IL GDPR E LA PROTEZIONE DEI DATI PERSONALI NELL’ERA DIGITALE

Autore: Avv. Clorinda Mancinelli

 

La pandemia da Covid-19 ha portato ad una nuova riflessione in ordine alla tutela dei dati personali. Il ricorso alla tecnologia per dare una continuità alla propria socialità, al proprio lavoro, alla formazione scolastica e professionale, ha portato in tempi strettissimi ad una massiccia digitalizzazione dei nostri dati esponendoli, al tempo stesso, ad una molteplicità di rischi legati al mondo della rete.

Ma procediamo per gradi.

Oltre alle inevitabili delimitazioni concettuali preme, a riguardo, effettuare un breve escursus del quadro normativo a livello nazionale e sovrannazionale, che ha portato alla piena affermazione di questo diritto del nuovo millennio.

Cosa sono i dati personali e cosa intendiamo per protezione dei dati personali e come differisce quest’ultimo dal concetto di privacy?

Il diritto alla protezione dei dati personali rientra a pieno titolo nell’alveo dei diritti fondamentali della persona. Il concetto di tutela della privacy e tutela dei dati personali, ancorché espressione di diritti diversi, sono entrambi posti a presidio della libertà personale e della vita privata del singolo; il primo espressione del diritto di ciascuno di escludere terzi dalla propria sfera inviolabile impedendovi ogni ingerenza o intrusione (right to privacy o right to be alone), l’altro è espressione del diritto di impedire la raccolta o il trattamento o la diffusione, senza il proprio consenso (o altra base giuridica) di qualsiasi informazione che direttamente o indirettamente lo riguardano.

Secondo alcuni il diritto alla protezione dei dati risulta essere contiguo ma non sovrapponibile al diritto alla privacy. Secondo altri,[1] invece, questi diritti pur soddisfacendo bisogni diversi sono tra loro strettamente correlati.

Ad ogni modo, nel linguaggio comune i due concetti tendono inevitabilmente a sovrapporsi.

L’uno e l’altro essendo ormai senza ombra di dubbio riconosciuti come diritti fondamentali della persona sono, al pari di qualunque altro diritto che assurga a suddetto rango, soggetti a un giudizio di bilanciamento ad opera del giudice in relazione a qualsivoglia fattispecie concreta che si trovi ad analizzare[2].

La piena affermazione del diritto alla tutela della propria sfera personale è stato frutto di una lenta e consapevole presa di coscienza da parte della comunità internazionale e di quella comunitaria.

Il primo riconoscimento è avvenuto con la Dichiarazione Universale dei diritti dell’Uomo nel 1948; successivamente il Consiglio d’Europa nel 1950 con la Convenzione europea dei diritti dell’Uomo all’art. 8 ha previsto il diritto al rispetto della vita privata e famigliare, del domicilio e della corrispondenza. Disposizione questa che permetterà successivamente alla Corte europea dei diritti dell'uomo (Corte EDU) di ampliare il significato da ascrivere ai concetti di “vita privata” e “corrispondenza”, gettando le basi per la positivizzazione di un diritto al controllo consapevole su ogni forma di circolazione delle proprie informazioni personali.

Con la carta di Nizza (divenuta giuridicamente rilevante nel 2009 con il Trattato di Lisbona) con gli artt. 7 e 8, viene innalzato esplicitamente il livello di protezione dei dati di carattere personale fino a considerarlo un diritto fondamentale nell’ambito del diritto dell’Unione.

Prima dell’emanazione del nuovo Regolamento UE 2016/679, il punto di riferimento normativo è stato certamente il Codice in materia di dati personali, emanato con D.lgs. del 30 giugno 2003, n. 196 che razionalizza, semplifica e coordina in una specie di “Testo unico” tutte le precedenti disposizioni relative alla protezione dei dati personali.

Occorre precisare che la disciplina ordinata della materia si è resa quanto mai necessaria con l’avvento delle nuove tecnologie, dei computer, dei sistemi di raccolta dei dati, quali le banche dati. Infatti, negli ultimi anni, il potere di controllo dell’individuo sulla circolazione delle informazioni che lo riguardano si è andata configurando come questione centrale ed emergente della società attuale, definita come “società dell’informazione”, dove ai mass-media tradizionali sono andate sovrapponendosi l’informatica e le reti telematiche.

Con l’avvento del Regolamento Ue 2016/679 (GDPR- General Data Protection Regulation) pubblicato in Gazzetta Ufficiale del 27/04/2016, il vecchio codice privacy non viene abrogato del tutto ma viene in gran parte sostituito. Gli oggetti di tutela della nuova disciplina sono essenzialmente due: stabilire che in Europa “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale è un diritto fondamentale” (C1) e “contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e un’unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”[3](C2).

Pertanto il Regolamento mira ad un rafforzamento, rispetto al quadro normativo venutosi a delineare in seguito alla direttiva 95/46/CE, dell’uniformità della disciplina europea della materia e una maggiore attenzione ai profili di attuazione delle norme. A tal fine, la scelta di ricorrere allo strumento del Regolamento al posto della direttiva è evidente ossia, eliminare il rischio di eccessive diversificazioni ad opera degli Stati nel recepimento della stessa. Le disposizioni del regolamento infatti, essendo self executing sono direttamente applicabili nei sistemi giuridici degli stati membri.

Sempre sotto il profilo delle finalità perseguite dal nuovo Regolamento, l’art.1 chiarisce ogni dubbio circa l’oggetto della tutela, ossia le nuove regole si preoccupano di tutelare solo i dati personali riferibili alle persone fisiche escludendo di netto qualsiasi soggetto diverso da esse (art.1 par. 1 “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla circolazione di tali dati”).

Per dato personale poi l’art. 4 (“Definizioni”) prevede che debba intendersi “qualsiasi informazione riguardante una persona fisica identificata o identificabile” fornendo una elencazione non esaustiva di “informazioni” quali “il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo on line o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale e sociale”. Si evidenzia al riguardo, come l’evoluzione della tecnologia abbia di fatto modificato l’ambito delle informazioni qualificabile come “dato personale” estendendo così il raggio della tutela accordata dal GDPR; è da considerarsi dato personale l’indirizzo IP, le proprie immagini riprese da un sistema di videosorveglianza, come anche il proprio account di posta elettronica o dei social media che rappresentano ormai un riflesso della propria identità in rete (si parla infatti del reato di furto d’identità quando gli account sono oggetto di rappresaglia da parte degli hacker).

Il nuovo Regolamento introduce significative innovazioni alcune delle quali meritano, in questa sede, una opportuna attenzione.

Il principio dell’accountability (tradotto in italiano principio di responsabilizzazione) costituisce una delle maggiori novità introdotte dal GDPR. L’art. 5 del Regolamento infatti, nel delineare i principi applicabili al trattamento dei dati personali prevede nell’ultimo capoverso (par. 2) che il titolare del trattamento, ossia colui che determina finalità e mezzi del trattamento, è tenuto all’osservanza dei suddetti principi ed è in grado di comprovarlo. Sarà dunque il titolare del trattamento a scegliere quali sono le misure tecniche e organizzative più adeguate, come vedremo, per essere compliance al Regolamento ed essere in grado di dimostrare, in caso d’ispezione da parte dell’Autorità di controllo, dell’avvenuto adempimento degli obblighi ivi imposti. Ed invero, una delle implicazioni più dirette del principio di responsabilizzazione risiede nell’art. 24 GDPR rubricato “Responsabilità del trattamento” in base al quale il titolare del trattamento deve predisporre misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento.

La nuova normativa sembra dunque incoraggiare il titolare ad un comportamento proattivo sin dalla prima fase di progettazione del trattamento dei dati secondo il principio della privacy by design.

La questione si ricongiunge inevitabilmente al tema oggetto della presente trattazione. Nel mondo odierno, sempre più globalizzato, sempre più connesso, la problematica relativa alla tutela dei dati personali è destinato inevitabilmente a travalicare il confine europeo.

Il Regolamento infatti, pone l’attenzione su fenomeni che all’epoca della direttiva non erano ipotizzabili e che, specie negli ultimi tempi come detto in premessa, si sono notevolmente accentuati e che riguardano il trattamento dei dati personali nel Web.

In rete i dati sono destinati a circolare a livello globale, al di là di ben delineati confini spaziali, implicando inevitabili profili di problematicità in ordine alla legge applicabile e creando asimmetrie regolatorie tra Paesi che sono al di fuori del confine europeo ma che hanno aziende che offrono beni e servizi a cittadini europei e Paesi che invece rientrano in Europa e che sono soggetti a tutti quei limiti che l’Europa impone agli operatori privati che offrono servizi[4]. Proprio per ovviare a questo inconveniente, l’Europa ribadisce con forza l’importanza della propria normativa prevedendone l’applicazione anche al di fuori del proprio territorio a tutela dei propri cittadini, quando il trattamento dei dati personali riguarda l’offerta agli stessi di prodotti o servizi o il controllo dei loro comportamenti[5]. Quindi del tutto a prescindere dal luogo di stabilimento del titolare o dal luogo in cui i server, computer o altri strumenti tecnici preposti al trattamento siano ubicati[6].

A questo punto occorre domandarsi se il titolare del trattamento sia intenzionato o meno ad offrire beni o servizi a cittadini residenti in uno o più Stati dell’Unione Europea. Una siffatta intenzione non può essere desunta dal solo fatto che il sito web del titolare sia accessibile dall’Unione europea ovvero indichi una o più coordinate per contattare il gestore del sito (per esempio un indirizzo e-mail); è parimenti di per sé insufficiente la circostanza che il sito web impieghi una lingua normalmente utilizzata nel Paese terzo in cui è stabilito il soggetto che tratta i dati, ancorché tale lingua possa essere di utilizzo anche in uno o più Paesi membri. Pertanto come previsto espressamente dal Considerando 23, l’intenzione di offrire beni o servizi a persone fisiche di uno o più dei Paesi membri può essere desunta dai seguenti indici:

  • l’utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri;
  • la menzione di clienti e utenti che si trovano nell’Unione europea;
  • l’utilizzo di un nome a dominio che faccia riferimento a un Paese membro (ad esempio di un dominio di primo livello nazionale come “.it”) o comunque la creazione di versioni del sito web dedicate agli utenti di uno o più Stati membri;
  • la possibilità di ordini internazionali con consegna all’interno di uno o più Stati membri[7]

Da quanto detto risulta evidente la volontà da parte dell’Unione europea di proteggere i propri cittadini soprattutto rispetto agli aspetti più significativi dei social network, nell’uso dei cookies utilizzati soprattutto ai fini della profilazione dell’utente e dei sistemi di cloud computing. Pertanto i soggetti interessati (ossia i soggetti cui si riferiscono i dati personali) residenti in Europa potranno agevolmente contare sulla protezione accordata dalla normativa europea a prescindere dal luogo in cui il titolare del trattamento sia collocato. Nello scenario descritto, il principio di accountability è destinato a travalicare i confini spaziali dell’Unione per essere applicato al titolare stabilito in un luogo extra UE il quale sarà tenuto a dimostrare di essere accountable rispetto alla normativa dell’Unione in materia di protezione dei dati personali.

Prettamente connesso al principio dell’accountability del titolare è la scelta da parte di quest’ultimo di misure tecniche ed organizzative adeguate al tipo di trattamento da svolgere. Pertanto sarà tenuto, specie per i trattamenti informatizzati dove il rischio di attacchi hacker è altissimo, a scegliere quelle misure di carattere tecnologico volte a ridurre (il rischio zero non è ipotizzabile) il rischio di sottrazione, distruzione, limitazione nell’accesso dei dati (il c.d. data breach).

Ricordiamo infatti come oggi più che mai si tende ad affidare i propri dati personali (inclusi quelli sensibili) a sistemi digitalizzati. Anche le aziende tendono a custodire delicate informazioni aziendali (know how/proprietà intellettuali, business plan ecc.), elenchi di fornitori e clienti su sistemi informatici, i quali se sottratti o resi non più disponibili possono creare ingenti danni economici e, non da ultimo, reputazionali.

Una delle ipotesi sicuramente più problematiche di data breach è oggi rappresentata dai cyber attacchi, ossia, violazioni dei dati perpetrate da hacker, molto spesso professionisti e operanti tramite vere e proprie organizzazioni, che utilizzano diversi strumenti o modalità per insidiarsi nei dispositivi elettronici delle vittime e compromettere, sottrarre, o comunque utilizzare illecitamente i dati personali delle stesse.

L’evoluzione tecnologica ha contribuito anche all’affinamento di tecniche sempre più efficaci per compiere tali attacchi informatici, mettendo così sempre più a rischio la sicurezza dei dati affidati alla rete.

Vi sono ormai tecniche conosciute dai più avvezzi, quali ad esempio il phishing, caratterizzato dall’invio di un messaggio di posta elettronica, molto spesso da un contatto conosciuto dal soggetto contenente un virus, che si insidia nel dispositivo qualora il destinatario della mail clicchi sul link infetto.

Altre meno conosciute e prevedibili come l’attacco ransomware, tipo di malwareche determina il blocco dei propri dati tramite crittografia degli stessi, che potrà essere ripristinato soltanto al pagamento di un riscatto. Oppure i c.d. worm, programmi capaci di insidiarsi silenziosamente in un dispositivo, per poi propagarsi in altri dispositivi connessi, tramite la rete, gli accessi da internet, lo scambio di mail.

Anche semplici errori umani posso essere forieri di violazioni alla sicurezza dei dati: pensiamo alla perdita di dispositivi (USB/harddisk) contenenti dati personali, la mancata chiusura di sessioni di lavoro, la scelta di password identiche per diversi account, il mancato svolgimento periodico del back up dei dati, l’invio errato di e-mail dal contenuto riservato, o ancora l’assenza di un sistema adeguato di protezione dei device (firewall e antivirus).

Rischi questi che potranno essere utilmente scongiurati mediante un’adeguata formazione del personale da parte del titolare del trattamento dei dati personali quale misura di carattere organizzativo da predisporre nell’ambito del contesto lavorativo.

Nell’ottica del GDPR, infatti, la sicurezza dei dati personali deve essere considerata un fattore di costo ineludibile per le organizzazioni: non più tanto una scelta economica rimessa alla mera discrezionalità del “proprietario” delle informazioni o alla sua lungimiranza, quanto a un vero e proprio dovere giuridico di condotta a fronte del quale, in virtù del principio di accountability, il titolare del trattamento è investito di importanti profili di responsabilità[8].

Tutto ciò fa comprendere come i dati (pensiamo anche ai big data) rappresentano il tesoro del nuovo millennio, soggetto a furti e a rivendita sul dark web. Perciò oggi, come non mai, i titolari del trattamento sono chiamati a compiere scelte oculate sin dal momento della progettazione del trattamento.

L’operazione di trattamento dei dati è un’attività per sua natura intrinsicamente pericolosa, perciò la prevenzione dal concretizzarsi dei rischi rappresenta una delle principali direttive del nuovo Regolamento.

I rischi quindi che le misure di sicurezza devono essere in grado di scongiurare perché non si determini in capo agli interessati un danno fisico, materiale ovvero immateriale, sono essenzialmente di tre tipi: 1) violazione della disponibilità (distruzione accidentale o illecita o perdita dei dati personali); 2) violazione dell’integrità (alterazione dei dati personali); 3) violazione della riservatezza (divulgazione o accesso non autorizzato)[9].

Le conseguenze della violazione dei dati personali (data breach) sono delle più disparate: la perdita del controllo dei dati, la perdita di riservatezza dei dati, il furto o l’usurpazione d’identità dell’interessato (si pensi all’appropriazione del proprio account di posta elettronica o del profilo social), il pregiudizio alla reputazione (pensiamo ai casi di revenge porn), la decifratura non autorizzata della pseudonimizzazione, perdite finanziarie o qualsiasi altro danno economico o reputazionale che ne possa derivare.

In passato con la disciplina delineata dal D.lgs. 196/2003 (Codice Privacy) si distingueva tra misure di sicurezza minime e misure di sicurezza idonee delineando, in caso di mancata adozione delle une o delle altre da parte del titolare, un diverso regime di responsabilità: in caso di mancata predisposizione di misure di sicurezza minime si configurava una responsabilità di tipo penale, mentre nel secondo caso il titolare sarebbe andato incontro all’obbligo risarcitorio ai sensi dell’art.2050 c.c.

La ratio di questa differenziazione appare evidente.

Per tracciare una linea di demarcazione fra le misure idonee e quelle minime, bisogna tener presente il dettato del previgente art. 31 del D.lgs. n. 196/2003, il quale, in relazione alle prime, ne prevedeva la preventiva adozione in base: alle conoscenze acquisite tenendo conto del progresso tecnico, alla natura dei dati oggetto di trattamento ed alle specifiche caratteristiche del trattamento, ossia se effettuato mediante mezzi elettronici o meno.

La categoria delle misure idonee e preventive era costituita da tutte quelle misure da adottare in via generale, in aggiunta a quelle specificamente previste dal legislatore. In particolare, il riferimento al progresso tecnico, risultava essere di cruciale importanza, in quanto non avendo il legislatore individuato in maniera diretta le misure idonee, così facendo ne garantiva comunque l’aggiornamento in automatico, non essendo possibile del resto, pretendere di riunire e di aggiornare in modo repentino tutte le possibili misure di sicurezza.

Le misure idonee dunque, potevano agevolmente individuarsi seguendo i principi informatici alla base della cyber security: riservatezza, autenticazione, integrità, non ripudio, controllo dell’accesso, e infine disponibilità. Tali principi, trovavano infatti piena attuazione nell’art. 31, laddove si disponeva che dovessero essere ridotti al minimo i rischi di distruzione o perdita dei dati, anche in via accidentale, di accesso non autorizzato, o di trattamento non consentito o non conforme alle finalità della raccolta.

Gli artt. 33-36, invece, recavano la disciplina delle misure minime di sicurezza, per l’individuazione specifica delle quali tuttavia, era necessario far riferimento all’Allegato B del Codice. Dunque, i titolari dei trattamenti, salvo ulteriori obblighi, dovevano in ogni caso rispettare, in via preventiva, tali previsioni legislative, le quali miravano ad assicurare uno standard minimo di sicurezza, al di sotto del quale non poteva ritenersi sussistente un adeguato livello di protezione sui dati personali trattati[10].

Diversamente dal passato, la nuova normativa europea delineata dal GDPR non fa distinzioni tra livello minimo e livello “idoneo” di sicurezza e ciò in ragione del fatto che in ossequio al principio dell’accountability, sarà il titolare a valutare l’adeguatezza delle misure in relazione alle fonti di rischio specificamente individuate (anche per il tramite della Valutazione d’impatto, ulteriore novità introdotta dal GDPR). Al riguardo l’art. 32, par. 1 del Regolamento prevede una elencazione non esaustiva di misure presuntivamente ‘adeguate’ “tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (..)”:

a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.

Per quanto concerne ad esempio la pseudonimizzazione, questa deve essere intesa come un particolare trattamento dei dati personali realizzato in modo tale che i dati stessi non potranno più essere attribuiti direttamente ed automaticamente ad un interessato specifico. Infatti, i trattamenti saranno pseudonimizzati quando tali dati potranno essere ricondotti all’interessato cui si riferiscono solo attraverso l’impiego di altre informazioni aggiuntive, che dovranno essere, a tal fine, conservate separatamente e con l’impiego di precauzioni tecniche e organizzative adeguate[11]. La finalità ultima è difatti quella di garantire che i dati personali non possano essere attribuiti ad una persona fisica identificata o identificabile.

La cifratura invece, è la tecnica con la quale i dati personali vengono resi incomprensibili a chiunque non sia autorizzato ad accedervi e consiste nella conversione delle informazioni originali in una sequenza apparentemente casuale di lettere, numeri e segni speciali (passphrase) che solo la persona in possesso della corretta chiave di decifratura potrà riconvertire in file di testo originale[12].

La norma fa poi riferimento al concetto di resilienza dei sistemi e dei servizi informatici che trattano i dati personali. Questo concetto si riferisce genericamente, alla capacità intrinseca di un sistema di adattarsi alle condizioni d’uso e di resistere all’usura al fine di assicurare sempre la disponibilità dei servizi che vengono forniti e l’adeguata protezione dei dati che vengono trattati con tali sistemi.

La disposizione attribuisce, poi, rilievo anche al concetto di disaster recovery, che consiste nella capacità di reagire in modo efficace e tempestivo ad eventuali criticità dovute ad incidenti fisici o tecnici, allo scopo di ripristinare la disponibilità e l’accesso dei dati personali oggetto di trattamento[13].

Se dunque, un tempo la disciplina della sicurezza dei dati prevedeva in capo ai soggetti attivi del trattamento, il rispetto di un generico obbligo di diligenza, il nuovo Regolamento prescrive, invece, una serie di obblighi positivi anche di natura tecnica e procedimentale, tali per cui è oggi necessario che i titolari del trattamento (come anche il responsabile) abbiano conoscenze non più solo giuridiche e organizzative ma anche informatiche. Essi infatti monitorando le operazioni di trattamento, devono essere in grado di far fronte a tutte le esigenze sollevate dal caso concreto, non solo nella fase della progettazione del sistema informatico, ma anche in quella del suo utilizzo, in caso di malfunzionamento o di violazione della sicurezza dei dati (data breach), prevedendo inoltre un piano di emergenza che permetta di attuare un sistema alternativo di elaborazione dei dati da utilizzare in attesa della completa riattivazione dei sistemi informatici.

Un altro aspetto preso in considerazione dal nuovo Regolamento e che alla luce della recente pronuncia della Cassazione pone l’obbligo di soffermarsi, è la c.d. profilazione[14].

I processi decisionali automatizzati avvengono essenzialmente mediante l’utilizzo di tecnologie; il ricorso a questi meccanismi ivi inclusa la profilazione, è sempre più in corso di espansione: dal settore bancario a quello sanitario e assicurativo e così via. Il progresso tecnologico ha di fatto reso questi trattamenti maggiormente efficienti ed economici non senza rischi però per i diritti e le libertà dei soggetti che li vedono coinvolti. Si osserva a riguardo come i processi decisionali automatizzati si basino su algoritmi complessi e spesso sconosciuti agli interessati. Da qui la definizione dell’attuale società dell’informazione quale “black box society”[15].

Inoltre l’utilizzo di meccanismi automatizzati porta alla creazione di nuovi dati aggiuntivi rispetto a quelli originali con il rischio di non essere del tutto corretti e di conseguenza di inserire l’interessato in una categoria ad esso estranea. Il tutto a discapito del principio di autodeterminazione informativa e del diritto di ciascuno di costruire e controllare la propria identità sociale.

Al fine di evitare suddetti rischi il GDPR individua una serie di obblighi a carico del titolare proprio al fine di rafforzare la tutela degli interessati coinvolti in questo tipo di trattamenti: prescrizioni specifiche in tema di trasparenza e correttezza, basi giuridiche specifiche, esecuzione della valutazione d’impatto, il consenso specifico dell’interessato per le attività di marketing (ivi inclusa per i cookie c.d. profilanti).

La profilazione, come accennato in antecedenza, si svolge essenzialmente mediante l’utilizzo di tecnologie e si compone essenzialmente, come lo si ricava dalla definizione fornita a norma dell’art.4, par. 4, dei seguenti elementi di base: 1)forma automatizzata, 2) deve riguardare dati personali 3) persegue l’obiettivo di studiare il comportamento delle persone fisiche. Attraverso la profilazione infatti, si raccolgono informazioni su un individuo, si analizzano le sue caratteristiche/scelte, si inserisce il profilo in un cluster per eseguire successivamente valutazioni o previsioni basate su una serie di deduzioni statistiche relative alla capacità del singolo di compiere attività relative ai suoi interessi o ai suoi comportamenti[16] (il più delle volte per promuovere prodotti o servizi che potranno essere d’interesse al soggetto analizzato in base alle scelte pregresse compiute dallo stesso).

Il processo automatizzato che non prevede l’intervento umano perché appunto “automatizzato” potrà basarsi su: dati forniti direttamente dall’interessato, dati ricavati da tool traccianti (es. app di geolocalizzazione), dati derivanti da profili creati in precedenza come l’affidabilità creditizia.

Il Regolamento vieta l’adozione di decisioni prese unicamente su trattamenti automatizzati, ossia di processi decisionali nei quali l’essere umano non esercita un’influenza effettiva sull’esito della decisione e sempre che il trattamento “produca effetti giuridici o che incida in modo analogo significativamente sulla persona” (art.22, par.1).

Quanto alla sussistenza di un “diritto alla spiegazione” da parte dell’interessato in ordine al funzionamento dei processi decisionali automatizzati basati su algoritmi, la Suprema Corte di Cassazione si è espressa di recente con la seguente massima: “il presupposto della liceità del trattamento è proprio costituito dalla validità del consenso che si assume prestato al momento dell'adesione. E non può logicamente affermarsi che l'adesione a una piattaforma da parte dei consociati comprenda anche l'accettazione di un sistema automatizzato, che si avvale di un algoritmo, per la valutazione oggettiva di dati personali, laddove non siano resi conoscibili lo schema esecutivo in cui l'algoritmo si esprime e gli elementi all'uopo considerati[17].

D’altronde un diritto dell’interessato alla spiegazione degli algoritmi dei processi automatizzati sarebbe di per sé desumibile dalla lettura sistematica di diverse diposizioni quali l’art.13 par. f), l’art.14 par. 2 lett. g), l’art.15 e l’art.22) ai sensi dei quali in caso di trattamento automatizzato all’interessato sono riconosciute due tipologie di protezione. In primo luogo, ha diritto di conoscere l’esistenza di un determinato trattamento e informazioni significative sulla sua logica, significato e conseguenze. In secondo luogo, l’interessato ha diritto a non essere sottoposto a tale trattamento (diritto di opposizione)[18].

Dopo un iter durato ben quattro anni l’Unione europea è in procinto di adottare il nuovo Regolamento e-privacy. Le norme aggiornate in materia di “e-privacy” sostituiranno la vigente Direttiva e-Privacy del 2002 introducendo importanti cambiamenti nei settori fondamentali dell’economia digitale, dall’online advertising al direct marketing, con impatti su tutte le organizzazioni attive nel settore digitale dalle web company, alle società di telecomunicazioni, social network, sviluppatori di software e app.

Il Regolamento prevede un divieto generale di trattamento del contenuto e dei metadati delle comunicazioni elettroniche, tranne nei casi in cui l’utente finale abbia prestato il proprio consenso ovvero sussista una delle eccezioni previste dalla normativa che ne legittimi il trattamento. Il presupposto è che il trattamento dei dati e dei contenuti delle comunicazioni elettroniche comporti rischi elevati per i diritti e le libertà delle persone fisiche, soprattutto in considerazione della pervasività delle tecnologie.

In tal senso, il primo Considerando del Regolamento e-Privacy sottolinea il fatto che il principio di riservatezza dovrebbe applicarsi agli attuali e ai futuri mezzi di comunicazione. Il Regolamento intende, inoltre, semplificare e rafforzare la disciplina in materia di cookies, introdotta con la Direttiva e rafforzare la tutela degli utenti dalle comunicazioni indesiderate e di marketing diretto.

Quanto ai rapporti tra Regolamento e-privacy e GDPR, occorre rilevare come le norme del nuovo Regolamento avranno una funzione integrativa di quelle contenute nel GDPR declinando i principi e le regole generali in materia di protezione dei dati personali, in norme specifiche volte a disciplinare le comunicazioni elettroniche. Nel caso in cui il Regolamento e-Privacy non stabilisca norme specifiche, il GDPR resta applicabile a qualsiasi trattamento di dati personali. 

Come affermato dall’EDPB (European Data Protection Board) nella sua Opinion 5/2019 sull’interazione tra la Direttiva e-Privacy e GDPR, le disposizioni della Direttiva precisano quelle contenute nel GDPR con riguardo al trattamento dei dati personali nel settore delle comunicazioni, in forza del principio lex specialis derogat legi generali. Ciò vale anche per il Regolamento e-Privacy con la conseguenza che, in caso di contrasto tra norme, quella speciale del Regolamento e-privacy sarà destinata a prevalere[19].

La scelta della fonte regolamentare poi, sottolinea ancora una volta l’intento dell’Unione europea, di garantire una armonizzazione delle legislazioni nazionali nella materia della protezione dei dati applicata nello specifico al settore in cui gli stessi dati, nel futuro, sono destinati per lo più a circolare - ossia nel mondo del digitale.

Il GDPR e il prossimo Regolamento sulla e-privacy non lasciano alcun dubbio sulla crescente preoccupazione dell’Unione europea in ordine alla insidiosità che le nuove tecnologie portano con sé. Se da un lato infatti, sono indubbi i vantaggi in termini di efficienza ed economicità, dall’altro enormi sono i rischi in cui i diritti e le libertà dei singoli possono incorrere: attacchi hacker che infettano i sistemi rubando i nostri dati destinandoli a mercati sconosciuti (dark web) o grandi compagnie multinazionali che lucrano anch’essi in maniera più o meno lecita sui dati che gli utenti inconsapevolmente forniscono creando così dei veri e propri business. Il legislatore europeo consapevole della situazione insidiosa che via via va sempre più delineandosi, fornisce ai cittadini gli strumenti adeguati atti a difendersi. Spetterà, si spera, ai singoli dotarsi dell’opportuna formazione e attenzione, agendo in maniera oculata evitando i pericoli della rete e mettendo così al riparo i propri dati personali in maniera intelligente e responsabile.

 

[1]PIZZETTI, Privacy e il diritto europeo alla protezione dei dati, Torino 2016, 241

[2]Si veda al riguardo, il C4 del Regolamento Ue a norma del quale “(…) il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.

[3]GIOVANNI MARIA RICCIO, GUIDO SCORZA, ERNESTO BELISARIO, GDPR e Normativa Privacy Commentario, IEd., Wolters Kluwer, 2018

[4]GIOVANNI MARIA RICCIO, GUIDO SCORZA, ERNESTO BELISARIO, GDPR e Normativa Privacy Commentario, I Ed., Wolters Kluwer, 2018

[5]Si veda l’art. 3, par. 2 rubricato “Ambito di applicazione territoriale” a norma del quale “Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:

l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;

oppure
b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione
”.

[6]BOLOGNINI-PELINO, Ambito di applicazione del Regolamento, in BOLOGNINI-PELINO-BISTOLFI, Regolamento Privacy Europeo, Milano 2016, 8, 10-12, 15,17

[7]VOIGT-VON DEM BUSSECHE, The EU General Data Protection Regulation (GDPR) – Apractical Guide, eBook  2017, 26.

[8]IMPERIALI-IMPERIALI, Codice della Privacy, Commento alla normativa sulla protezione dei dati personali, Milano 2005, 250 ss.

[9]MANTELERO, Il nuovo approccio alla valutazione del rischio nella sicurezza dei dati, in FINOCCHIARO, Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna 2017, 288 ss.

[10]https://www.cybersecurity360.it

[11]Si veda a riguardo la definizione di pseudonimizzazione fornita all’art.4, par.5 “il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile”.

[12]MINISTERO DELLA DIFESA, https: //www.difesa.it

[13]www.dirittodellinformatica.it

[14]Art.22 GDPR. Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
1. L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.
2. Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l'esecuzione di un contratto tra l'interessato e un titolare del trattamento;
b) sia autorizzata dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato;
c) si basi sul consenso esplicito dell'interessato.
3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.
4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, a meno che non sia d'applicazione l'articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato.)

[15]MALGIERI-COMANDÈ, Why a Right to Legibility of Automated Decision-Making Exists in General Data Protection Regulation

[16]https://www.altalex.com/documents/news/2021/06/07/sistemi-automatizzati-per-consenso-serve-trasparenza-algoritmo

[17]Cassazione civile, sez. I, ordinanza n. 14381/2021

[18]GDPR e normativa privacy Commentario I edizione Ed. Wolters Kluwer, p.226

[19] https://www.agendadigitale.eu/sicurezza/nuovo-regolamento-eprivacy-obiettivo-2025-i-temi-sul-tavolo/