca una prerogativa assoluta dell’interessato, bensì un valore da contemperare con altre finalità considerate prevalenti dall’ordinamento comunitario.

L’esempio tipico in cui ricorre la fattispecie è dato dalla “gogna mediatica” cui possono essere soggette personalità appartenenti al mondo politico o del jet set internazionale le quali, volendo tutelare la propria immagine a fronte di eventi spiacevoli o vicende giudiziarie che li riguardano, note al pubblico e attraverso la stampa e attraverso altri canali di comunicazione, si trovano a dover contrastare la viralità della rete, ben difficile da controllare[21].

Deve menzionarsi a proposito l’articolo 10 del regolamento, laddove, nel trattare dei dati personali relativi a condanne penali e reati, sancisce che «il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica».

 

  1. Dal regolamento generale europeo alla direttiva in materia di trattamento di dati per finalità investigative e giudiziarie

Successivamente all’emanazione del regolamento 2016/679, in data 20 aprile 2016 è stata emanata la direttiva ue 2016/680 del Parlamento europeo e del Consiglio relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/gai del Consiglio.

Il testo definitivo della direttiva ha visto la luce nella stessa seduta in cui il Parlamento ha approvato il regolamento. Come si legge dalle premesse, esplicitate nei 106 considerando[22] che ne precedono il testo, la direttiva nasce dall’esigenza di predisporre un’ulteriore tutela avverso un uso improprio, quando non illecito, dei dati, nel caso di specie quando essi vengono utilizzati per finalità di polizia.

Premessa l’inapplicabilità[23] di alcuni principi contenuti nel regolamento 2016/679 alle fattispecie regolate dalla direttiva, essa detta le condizioni di liceità per il trattamento dei dati personali per le finalità in essa esplicitate.

Nonostante i diritti dell’interessato siano limitati in ragione delle finalità perseguite, emerge un nucleo di prerogative che devono essere garantite all’interessato, a prescindere dalla sua condizione. Fra queste, vi è la norma secondo la quale al titolare del trattamento spetta mettere a disposizione dell’interessato, quando questi lo richieda, i dati di cui è in possesso. Interessante è l’articolo 18, che introduce un nuovo diritto in capo all’interessato, quello di esercitare i suoi diritti anche attraverso l’autorità di controllo competente: «Gli Stati membri possono disporre che i diritti di cui agli articoli 13, 14 e 16 siano esercitati conformemente al diritto dello Stato membro qualora i dati personali figurino in una decisione giudiziaria, in un casellario o in un fascicolo giudiziario oggetto di trattamento nel corso di un’indagine e di un procedimento penale».

Un altro aspetto rilevante della direttiva, nella quale si riscontra un certo distacco dal regolamento, è dato dall’individuazione del responsabile della protezione dei dati di cui alla sezione terza. Al contrario di quanto avviene nel regolamento, nel quale viene lasciata una certa libertà circa l’individuazione del titolare del trattamento, nel senso che esso può anche non essere designato, la direttiva si limita ad affermare, all’articolo 32, comma 1, che «gli Stati membri dispongono che il titolare del trattamento designi un responsabile della protezione dei dati. Gli Stati membri possono esentare le autorità giurisdizionali e le altre autorità giudiziarie indipendenti quando esercitano le loro funzioni giurisdizionali da tale obbligo».

Ancora, con riferimento alle autorità demandate al controllo e alla vigilanza in tema di trattamento dei dati personali, emerge un’ulteriore divergenza rispetto alla corrispondente sezione del regolamento, che vede il coinvolgimento di diverse autorità operanti in senso trasversale. Nella direttiva, invece, l’Autorità nazionale si configura come organo di vertice al fine di coordinare al meglio tutte le attività transfrontaliere che presiedono al trattamento dei dati, di cui all’articolo 60[24].

 

  1. Conclusione

Ciò premesso, la vastità della materia e la molteplicità delle intersezioni che la tutela della privacy genera con gli altri valori dell’ordinamento comunitario suggeriscono ulteriori approfondimenti, auspicando che nel frattempo gli Stati membri, primi fra tutti l’Italia, armonizzino quanto prima le proprie norme interne secondo i dettami dell’Unione, anche al fine di garantire standard di tutela e di sicurezza omogenei.

 

Avv. Prof. Marco Mastracci, Professore supplente di Diritto Internazionale presso UNICLAM.

 

[1]. Antesignani in tal senso sono stati i francesi, che vantano la più antica legge europea a tutela della privacy (cfr. legge 6 gennaio 1978, n. 78-17, c.d. “Loi Informatique et Libertes”) e l’Inghilterra, il cui Data Protection Act risale al 1988. Dall’art. 1 della citata legge, nella sua versione inglese, si evincono le finalità che la disciplina della privacy intende perseguire: «Information technology should be at the service of every citizen. Its development shall take place in the context of international cooperation. It shall not violate human identity, human rights, privacy, or individual or public liberties». Cfr. https://www.cnil.fr/sites/default/files/typo/document/Act78-17VA.pdf.

[2]. La Commissione europea ha definito il cloud computing (“nuvola informatica”) come «l’archiviazione, l’elaborazione e l’uso di dati su computer remoti e il relativo accesso via Internet. In altre parole gli utenti hanno a disposizione una potenza di elaborazione quasi illimitata, non sono tenuti ad investire grandi capitali per soddisfare le proprie esigenze e possono accedere ai loro dati ovunque sia disponibile una connessione Internet. Il cloud computing ha tutti i numeri per abbattere i costi sostenuti dagli utenti dei servizi tecnologici e per aprire le porte allo sviluppo di tanti nuovi servizi. Grazie all’uso della nuvola informatica, anche le imprese più piccole possono accedere a mercati sempre più grandi, mentre i governi possono rendere i propri servizi più interessanti contenendo i costi. Chiunque acceda, da qualsiasi parte del mondo, alle informazioni del world wide web, ha a disposizione anche la potenza di elaborazione fornita dal cloud computing. Come il web, il cloud computing è una tecnologia sviluppata gradualmente nel tempo e che continuerà a crescere. Tuttavia, rispetto al web, il cloud è ancora agli albori, il che dà all’Europa la possibilità di essere protagonista del suo sviluppo e di trarre profitto sia sul fronte della domanda, sia su quello dell’offerta grazie alla diffusione dell’uso e della fornitura del cloud», in com (2012) 529 final.

[3]. La direttiva de qua, adottata nel 1995, aveva essenzialmente la finalità di salvaguardare il diritto fondamentale alla protezione dei dati nonché di garantire la libera circolazione dei dati personali fra gli Stati membri dell’Unione. Con la direttiva vennero apportate modifiche alle direttive della Commissione 88/301/ceee 90/388/cee, emanate rispettivamente il 16 maggio 1988 e il 28 giugno 1990, concernenti la disciplina della concorrenza dei mercati e delle telecomunicazioni.

[4]. La direttiva 95/46/ceedel Parlamento europeo e del Consiglio, emanata il 24 ottobre 1995, detta norme in merito alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.

[5]. Diversi sono stati in Italia i tentativi di disciplinare la privacy nei vari comparti. Si pensi alla proposta di legge c.d. “Mirabelli”, dal nome del relatore, senatore Franco Mirabelli, recante «Disposizioni in materia di riordino dei giochi», arenatasi in Senato nel corso dell’esame in commissione a fronte della rilevanza degli interessi economici in gioco, fra cui i profitti riconducibili direttamente allo Stato. La proposta di legge mirava a introdurre misure idonee «a tutelare i minori dalla pubblicità dei giochi e a recuperare i fenomeni di ludopatia, a vietare la pubblicità nelle trasmissioni radiofoniche e televisive; a definire le fonti di regolazione dei diversi aspetti legati all’imposizione e ad armonizzare aggi e compensi spettanti ai concessionari; a riordinare la disciplina dei controlli e dell’accertamento dei tributi gravanti sui giochi, nonché il sistema sanzionatorio».

[6]. Si vedano, ex multis, il decreto legislativo 9 maggio 1997, n. 123, recante «Disposizioni integrative e correttive della legge 31 dicembre 1996, n. 675»; il decreto legislativo 28 luglio 1997, n. 255, in materia di notificazione dei trattamenti di dati personali; i decreti legislativi 8 maggio 1998, n. 135, e 6 novembre 1998, n. 389, in tema di trattamento di dati particolari da parte di soggetti pubblici; il decreto legislativo 13 maggio 1998, n. 171, con riferimento alla tutela della vita privata nel settore delle telecomunicazioni in attuazione della direttiva 97/66/cedel Parlamento europeo e del Consiglio, e alla disciplina della privacy nell’attività giornalistica.

[7]. Il dps, abrogato ad opera del decreto legge 9 febbraio 2012, n. 5, convertito dalla legge 4 aprile 2012, n. 35, conteneva: a) l’elenco dei trattamenti aventi ad oggetto i dati personali;b)la distribuzione dei compiti e delle responsabilità nell’ambito delle strutture preposte al trattamento dei dati;c) la risk analysis dei dati; d)le misure da adottare per garantire l’integrità e la disponibilità dei dati, nonché la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilità;e)la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o danneggiamento; f)la previsione di interventi formativi degli incaricati del trattamento, in modo da assicurare una formazione costante e continuativa dal momento dell’ingresso in servizio e in occasione di destinazione a nuove mansioni; g)la descrizione dei criteri da adottare per garantire l’adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformità al Codice, all’esterno della struttura del titolare;h) con riferimento ai dati personali idonei a rivelare lo stato di salute e la vita sessuale, l’individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dalle altre informazioni personali dell’interessato.

[8]. Cfr. Codice di deontologia – Trattamento dei dati personali nell’esercizio dell’attività giornalistica (all. A.1); Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici (all. A.2); Codice di deontologia – Trattamento dei dati personali a scopi statistici in ambito Sistan (all. A.3); Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (all. A.4); Codice di deontologia e di buona condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti (all. A.5); Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive (all. A.6).

[9]. In particolare, l’art. 3 della direttiva succitata rimanda all’art. 2 del Codice laddove afferma che il trattamento dei dati personali deve svolgersi «nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali». La direttiva 1/2005 si colloca, altresì, in un prolifico percorso normativo volto a specificare gli assets del trattamento dei dati personali nei più disparati contesti: si allude alle Linee guida in materia di trattamento dei dati personali di lavoratori per finalità di gestione del rapporto di lavoro alle dipendenze di datori di lavoro privati (del. n. 53 del 23 novembre 2006); Linee guida del Garante per posta elettronica e Internet (Registro delle deliberazioni, del. n. 13 del primo marzo 2017); Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema (del. 27 novembre 2008).

[10]. Tra gli studi più recenti si vedano a. biasiotti, Il nuovo regolamento europeo sulla protezione dei dati. Guida pratica alla nuova privacy e ai principali adempimenti del regolamento ue 2016/679, Epc Editore, Roma, 2016; f. pizzetti, Privacy e il diritto europeo alla protezione dei dati personali. Dalla direttiva 95/46 al nuovo regolamento europeo, Giappichelli, Torino, 2016; s. sica, v. d’antonio, g.m. riccio (a cura di), La nuova disciplina europea della privacy, Cedam, Padova, 2016.

[11]. Si pensi, ad esempio, alle implicazioni connesse al trattamento dei dati nel settore informatico e del web, oggetto, rispettivamente, delle monografie di g. d’acquisto, m. naldi, Big data e privacy by design. Anonimizzazione, pseudonimizzazione, sicurezza, prefazione di Franco Pizzetti, Giappichelli, Torino, 2017, e r. rapicavoli,Privacy e diritto nel web. Le regole. Manuale per operare in rete e fare marketing online senza violare la legge, prefazione di Fabio Lalli, aggiornato al regolamento europeo 2016/679 in materia di protezione dei dati personali, Dario Flaccovio Editore, Palermo, 2017; oppure ai riflessi all’interno della normativa sul lavoro, approfondite in e. barraco, a. sitzia, Potere di controllo e privacy. Lavoro, riservatezza e nuove tecnologie, Wolters Kluwer, Milanfiori-Assago, 2016; ancora, ai profili amministrativi della vicenda trattati, ex multis, da b. ponti (a cura di), Nuova trasparenza amministrativa e libertà di accesso alle informazioni. Commento sistematico al D.Lgs. 33/2013 dopo le modifiche apportate dal D.Lgs. 25 maggio 2016, n. 97, Maggioli Editore, Santarcangelo di Romagna, 2016. Si vedano, infine, le monografie di p. cendon, c. poncibò (a cura di), Il risarcimento del danno al consumatore, Giuffrè, Milano, 2014, afferente ai risvolti della privacy nella tutela del consumatore, mentre il connubio fra del trattamento dei dati e responsabilità civili e penali dei soggetti demandati alla loro gestione è sviscerato da v. pezzella, La diffamazione. Le nuove frontiere della responsabilità penale e civile e della tutela della privacy nell’epoca delle chat e dei social forum, Utet Giuridica, Assago, 2016, con particolare riguardo al fenomeno dei social network.

[12]. In particolare, il regolamento 45/2001, all’art. 2, così dispone: a) definisce “dati personali” «qualsiasi informazione concernente una persona fisica identificata o identificabile (in prosieguo “interessato”); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero d’identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale»; b)con l’espressione “trattamento di dati personali” (in prosieguo trattamento), si intende «qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, l’allineamento o l’interconnessione, nonché il blocco, la cancellazione o la distruzione»; c)qualifica “archivio di dati personali” (in prosieguo “archivio”) «qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico»; d) individua il “responsabile del trattamento” come «l’istituzione o l’organismo della Comunità, la direzione generale, l’unità o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e gli strumenti del trattamento di dati personali. Quando le finalità e i mezzi del trattamento sono determinati da un atto comunitario specifico, il responsabile del trattamento o i criteri specifici per la sua designazione possono essere fissati da tale atto comunitario»; e)è “incaricato del trattamento” «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che elabora dati personali per conto del responsabile del trattamento»; f) vengono qualificati “terzi”«la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che non sia l’interessato, il responsabile del trattamento, l’incaricato del trattamento o le persone autorizzate all’elaborazione dei dati sotto l’autorità diretta di questi ultimi»; g) è “destinatario” «la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che riceve comunicazione di dati, che si tratti o meno di terzi. Non sono tuttavia considerati destinatari le autorità alle quali i dati possono essere comunicati nell’ambito di una missione d’inchiesta specifica»; h) per “consenso dell’interessato” s’intende «qualsiasi manifestazione di volontà libera, specifica e informata con la quale l’interessato accetta che i dati personali che lo riguardano siano oggetto di un trattamento». 


[13]. Istituito dall’art. 47 del regolamento 45/2001, il Garante europeo della protezione dei dati, altrimenti noto come edps (European Data Protection Supervisior), si innesta in una fitta rete di istituzioni cui sono demandate le funzioni di garanzia e di vigilanza nel trattamento dei dati a livello europeo e internazionale. Secondo il succitato articolo l’edps può: offrire consulenza agli interessati nell’esercizio dei loro diritti; rivolgersi al responsabile del trattamento in caso di asserita violazione delle disposizioni sul trattamento dei dati personali e, all’occorrenza, presentare proposte volte a porre rimedio a tale violazione e a migliorare la protezione degli interessati; ordinare che siano soddisfatte le richieste di esercizio di determinati diritti allorché dette richieste siano state respinte in violazione degli articoli da 13 a 19 del regolamento medesimo; rivolgere avvertimenti o moniti al responsabile del trattamento; ordinare la rettifica, il blocco, la cancellazione o la distruzione di tutti i dati che siano stati trattati in violazione delle disposizioni sul trattamento dei dati personali e la notificazione di misure ai terzi ai quali i dati sono stati comunicati; vietare trattamenti a titolo provvisorio o definitivo; adire l’istituzione o l’organismo comunitario in questione e, se necessario, il Parlamento europeo, il Consiglio e la Commissione; adire la Corte di giustizia delle Comunità europee alle condizioni previste dal trattato; intervenire nelle cause dinanzi alla Corte di Giustizia delle Comunità europee; ottenere da un responsabile del trattamento o da un’istituzione o un organismo comunitario l’accesso a tutti i dati personali e a tutte le informazioni necessarie alle sue indagini; accedere a tutti i locali in cui un responsabile del trattamento o un’istituzione o un organismo comunitario svolge le sue attività quando si possa ragionevolmente supporre che in essi venga svolta un’attività in applicazione del presente regolamento. Il panorama delle altre istituzioni coinvolte nella funzione di garanzia e di vigilanza nell’applicazione della normativa europea sul trattamento dei dati comprende le Autorità nazionali garanti presenti in ciascun Stato membro; ilcert, Computer Emergency Response Team, che ha il potere di intervenire con urgenza laddove si verifichino incidenti che compromettano la sicurezza dei dati e delle reti di comunicazione;il csirt; Computer Security Incident Response Team, organizzazione di natura privata a vocazione transnazionale, che fornisce assistenza a qualsiasi utente, azienda, organizzazione governativa ogni qualvolta si verifichi una falla nella sicurezza dei computerin ogni parte del mondo; l’enisa, European Network and Information Security Agency, organo di consulenza dei Paesi membri che opera al fine di predisporre una legislazione specifica, tale da garantire il miglioramento degli standard di sicurezza delle infrastrutture informatiche e delle reti; infine, l’art. 29 working party. Quest’ultimo, noto come “Gruppo per la tutela delle persone con riguardo al trattamento dei dati personali”, nasce dall’art. 29 della direttiva 95/46/ce del Parlamento europeo e del Consiglio dell’Unione europea del 24 ottobre 1995. Trattasi di un organo indipendente, di carattere consultivo, formato dai rappresentanti della o delle Autorità di controllo designate da ciascuno Stato membro, con funzioni propulsive nel rafforzamento della tutela della privacy a livello europeo.

[14]. Cfr. direttiva 2002/58/ce del Parlamento europeo e del Consiglio dell’Unione europea, datata 12 luglio 2002, relativa al «trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche», come modificata dalla direttiva 2009/136/ce del 25 novembre 2009.

[16]. L’art. 89, paragrafo 1, dispone che «il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici è soggetto a garanzie adeguate per i diritti e le libertà dell’interessato, in conformità del presente regolamento. Tali garanzie assicurano che siano state predisposte misure tecniche e organizzative, in particolare al fine di garantire il rispetto del principio della minimizzazione dei dati. Tali misure possono includere la pseudonimizzazione, purché le finalità in questione possano essere conseguite in tal modo. Qualora possano essere conseguite attraverso il trattamento ulteriore che non consenta o non consenta più di identificare l’interessato, tali finalità devono essere conseguite in tal modo».

[17]. In sostanza, siamo di fronte alla stessa forma mentis che è a fondamento della classificazione del segreto delle autorità nazionali di sicurezza.

[18]. Nel caso contemplato dall’art. 8, qualora si applichi l’articolo 6, paragrafo 1, lettera a), (ovvero quando l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità) «per quanto riguarda l’offerta diretta di servizi della società dell’informazione ai minori, il trattamento di dati personali del minore è lecito ove il minore abbia almeno 16 anni. Ove il minore abbia un’età inferiore ai 16 anni, tale trattamento è lecito soltanto se e nella misura in cui tale consenso è prestato o autorizzato dal titolare della responsabilità genitoriale. Gli Stati membri possono stabilire per legge un’età inferiore a tali fini purché non inferiore ai 13 anni. Il titolare del trattamento si adopera in ogni modo ragionevole per verificare in tali casi che il consenso sia prestato o autorizzato dal titolare della responsabilità genitoriale sul minore, in considerazione delle tecnologie disponibili. Il paragrafo 1 non pregiudica le disposizioni generali del diritto dei contratti degli Stati membri, quali le norme sulla validità, la formazione o l’efficacia di un contratto rispetto a un minore».

[19].Ut supra, nota n. 18.

[20]. L’art. 9, par. 1 del regolamento 2016/679, nel disciplinare il trattamento di particolari categorie di dati personali, sancisce che «È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona». Tale norma incontra un’eccezione nel par. 2 del medesimo articolo, ovvero quando «l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1» (art. 9, par. 2, lettera a).

[21]. Cfr. sent. Corte di Giustizia europea nella causa C-131/12,avente ad oggetto la domanda di pronuncia pregiudiziale proposta alla Corte ai sensi dell’articolo 267 tfue, nel procedimentoGoogle Spain sl/Google Inc. contro Agencia Española de Protección de Datos (aepd), e Mario Costeja González. Nel caso di specie l’Agenzia spagnola per la protezione dei dati aveva accoltola denuncia del Sig. González contro le società suddette ordinando a Google Inc. di adottare le misure necessarie per rimuovere dai propri indici alcuni dati personali riguardanti l’interessato e di impedire in futuro l’accesso a tali dati.L’aepd, con decisione del 27 febbraio 2012,motivava il provvedimento sulla base del fatto che i gestori di motori di ricerca sono assoggettati alla normativa in materia di protezione dei dati, poiché essi effettuano un trattamento di dati per il quale sono responsabili e agiscono quali intermediari della società dell’informazione. Per tali ragioni l’Agenzia spagnola ha ritenuto di essere autorizzata ad ordinare la rimozione dei dati nonché il divieto di accesso a taluni dati da parte dei gestori di motori di ricerca, qualora essa ritenga che la localizzazione e la diffusione degli stessi possano ledere il diritto fondamentale alla protezione dei dati e la dignità delle persone in senso ampio, con ciò includendo anche la semplice volontà della persona interessata che tali dati non siano conosciuti da terzi, e affermando altresì che tale obbligo può incombere direttamente sui gestori dei motori di ricerca, senza che sia necessario cancellare i dati o le informazioni dal sito web in cui questi compaiono, segnatamente quando il mantenimento di tali informazioni nel sito in questione sia giustificato da una norma di legge.Le conclusioni dell’Avvocato generale Niilo Jääskinen, presentate alla Corte il 25 giugno 2013 su ricorso di Spain sl/Google Inc., depongono tuttavia in tutt’altra direzione rispetto alla decisione dell’aepd, negando sostanzialmente l’esistenza di un diritto all’oblio all’interno del diritto comunitario. Ciò sulla base del fatto che i gestori dei motori di ricerca, non facendo altro che indicizzare i risultati della ricerca degli utenti della rete attraverso il seo, Search Engine Optimization, dunque attraverso delle keywords, possono tuttalpiù deindicizzare, su richiesta dell’interessato, i dati controversi, gravando sui gestori dei siti web l’obbligo di eliminare le informazioni incriminate, potendo agire direttamente alla fonte del problema. La Corte ha accolto le conclusioni dell’Avvocato generale con sentenza del maggio 2014, facendo salvo il diritto dell’interessato a ottenere la rimozione delle informazioni personali “sgradite” mediante ricorso alle autorità competenti in caso di inottemperanza.

[22]. Si pensi, ad esempio, al considerando n. 7, secondo cui la direttiva vuole «assicurare un livello uniforme ed elevato di protezione dei dati personali delle persone fisiche e facilitare lo scambio di dati personali tra le autorità competenti degli Stati membri» al fine di «garantire un’efficace cooperazione giudiziaria in materia penale e di polizia. Per questo sarebbe auspicabile un livello di tutela equivalente in tutti gli Stati membri dei diritti e delle libertà delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o di esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica. Un’efficace protezione dei dati personali in tutta l’Unione presuppone il rafforzamento dei diritti degli interessati e degli obblighi di tutti coloro che trattano dati personali, nonché poteri equivalenti per controllare e garantire il rispetto delle norme di protezione dei dati personali negli Stati membri». Degno di nota è anche il considerando n. 31, laddove si palesa la necessità di differenziare il trattamento dei dati in base alle diverse categorie di interessati operando, per quanto possibile, una distinzione tra i dati personali relativi a«indiziati, condannati, persone offese e altri soggetti, quali testimoni, persone informate dei fatti, persone in contatto o collegate a indiziati o condannati»,precisando che «ciò non dovrebbe impedire l’applicazione del diritto alla presunzione di innocenza garantito dalla Carta e dalla cedu, come interpretato nella giurisprudenza rispettivamente della Corte di giustizia e della Corte europea dei diritti dell’uomo». Lo stesso principio è affermato dall’art. 6 della direttiva, che distingue fra: a)persone per le quali vi sono fondati motivi di ritenere che abbiano commesso o stiano per commettere un reato; b)persone condannate per un reato; c) vittime di reato o persone che alcuni fatti autorizzano a considerare potenziali vittime di reato;d) altre parti rispetto a un reato, quali le persone che potrebbero essere chiamate a testimoniare nel corso di indagini su reati o di procedimenti penali conseguenti, le persone che possono fornire informazioni su reati o le persone in contatto o collegate alle persone di cui alle lettere a) e b).

[23]. Si allude, ad esempio, al principio che prevede il necessario rilascio del consenso da parte dell’interessato: sarebbe totalmente surreale subordinare un procedimento giudiziario al consenso dell’indagato circa i dati che lo riguardano, necessari all’instaurazione o alla prosecuzione delle indagini. Ancora, in sede di informativa dell’interessato, l’art. 13 della direttiva prevede una serie di eccezioni rispetto alla disciplina generale contenuta nel regolamento circa le modalità del rilascio della stessa, ciò al fine di non intralciare le indagini in corso o di creare effetti deleteri per la sicurezza nazionale.

[24]. «Rimangono impregiudicate le disposizioni specifiche per la protezione dei dati personali contenute in atti giuridici dell’Unione che sono entrati in vigore il o anteriormente al 6 maggio 2016 nel settore della cooperazione giudiziaria in materia penale e della cooperazione di polizia, che disciplinano il trattamento tra Stati membri e l’accesso delle autorità nazionali designate ai sistemi d’informazione istituiti ai sensi dei trattati, nell’ambito di applicazione della presente direttiva».