GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory

Pagina creata da Giorgio Ceccarelli
 
CONTINUA A LEGGERE
GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory
Avv. Antonio Gerardo Giso

        GDPR E DATA
        PROTECTION
    COME CAMBIA LA TUTELA
       DELLA PRIVACY

                                     Collana a cura di
                            Avv. Andrea Davide Arnaldi

Con il contributo di:
GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory
I SAGGI DI
             Collana a cura di
             Avv. Andrea Davide Arnaldi
GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory
Avv. Antonio Gerardo Giso

GDPR E DATA PROTECTION
COME CAMBIA LA TUTELA DELLA PRIVACY
GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory
SOMMARIO

 1     PAG.5 |    INTRODUZIONE

2      PAG. 6 |   EVOLUZIONE STORICA DEL CONCETTO DI
                  DATO PERSONALE

33.1
       PAG. 8 |

       PREMESSA
                  QUADRO GENERALE. LE PRINCIPALI NOVITÀ

 3.2   PERIMETRO ED AMBITO DI APPLICAZIONE TERRITORIALE
 3.3   GLI UTENTI DEI DATI PERSONALI
 3.4   LE INFORMAZIONI SUL TRATTAMENTO
 3.5   IL   IRITTO ALLA AN ELLAZIONE   IRITTO ALL O LIO
 3.6   DATA PORTABILITY
 3.7   PRIVACY BY DESIGN E PRIVACY BY DEFAULT
 3.8   DATA BREACH
 3.9   PRIVACY IMPACT ASSESSMENT
3.10   DATA PROTECTION OFFICER
3.11   REGISTRO DEL TRATTAMENTO
3.12   REGIME SANZIONATORIO

4      PAG. 66 |   CONCLUSIONI
GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory
1
    INTRODUZIONE

    Il concetto di data protection compare, per la prima volta, in un
    saggio del 1890 sulla Harvard Law Review, «The right to data
    protection», ad opera di Samuel D. Warren e Louis D. Brandeis,
    concependo «the right to be let alone» e cioè il diritto ad essere
    lasciati soli, nei confronti di chiunque.
    I
    privacy

    S                                                privacy, in Italia,

    completa sulla data protection

    Il problema principale che si poneva nel nostro Paese era quello

    cui per lungo tempo, si sono contrapposti interventi legislativi
    sporadici, inadeguati oltre che ispirati a logiche settoriali e

    fondamentale.

                                                                           5
GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory
2
        EVOLUZIONE
        STORICA DEL
        CONCETTO
        DI DATO
        PERSONALE
    In Italia, il primo effettivo riconoscimento si ebbe ad opera della Corte Co-
    stituzionale, con la sentenza 12 aprile 1973 n. 38, nella quale si riconob-
    be il diritto alla riservatezza tra i diritti inviolabili, sulla base degli artt. 3, 13
    e 21 Cost., nonché degli artt. 8 e 10 della Convenzione Europea per i dirit-
    ti dell’uomo.

    Fece seguito un intervento della Suprema Corte di Cassazione, la quale - nel
    1975 – riconosce(va), espressamente, il diritto alla riservatezza quale “tutela
    di quelle situazioni e vicende strettamente personali e familiari le quali, an-
    che se verificatesi fuori dal domicilio domestico non hanno per i terzi un in-
    teresse socialmente apprezzabile (…)” (Cass. Civ., Sez. II, 27.05.1975 n. 2129).

    Nei primi anni novanta, determinante fu l’intervento del legislatore comuni-
    tario: la Direttiva 95/46/CE del 24.10.1995, in materia di «Trattamento e libera
    circolazione dei dati personali» costrinse il legislatore nazionale a disciplina-
    re, finalmente, la materia con la Legge 31.12.1996 n. 675 «Tutela delle perso-
    ne e di altri soggetti rispetto al trattamento dei dati personali», determinan-
    do, nella sostanza, il riconoscimento formale del diritto dalla data protection.

    6
GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory
GDPR E DATA PROTECTION EVOLUZIONE STORICA DEL CONCETTO DI DATO PERSONALE

In pochi anni, tuttavia, la Legge n.       ti quali l’affidabilità, la competenza
675/1996 fu oggetto di numero-             aziendale e la proattività nella ge-
se modifiche sino ad essere qua-           stione dei dati personali (cd. «risk
si integralmente trasfusa nel D.Lgs.       based»).
30.06.2003 n. 196, noto come «Co-
dice in materia di protezione dei dati     Al fine di rendere l’ordinamento
personali».                                perfettamente coerente alle novi-
                                           tà comunitarie, il 04.09.2018 veni-
Con il passare degli anni e, soprat-       va pubblicato (in vigore dal 19 set-
tutto alla luce dell’evidente progres-     tembre del medesimo anno) il D.Lgs.
so tecnologico, sia in ambito nazio-       10.08.2018 n. 101, di coordinamento
nale che europeo, si avvertiva forte       alla normativa comunitaria, median-
l’esigenza (comunitaria) di emanare        te il quale si abrogavano numero-
un nuovo corpus normativo in ma-           se disposizioni del Codice Privacy -
teria di data protection. Il 25.05.2018    in quanto incompatibili con il GDPR
è divenuto efficace il Regolamento         - introducendo, contestualmente,
(UE) n. 679/2016 – pubblicato in da-       nuovi precetti normativi.
ta 04.05.2016 in Gazzetta Ufficiale
– relativo alla protezione delle per-      Tale decreto è stato emanato nel ri-
sone fisiche con riguardo al tratta-       spetto di quanto sancito dall’art. 13
mento dei dati personali nonché al-        della Legge 25.10.2017 n. 163 «De-
la loro libera circolazione.               lega al Governo per il recepimento
Corpus composto da 99 articoli e           delle direttive europee e l’attuazio-
173 considerando – laddove, que-           ne di altri atti dell’Unione europea -
sti ultimi, hanno solo un valore in-       Legge di delegazione europea 2016-
terpretativo – è noto anche come           2017», contenente, a sua volta, una
«GDPR» ovvero «General Data Pro-           delega, in favore del Governo, af-
tection Regulation».                       finché provvedesse all’adeguamen-
                                           to della normativa nazionale alle di-
Il Regolamento ruota attorno ad un         sposizioni del GDPR.
principio di fortissima portata inno-      Nell’ambito della delega conferi-
vativa: il principio di accountability     ta, l’intervento legislativo ha seguito
– tradotto, in lingua italiana, come       tre linee direttrici: coordinamento,
principio di responsabilizzazione –        semplificazione ed integrazione.
il quale non si risolve nella mera re-
sponsabilità, ma coinvolge aspet-

                                                                                   7
3
        QUADRO GENERALE
        le principali novità
    3.1      PREMESSA
    3.2      PERIMETRO ED AMBITO DI APPLICAZIONE TERRITORIALE
    3.3      GLI UTENTI DEI DATI PERSONALI
    3.4      LE INFORMAZIONI SUL TRATTAMENTO
    3.5      IL IRITTO ALLA AN ELLAZIONE                 IRITTO ALLO LIO
    3.6      DATA PORTABILITY
    3.7      PRIVACY BY DESIGN E PRIVACY BY DEFAULT
    3.8      DATA BREACH
    3.9      PRIVACY IMPACT ASSESSMENT
    3.10     DATA PROTECTION OFFICER
    3.11     REGISTRO DEL TRATTAMENTO
    3.12     REGIME SANZIONATORIO

    3.1 PREMESSA
    Il GDPR segna una evoluzione storica          ed estesa di impianti di elaborazio-
    della data protection. Il cambiamento         ne e trasmissione elettronica dei
    essenziale è costituito dal cambio di         dati, hanno determinato una mo-
    prospettiva che si realizza grazie alle       difica strutturale dei dati personali
    nuove norme. Sino al 2016, al centro          che sono diventati un valore in sé,
    delle normative in tema di tutela del-        un bene giuridico degno di tutela.
    la privacy era stata posta la persona,
                                                  In questa ottica, il GDPR diventa stru-
    intesa come persona fisica, titolare di
                                                  mento di competizione economica
    diritti, depositaria di interessi legittimi
                                                  rilevante, un vero e proprio Statuto
    e di aspettative che l’ordinamento ri-
                                                  della Data Economy che consiste, per
    conosce(va) e tutela(va).
                                                  l’appunto, nell’assicurare che i dati
    Con l’evoluzione tecnologica tut-             personali di ogni individuo siano
    to cambia. Lo sviluppo delle nuove            adeguatamente protetti per aumen-
    tecnologie - sia nel campo dell’in-           tare la fiducia dei consumatori nei
    formatica che della telematica - e            servizi on-line e nelle piattaforme di
    l’utilizzazione sempre più intensa            e-commerce, in modo particolare.

    8
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

VEDIAMO I PUNTI ESSENZIALI DELLA NUOVA MAPPA DELLA DATA PROTECTION EUROPEA

                                                                                   9
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

3.2 PERIMETRO ED AMBITO DI APPLICAZIONE
TERRITORIALE
L’art. 3, par. 1 GDPR individua l’am-        La stessa giurisprudenza ha anche
bito di applicazione territoriale del        chiarito che benché molto ampia,
nuovo Regolamento comunitario                la nozione trova - pur sempre - un
nei trattamenti di dati personali ef-        limite nell’esistenza di una presenza
fettuati nell’ambito delle attività di       fisica sul territorio.
uno stabilimento del Titolare ovvero
del Responsabile del trattamento,            La disposizione del GDPR presup-
all’interno della UE.                        pone, non soltanto la presenza di
                                             uno stabilimento nella UE, ma an-
Il GDPR non prevede una definizio-           che che i trattamenti di dati siano
ne di stabilimento – che, tuttavia,          effettuati nel contesto delle attività
può essere de-sunta dal Conside-             di tale stabilimento.
rando 22 – ove si prevede che il             Ne consegue, quindi, che non è ne-
concetto di stabilimento implichi            cessario che il trattamento sia con-
“l’effettivo e reale svolgimento di          dotto «dallo» stabilimento in questio-
attività nel quadro di una organiz-          ne, ma semplicemente «nel contesto
zazione stabile”.                            delle sue attività».
A tal riguardo, non è determinante
la forma giuridica assunta dall’ente,        Ciò determina l’inclusione – nell’am-
sia esso la sede principale ovvero           bito del GDPR – anche di quei trat-
una filiale dotata di personalità giu-       tamenti che, seppur effettuati fuori
ridica.                                      dall’Unione, rientrino nell’ambito del-
                                             le attività di uno stabilimento in UE.
La definizione di stabilimento ha ri-
cevuto, nel tempo, un’interpretazio-         Anche se la giurisprudenza (comu-
ne estensiva, da parte della giurispru-      nitaria) ha interpretato la nozione in
denza (principalmente comunitaria),          maniera estensiva, si richiede, pur
che ha notevolmente abbassato la             sempre, l’esistenza di un legame in-
soglia dei due requisiti di stabilità ed     dissolubile (anche se economico) tra
effettività, prevedendo che - questi         il trattamento effettuato e l’attività
requisiti - debbano essere interpre-         svolta dall’Unione.
tati alla luce del tipo di attività eco-
nomica esercitata.

10
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

   CASE STUDY 1
   CGUE, C-131/2012, GOOGLE SPAIN SL, GOOGLE INC.
   C. AGENCIA ESPAÑOLA DE PROTECTIÓN DE DATOS
   (AEPD), MARIO COSTEJA GONZÁLES, 13.05.2014
   FATTI: Google Inc. è una società con sede legale negli Stati Uniti e di-
   verse filiali in Europa, tra cui anche la filiale spagnola (Google Spain).
   Quest’ultima agisce come rappresentante commerciale della sede
   centrale Spagna nella vendita di spazi pubblicitari per il marketing di
   società terze. Il trattamento dei dati degli utenti spagnoli che acce-
   devano al motore di ricerca al fine di profilarli per assicurare che gli
   spazi pubblicitari venduti a terzi targettizzassero il giusto parco di
   clientela, era effettuato però dallo stabilimento statunitense. A se-
   guito di contestazione da parte dell’Autorità Garante spagnola, per
   il mancato rispetto dei diritti privacy degli utenti spagnoli, Google
   sosteneva l’inapplicabilità del GDPR a questo specifico trattamento,
   in quanto effettuato in uno Stato terzo (USA), fuori dalla UE.
   CONCLUSIONE: La Corte di Giustizia europea (CGUE) ha, invece,
   concluso che tale trattamento dovesse considerarsi effettuato nel
   contesto delle attività dello stabilimento spagnolo, in quanto “desti-
   nato ad assicurare, nello Stato membro in questione, la promozione
   e la vendita degli spazi pubblicitari proposti sul motore di ricerca al
   fine di rendere redditizio il servizio offerto da quest’ultimo”.

3.3 GLI UTENTI DEI DATI PERSONALI
La funzione di Titolare del tratta-          materia di protezione dei dati. Esiste,
mento ovvero di Responsabile del             tuttavia, una distinzione significativa
trattamento implica – quale princi-          tra Titolare del trattamento e Re-
pale conseguenza – la responsabi-            sponsabile del trattamento: il primo
lità giuridica dell’ottemperanza ai ri-      (Titolare) è la persona fisica ovvero
spettivi obblighi, previsti dal diritto in   giuridica che determina le finalità del

                                                                                      11
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

 trattamento ed i mezzi del tratta-             Responsabilità ed obbligo di rende-
 mento, mentre il secondo (Respon-              re conto sono due facce della stessa
 sabile) è la persona fisica ovvero giu-        medaglia; elementi essenziali di una
 ridica che tratta i dati per conto del         corretta governance in materia di
 Titolare, seguendo istruzioni precise.         protezione dei dati personali (Gruppo
                                                di lavoro Art. 29, Parere 03/2020 sul
In ossequio al principio di accounta-           principio di responsabilità, WP173,
bility, il Titolare esercita il controllo sul   13/07/2010). Ciò comporta l’esigen-
trattamento e su chi ne ha la responsa-         za di documentare ogni attività svolta
bilità, compresa la responsabilità legale.      per la protezione dei dati personali al
La locuzione anglosassone accounta-             fine di poter dimostrare all’Autorità di
bility fa proprio leva sulla dimostrazio-       controllo e ad eventuali terzi di esser-
ne del modo in cui viene esercitata la          si conformati ai requisiti regolamen-
responsabilità e sulla sua verificabilità.      tari in tema di trattamento.

     TITOLARE DEL TRATTAMENTO
     Il Titolare è, anzitutto, responsabile per il rispetto dei principi generali
     applicabili al trattamento dei dati personali (art. 5, par. 2 GDPR – liceità,
     correttezza, trasparenza). Inoltre, previa valutazione della natura, del
     contesto, della finalità e del rischio rispetto ai trattamenti svolti, il Titolare
     è responsabile per l’adozione delle misure tecniche ed organizzative ade-
     guate al fine di garantirne la generale conformità alla normativa applicabile
     in materia di protezione dei dati personali (art. 24 par. 1 e Considerando
     74 GDPR). Il Titolare deve anche essere in grado di dimostrare l’efficacia
     delle misure attuate rispetto ai trattamenti svolti ed ai rischi stimati, dando
     conto delle valutazioni effettuate. La responsabilità del Titolare del tratta-
     mento non riguarda soltanto i trattamenti svolti direttamente, bensì anche
     quelli svolti per suo conto da eventuali responsabili del trattamento.

     RESPONSABILE DEL TRATTAMENTO
     Sebbene il principio di responsabilizzazione di cui all’art. 5, par. 2 GDPR
     sia rivolto soltanto al Titolare, anche il Responsabile del trattamento è
     da ritenersi competente, dal momento che deve ottemperare a diversi
     obblighi, funzionalmente collegati alla responsabilità.

12
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

Ad esempio, ai sensi del Regolamento comunitario, il Responsabile tiene
un registro di tutte le categorie di attività relative al trattamento, per di-
mostrare il rispetto degli obblighi comunitari. Il Responsabile deve, inol-
tre, mettere in atto misure tecniche ed organizzative adeguate al fine di
garantire la sicurezza del trattamento (art. 32 GDPR), designare un re-
sponsabile per la protezione dei dati in determinate situazioni (art. 37
GDPR), informare il Titolare di eventuali violazioni (art. 33, par. 2 GDPR).
L’accordo, giuridicamente vincolante, tra il Titolare ed il Responsabile
deve prevedere, tra le altre cose, che il Responsabile assista il Titolare con
riferimento al rispetto di alcuni obblighi quali, ad esempio, la cooperazio-
ne nello svolgimento di una valutazione d’impatto sulla protezione dei
dati (cd. «DPIA») ovvero quando si vede obbligato a notificare al Titolare
eventuali violazioni non appena ne viene a conoscenza. La mancata sti-
pula di tale contratto costituisce una violazione dell’obbligo del Titolare
di fornire una documentazione scritta delle responsabilità reciproche e
potrebbe dar luogo a sanzioni. Quando il danno è cagionato per avere
agito in modo difforme o contrario rispetto alle legittime istruzioni del
Titolare del trattamento, la responsabilità non è soltanto di quest’ultimo,
ma anche del Responsabile del trattamento (art. 82, par. 2 GDPR).
Il Responsabile del trattamento deve tenere, come detto, un registro di
tutte le categorie di attività relative al trattamento svolte per conto del Ti-
tolare (art. 30, par. 2 GDPR). Su richiesta, tale registro dovrà essere messo
a disposizione dell’Autorità di controllo, dal momento che Titolare e Re-
sponsabile del trattamento devono – entrambi - collaborare con l’Auto-
rità nell’esecuzione dei propri compiti (artt. 30, par. 4 e 31 GDPR).

SUB-RESPONSABILE DEL TRATTAMENTO
I titolari e/o i responsabili del trattamento potrebbero voler delegare al-
cuni compiti ad altri responsabili di secondo livello. Ciò è giuridicamente
possibile, a condizione che siano stipulate apposite clausole contrattuali
appropriate tra Titolare e Responsabile del trattamento, anche rispetto
all’eventuale necessità dell’autorizzazione del Titolare, in ogni singolo
caso ovvero di una semplice informativa data a quest’ultimo. Il Regola-
mento UE stabilisce, inoltre, che il responsabile iniziale conserva – nei

                                                                              13
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

     confronti del Titolare del trattamento – l’intera responsabilità qualora il
     responsabile di secondo livello ometta di adempiere ai propri obblighi,
     in materia di protezione dei dati (art. 28, par. 4 GDPR). Se il potere di
     determinare i mezzi del trattamento è delegato ad un Responsabile, il
     Titolare del trattamento deve, comunque, poter esercitare un adeguato
     controllo sulle decisioni di quest’ultimo, in merito ai mezzi del tratta-
     mento. La responsabilità generale spetta ancora al Titolare del tratta-
     mento, che deve sorvegliare i responsabili del trattamento onde garan-
     tire che le loro decisioni siano conformi al diritto in materia di protezione
     dei dati ed alle sue istruzioni.
     Se un Responsabile del trattamento non rispetta le condizioni per il
     trattamento dei dati – così come prescritto dal Titolare – detto Re-
     sponsabile diventerà, a sua volta, titolare almeno nella misura in cui
     non si è attenuto alle istruzioni del Titolare effettivo del trattamen-
     to. A sua volta, il Titolare del trattamento originario dovrà spiegare
     come sia stato possibile che il Responsabile sia venuto meno al suo
     mandato (art. 82, par. 2 GDPR).
     In ipotesi siffatte, il Gruppo di Lavoro Art. 29 tende, infatti, a presupporre
     che si realizzi una situazione di contitolarità che meglio tutela gli interessa-
     ti (Gruppo di lavoro Art. 29, Parere 1/2010 sui concetti di «Responsabile
     del trattamento» ed «Incaricato del trattamento», WP 169, 16.02.2010,
     pag. 25; ed ancora Gruppo di lavoro Art. 29, Parere 10/2006 sul Tratta-
     mento dei dati personali da parte della Società per le Telecomunicazio-
     ni finanziarie interbancarie mondiali (SWIFT), WP128, 22.11.2006).
     I privati, nel trattare i dati relativi ad altri, nell’ambito di attività a ca-
     rattere esclusivamente personale ovvero domestico, non rientrano
     nell’ambito di applicazione del GDPR e non sono considerati titolari
     del trattamento (Considerando 18 GDPR).
     Al contrario, le norme in materia di protezione dei dati si applicano
     - in toto - ai titolari del trattamento nonché ai responsabili del tratta-
     mento che forniscono i mezzi per trattare dati personali nell’ambito di
     attività a carattere personale o domestico.
     Tipico esempio quello delle piattaforme di social networkin g (Consi-
     derando 18 cit.).

14
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

 CASE STUDY 2
 CGUE, C-101/2001, PROCESSO PENALE A CARICO
 DI BODIL LINDQVIST, 06.11.2003.
 Il procedimento Bodil Lindqvist riguardava il riferimento, in una pagina
 Internet, a diverse persone, identificate con il loro nome o altri mezzi,
 ad esempio il loro numero di telefono ovvero informazioni relative ai
 loro passatempi. La CGUE ha sostenuto che “l’operazione consistente
 nel fare riferimento, in una pagina Internet, a diverse persone e nell’i-
 dentificarle vuoi con il loro nome, vuoi con altri mezzi […], costituisce
 un trattamento di dati personali interamente o parzialmente automatiz-
 zato ai sensi dell’art. 3 n. 1 della direttiva 95/46 ”.
 Tale trattamento di dati personali non rientra fra le attività a carat-
 tere strettamente personale o domestico, che esulano dall’ambito
 di applicazione della direttiva sulla tutela dei dati, dal momento che
 tale eccezione “deve […] interpretarsi nel senso che comprende uni-
 camente le attività che rientrano nell’ambito della vita privata o fa-
 miliare dei singoli, il che manifestamente non avviene nel caso del
 trattamento di dati personali consistente nella loro pubblicazione su
 Internet in modo da rendere tali dati accessibili ad un numero indefi-
 nito di persone” (punto 47).

Se le attività abbiano, o meno, carattere esclusivamente personale ovvero
domestico dipende dalle circostanze. Le attività che presentano aspetti
professionali ovvero commerciali non possono rientrare nell’esenzione
per l’esercizio di attività a carattere personale. Pertanto, se l’entità e la
frequenza del trattamento suggeriscono una attività professionale ovve-
ro a tempo pieno, un privato potrebbe pacificamente essere considerato
titolare del trattamento. Oltre al carattere professionale o commerciale
dell’attività di trattamento, un altro fattore che deve essere preso in con-
siderazione è se i dati personali siano messi a disposizione di un vasto
numero di persone, ovviamente esterne alla sfera privata dell’individuo.

                                                                                  15
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

     RAPPRESENTANTE
     Quando un Titolare del trattamento ovvero un Responsabile del tratta-
     mento non è stabilito nella UE, tale società deve designare, per iscritto,
     un rappresentante nell’Unione (art. 27 par. 1 GDPR), il quale deve essere
     stabilito “in uno degli Stati membri in cui si trovano gli interessati ed i cui
     dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui
     comportamento è monitorato” (art. 27 par. 3 GDPR).
     Se nessun Rappresentante viene designato, una eventuale azione lega-
     le può ancora essere avviata direttamente contro il Titolare oppure il Re-
     sponsabile del trattamento (art. 27 par. 5 GDPR).

     CONTITOLARITÀ
     Il GDPR stabilisce, infine, che allorché due o più titolari del trattamento
     determinino, congiuntamente, le finalità ed i mezzi del trattamento, essi
     sono contitolari del trat-tamento (come accennato poco sopra analiz-
     zando la figura del Responsabile del trattamento). Ciò significa che de-
     cidono insieme di trattare i dati per una finalità comune (artt. 4 par. 7 e
     26 GDPR). La contitolarità può assumere varie forme e la partecipazione
     dei diversi titolari del trattamento alle attività di controllo può differire.
     Tale flessibilità permette di tenere conto della crescente complessi-
     tà della realtà attuale del trattamento dei dati (Gruppo di lavoro Art.
     29, Parere 1/2010 sui concetti di «Responsabile del trattamento» ed
     «Incaricato del trattamento», WP 169, 16.02.2010). I contitolari del
     trattamento devono, quindi, determinare - in un accordo specifico – le
     rispettive responsabilità per il rispetto degli obblighi previsti dal Rego-
     lamento comunitario (Considerando 79 GDPR). Responsabilità che si
     declina in forma solidale per l’intero ammontare del danno causato dal
     trattamento effettuato in maniera congiunta (art. 82 par. 4 GDPR).

     DESTINATARIO & SOGGETTO TERZO
     La differenza tra queste due categorie ovvero entità – inizialmente
     introdotte dalla Direttiva 95/46/CE – risiede, principalmente, nel loro

16
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

rapporto con il Titolare del trattamento e, di conseguenza, nel tipo di
autorizzazione, a questi conferita, ai fini dell’accesso ai dati personali in
possesso di detto Titolare.
Un «terzo» è un soggetto diverso dal Titolare e dal Responsabile. Ai
sensi dell’art. 4 par. 10 GDPR, per terzo si intende “la persona fisica o
giuridica, l’autorità pubblica, il servizio o altro organismo che non sia
l’interessato, il titolare del trattamento, il responsabile del trattamento e
le persone autorizzate al trattamento dei dati personali sotto l’autorità
diretta del titolare del trattamento o del responsabile”.
Questo significa che le persone che lavorano in una impresa giuridica-
mente distinta dal Titolare del trattamento, anche facente parte di uno
stesso gruppo ovvero holding, saranno (o faranno parte) dei «terzi». Per
contro, le succursali di una banca che trattano dati contabili della clien-
tela sotto l’autorità diretta della sede centrale non dovrebbero essere
considerate come «terzi» (Gruppo di lavoro Art. 29, Parere 1/2010 sui
concetti di «Responsabile del trattamento» ed «Incaricato del tratta-
mento», WP 169, 16.02.2010, pag. 31).
Il termine «destinatario», invece, ha una valenza più ampia. Ai sensi
dell’art. 4 par. 9 GDPR, un destinatario è “ la persona fisica o giuridica,
l’autorità pubblica, il servizio o altro organismo che riceve comunica-
zione di dati personali, che si tratti o meno di terzi ”. Il destinatario può
essere una persona esterna al Titolare ovvero al Responsabile del trat-
tamento – in tal caso sarebbe un terzo – oppure qualcuno interno al
Titolare o Responsabile del trattamento, come per esempio un dipen-
dente ovvero un altro reparto all’interno della stessa azienda o autorità.
La distinzione tra destinatari e terzi è importante soltanto in ragione
delle condizioni previste per la legittima divulgazione dei dati.
I dipendenti di un Titolare ovvero di un Responsabile del trattamento
possono essere destinatari dei dati personali, senza ulteriore obbligo
giuridico, se prendono parte alle operazioni di trattamento del Titolare o
del Responsabile del trattamento. Per contro, un terzo, essendo distin-
to dal Titolare o dal Responsabile, non è autorizzato ad utilizzare i dati
personali trattati dal Titolare, salvo specifiche motivazioni giuridiche nel
contesto di un caso particolare.

                                                                                  17
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

3.4 LE INFORMAZIONI SUL TRATTAMENTO
Uno dei pilastri fondanti della disciplina del diritto alla protezione dei dati
personali è, senza dubbio, la tutela dei diritti dell’interessato.

La Carta dei diritti fondamentali UE fornisce un primo indizio su quali siano
tali diritti sancendo - all’art. 8, comma 2 - che “ogni persona [abbia] il diritto
di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica”.

La centralità della materia la si può rinvenire, altresì, dalla collocazione sistemati-
ca - all’interno del Regolamento comunitario - delle disposizioni relative alla pro-
tezione dei dati personali, a cui viene dedicato l’intero Capo III, immediatamente
dopo le disposizioni di carattere generale ed i principi fondamentali (contenuti,
rispettivamente, nel Capo I e nel Capo II). Il Capo III GDPR è formato da dodici
articoli, suddivisi in cinque sezioni, che hanno per oggetto, rispettivamente:
     I PRINCIPI DELLA MATERIA E LE MODALITÀ ATTRAVERSO CUI IL TITOLARE GARAN
     TIS E L ESER IZIO EI IRITTI A ARTE ELL INTERESSATO
     LE INFORMAZIONI      E IL TITOLARE EVE TRAS ETTERE ALL INTERESSATO RI
     S ETTO AI TRATTA ENTI E ETT ATI E IL IRITTO I          EST LTI O A ACCE-
     DERE AI ATI ERSONALI
     IL DIRITTO DI RETTIFICA, CANCELLAZIONE, LIMITAZIONE AL TRATTAMENTO E
     PORTABILITÀ DEI DATI;
     IL DIRITTO DI OPPOSIZIONE E LA DISCIPLINA RELATIVA AI PROCESSI DECISIONALI
     AUTOMATIZZATI
     LE LIMITAZIONI AI IRITTI ELL INTERESSATO

La finalità principale delle disposizioni in materia di diritti dell’interessato è
fornire, alle persone fisiche i cui dati personali sono oggetto di trattamento,
una serie di strumenti che permettano - da un lato - di controllare i propri
dati personali e, dall’altro, di intervenire sulle modalità del trattamento, sen-
za dover subire, passivamente, le attività poste in essere dal Titolare.

Affinché l’interessato possa esercitare - in maniera efficace ed effettiva - i pro-
pri diritti occorre che quest’ultimo abbia contezza delle attività e modalità at-
traverso le quali viene effettuato il trattamento dei propri dati personali da par-
te del Titolare. In particolare, l’interessato dovrà poter conoscere, per lo meno:
     LE INALIT    ERSE   ITE AL TITOLARE E LE ASI I RI I       E   EL TRATTA ENTO
     L I ENTIT    EL TITOLARE E I EVENT ALI RES ONSA ILI
     I OSSI ILI   ESTINATARI EI ATI ERSONALI

18
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

  EVENT ALI TRAS ERI ENTI I ATI ERSONALI AL I       ORI            ELLA   E
  DIRITTI ESERCITABILI RISPETTO AI SINGOLI TRATTAMENTI.

Ne consegue che presupposto fondamentale della disciplina dei diritti
dell’interessato sia un generale diritto all’informazione che – nel GDPR – si
traduce in un dovere del Titolare di comunicare all’interessato alcune infor-
mazioni rispetto ai trattamenti di dati personali effettuati. Nella pratica acca-
de che il Titolare informi il soggetto interessato circa le finalità e le modalità
del trattamento attraverso un documento noto come «informativa» ovvero
«informativa privacy».

Il contenuto dell’informativa è indicato – in modo tassativo - dagli artt. 13 e
14 par. 1 GDPR, che trovano applicazione, rispettivamente, nel caso in cui i
dati personali vengano raccolti direttamente presso l’interessato oppure da
soggetti terzi. In ogni caso, il Titolare deve sempre comunicare all’interes-
sato le seguenti informazioni:
  L I ENTIT E I ATI I ONTATTO EL TITOLARE E OVE A LI A ILE EL S O
  RAPPRESENTANTE E DATA PROTECTION
  LA INALIT E LA ASE I RI I A EL TRATTA ENTO
  IL LEGITTIMO INTERESSE PERSEGUITO DAL TITOLARE QUALORA QUESTO COSTI
  T IS A LA ASE I RI I A A LI A ILE
  GLI EVENTUALI DESTINATARI O LE EVENTUALI CATEGORIE DI DESTINATARI DEI DATI
    ERSONALI
  L INTENZIONE EL TITOLARE I TRAS ERIRE I ATI ERSONALI AL I     ORI ELL
  NIONE EUROPEA E, SE DEL CASO, ATTRAVERSO QUALI STRUMENTI VIENE EFFET
  TUATO TALE TRASFERIMENTO.

Deve, altresì, essere fornita qualsiasi altra informazione supplementare necessa-
ria per garantire un trattamento dei dati corretto, ovvero utile in tal senso, come
la durata della conservazione dei dati, la conoscenza del ragionamento alla base
del trattamento. Come detto poca sopra, il Regolamento comunitario distingue,
agli artt. 13 e 14, i casi in cui i dati personali oggetto del trattamento siano rac-
colti direttamente presso l’interessato (art. 13) rispetto a quelli in cui il dato trat-
tato sia raccolto presso soggetti terzi (art. 14). Questa distinzione si riflette anche
sulle tempistiche con cui il Titolare è tenuto ad adempiere ai propri obblighi
informativi. In particolare, l’informativa dovrà essere trasmessa all’interessato:
  NEL MOMENTO IN CUI IL TITOLARE OTTIENE I DATI PERSONALI OVE QUESTI SIANO
  STATI RA OLTI IRETTA ENTE RESSO L INTERESSATO

                                                                                       19
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

 oppure
     ENTRO N TER INE RA IONEVOLE E O              N  E ENTRO N ESE                ALO
     RA, INVECE, I DATI SIANO STATI FORNITI DA UN SOGGETTO TERZO.

 Nel caso in cui i dati personali siano destinati alla comunicazione con l’in-
 teressato, il Titolare dovrà trasmettere l’informativa al più tardi al momento
 della prima comunicazione con quest’ultimo. Mentre, nel caso in cui sia
 prevista la comunicazione ad un altro destinatario, non oltre la prima comu-
 nicazione dei dati personali.

Le operazioni di trattamento, poi, devono essere illustrate agli interessati in
modo facilmente comprensibile, affinché possano capire cosa accadrà ai
loro dati. È per questo motivo che l’art. 12 GDPR «Informazioni, comunica-
zioni e modalità trasparenti per l’esercizio dei diritti dell’interessato» sancisce
alcuni principi relativi alle modalità di comunicazione tra Titolare ed interes-
sato. In tal senso, le comunicazioni – ed in particolare l’informativa – devo-
no avere forma concisa, trasparente, intellegibile e facilmente accessibile. Il
Titolare dovrà, pertanto, prediligere un linguaggio chiaro e semplice, anche
in combinazione con icone standardizzate, tenendo in considerazione le ca-
ratteristiche soggettive del destinatario e preferendo, in ogni caso, la forma
scritta (anche attraverso strumenti elettronici) rispetto a quella orale, salvo
ove diversamente richiesto dall’interessato e purché ne venga comprovata
preventivamente l’identità da parte del Titolare (Considerando 60 GDPR).

L’interessato, inoltre, ai sensi dell’art. 15 GDPR, ha il diritto di ottenere, a sua
richiesta, dal Titolare del trattamento la conferma che sia o meno in corso
un trattamento di dati che lo riguardi e, in tal caso, di sapere quali dati sono
soggetti a trattamento. Infine, le persone fisiche i cui dati vengono tratta-
ti devono essere informati in maniera proattiva dal Titolare del trattamento
ovvero dal Responsabile circa le finalità, la durata, i mezzi di trattamento,
oltre ad altri dettagli, in linea di principio, prima dell’inizio dell’attività di trat-
tamento. In determinate situazioni, infine, sono previste deroghe all’obbligo
di informare gli interessati circa il trattamento dei dati.

Le informazioni possono essere ordinate secondo la loro importanza ed es-
sere raggruppate in blocchi omogenei. A tal proposito, soprattutto con riferi-
mento all’ambiente on-line - caratterizzato da dinamiche diverse dal mezzo

20
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

cartaceo - deve essere favorito l’utilizzo dei cd. formati multistrato, che mi-
gliora la fruibilità delle informazioni.

Il Titolare del trattamento, infine, dovrà fare precise scelte grafiche e tipo-
grafiche, affinché l’interessato, con una semplice occhiata alle icone, possa
scoprire se ed in quale modo i propri dati vengono utilizzati (Provvedimento
Garante Privacy in materia di videosorveglianza - 8 aprile 2010 [doc. web.
n. 1712680], relativo all’utilizzo di icona specifica per i sistemi di videosor-
veglianza con o senza operatore).

Tuttavia, una tale architettura dovrebbe, comunque, essere configurata evi-
tando una eccessiva frammentazione in un numero troppo elevato di livelli,
pena la dispersione delle informazioni rese che, ovviamente, ne compro-
metterebbe la fruibilità e la trasparenza.

   CASE STUDY 3
   CGUE, C-201/2014, SMARANDA BARA E A.C.CASA NATIONALÃ
   DE ASIGURÃRI DE SÃNÃTATE E A. C. CASA NATIONALÃ
   DE ADMINISTRARE FISCALÃ (ANAF), 01.10.2015
   Il procedimento aveva ad oggetto la trasmissione di dati fiscali rela-
   tivi al reddito di lavoratori autonomi dall’Agenzia nazionale per l’am-
   ministrazione tributaria alla Cassa Nazionale malattia in Romania,
   sulla base dei quali veniva richiesto il pagamento di contributi per
   l’assicurazione malattia arretrati. Alla CGUE è stato richiesto di sta-
   bilire se l’interessato avrebbe dovuto ricevere informazioni preven-
   tive quanto alla identità del titolare del trattamento ed all’obiettivo
   in vista del quale avveniva la trasmissione dei dati, prima che tali dati
   fossero trattati dalla Cassa Nazionale malattia.
   La CGUE ha stabilito che quando una amministrazione pubblica di
   uno Stato membro trasmette dati personali ad un’altra amministra-
   zione pubblica che tratta ulteriormente tali dati, gli interessati de-
   vono essere informati di tale trasmissione o trattamento.

                                                                                    21
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

 3.5. IL DIRITTO ALLA CANCELLAZIONE
 (DIRITTO ALL’OBLIO)
Il diritto alla cancellazione dei dati è previsto dall’art. 17 GDPR e consiste
nella facoltà, per l’interessato, di richiedere - al Titolare del trattamento - la
cancellazione dei propri dati personali.

Diritto alla cancellazione e diritto all’oblio: nonostante siano stati menzionati
entrambi dalla stessa disposizione, occorre operare una distinzione in quanto
il diritto all’oblio consiste nella pretesa dell’individuo a poter essere dimenti-
cato ogniqualvolta quest’ultimo ritenga che non vi sia più la necessità ovvero
una ragione che giustifichi il trattamento dei suoi dati personali. Pertanto, il di-
ritto alla cancellazione ha una funzione propedeutica e strumentale rispetto
all’oblio che è, invece, una delle possibili conseguenze pratiche dell’esercizio
della pretesa soggettiva alla cancellazione dei dati personali. Ulteriori defi-
nizioni del diritto all’oblio, si rinvengono ai Considerando 65, 66 e 67 GDPR.

 Il diritto alla cancellazione può essere esercitato solamente con riferimento
 ai casi tassativamente indicati dall’art. 17 par. 1 GDPR. Nel dettaglio, l’interes-
 sato può richiedere la cancellazione dei propri dati personali nel caso in cui:
 a) i dati personali non siano più necessari rispetto alle finalità per le quali
      sono stati raccolti ovvero altrimenti trattati;
 b)   l’interessato revochi il consenso su cui si basava il trattamento e non
      sussista altro fondamento giuridico per il trattamento;
 c)   l’interessato si opponga al trattamento e non sussista alcun motivo legit-
      timo prevalente per procedere al trattamento;
 d)   i dati personali sono stati trattati illecitamente;
 e) i dati personali devono essere cancellati per adempiere ad un obbligo le-
    gale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto
    il Titolare del trattamento;
 oppure
 f)   i dati personali sono stati raccolti relativamente all’offerta di servizi della
      società dell’informazione e trattati sulla base del consenso del minore o
      del consenso prestato dal Titolare della responsabilità genitoriale.

 Ed invero, l’esercizio del diritto alla cancellazione richiede una attenta valu-

22
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

tazione degli interessi in gioco rispetto allo specifico trattamento effettuato,
affinché possa es-sere determinato se la richiesta di cancellazione prevalga,
o meno, rispetto agli interessi del Titolare del trattamento.

Nella pratica, non solo ogni richiesta di esercizio del diritto di cancellazio-
ne deve essere valutata caso per caso, ma anche le misure eventualmente
adottate dal Titolare per darvi seguito devono essere il risultato di un bi-
lanciamento degli interessi delle parti, potendo, in alcuni casi, risultare più
opportuno una integrazione ovvero una modifica del dato, piuttosto che la
sua integrale cancellazione.

Come detto, l’esercizio del diritto alla cancellazione è soggetto ad alcune
limitazioni, elencate all’art. 17 par. 3 GDPR, ove si prevede, espressamente,
che il Titolare possa rigettare la richiesta dell’interessato nella misura in cui
il trattamento sia necessario:
a) per l’esercizio del diritto alla libertà di espressione e di informazione;
b)   per l’adempimento di un obbligo legale che richieda il trattamento previ-
     sto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare
     del trattamento o per l’esecuzione di un compito svolto nel pubblico in-
     teresse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare
     del trattamento;
c)   per motivi di interesse pubblico nel settore della sanità pubblica;
d) ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o
   storica ovvero a fini statici nella misura in cui l’esercizio del diritto alla
   cancellazione rischi di rendere impossibile ovvero di pregiudicare gra-
   vemente il conseguimento degli obiettivi di tale trattamento;
ovvero
e) per l’accertamento, l’esercizio ovvero la difesa di un diritto in sede giu-
   diziaria.

Anche in presenza di una delle circostanze di cui supra, il Titolare del tratta-
mento non è tenuto a rigettare tout court la richiesta dell’interessato, ma è
sempre tenuto - ove possibile - ad adottare specifiche misure che permetta-
no di rispondere, almeno parzialmente, alle esigenze dell’interessato, senza
che venga pregiudicato il trattamento dei dati e le prerogative in base alle
quali lo stesso viene effettuato.

                                                                                    23
Nel caso in cui sussista uno dei requisiti legittimanti il diritto alla cancellazione
 e non si è in presenza di uno dei casi per cui il trattamento risulti necessario
 ex lege, il Titolare è tenuto a cancellare i dati del richiedente - in maniera de-
 finitiva - da tutti i propri archivi e sistemi informatici.

La cancellazione va effettuata tenendo conto della tecnologia disponibile e
dei costi di attuazione.
Nel caso in cui il Titolare del trattamento abbia reso i dati personali pubblici,
quest’ultimo sarà, altresì, tenuto ad adottare tutte le misure, anche di natura
tecnica, necessarie al fine di informare gli ulteriori titolari affinché si adope-
rino alla cancellazione di eventuali link, copie o riproduzione di dati oggetto
della richiesta di cancellazione.

Questa previsione si aggiunge a quanto previsto dall’art. 19 GDPR, secondo
cui, in ogni caso, il Titolare deve comunicare - a ciascuno dei destinatari i cui
dati personali sono stati trasmessi - gli interventi effettuati a seguito dell’ac-
coglimento della richiesta di esercizio del diritto alla cancellazione da parte
dell’interessato, salvo che ciò non risulti possibile ovvero implichi uno sforzo
sproporzionato.

Il tema della cancellazione è molto importante per quelle società che uti-
lizzano i dati relativi ai loro clienti/utenti come parte integrante del proprio
modello di business le quali, nel dar seguito ad una richiesta di cancellazione
ai sensi dell’art. 17 GDPR, non sono sempre tenute a cancellare, in maniera
definitiva, i dati in loro possesso.

Il Titolare può, ad esempio, procedere alla anonimizzazione del dato – ov-
vero l’eliminazione irreversibile del legame tra l’interessato ed i dati ad esso
associato – che permette di dar seguito alla richiesta di cancellazione e, allo
stesso tempo, di proseguire con il trattamento del dato anonimizzato, per
finalità ulteriori e diverse rispetto a quelle originariamente previste.
Tuttavia, nel caso in cui la cancellazione del dato risultasse necessaria, il
Titolare dovrà procedere affinché questo diventi inutilizzabile o, comunque,
inaccessibile.
A tal proposito, non è rilevante il modo in cui i dati dell’interessato vengano
cancellati, quanto piuttosto che una volta distrutti risulti impossibile, o co-
munque sia necessario un particolare sforzo, per recuperarli.

24
CASE STUDY 4
  CGUE, C-131/2012, GOOGLE SPAIN SL, GOOGLE INC. C.
  AGENCIA ESPAÑOLA DE PROTECTIÓN DE DATOS (AEPD),
  MARIO COSTEJA GONZALES, 13.05.2014, PUNTI 55 – 58.
  La CGUE ha concluso che Google, quando cerca informazioni e pa-
  gine web in rete e quando ne indicizza il contenuto per fornire i ri-
  sultati della ricerca, diventa un titolare del trattamento, al quale si
  applicano responsabilità ed obblighi ai sensi del diritto UE.
  Nell’esaminare se Google fosse tenuta o meno ad eliminare i link col-
  legati al ricorrente, la CGUE ha stabilito che, in determinate condi-
  zioni, le persone hanno il diritto di chiedere la cancellazione dei dati
  personali che non si qualifica quale diritto assoluto, ma che deve es-
  sere ponderato con altri diritti ed interessi, in particolare l'interesse
  del grande pubblico ad avere accesso a determinate informazioni.

A seguito della celebre pronunzia (Case Study 4), il Gruppo di lavoro Art. 29 ha
adottato apposite Linee Guida (Gruppo di lavoro Art. 29, «Guidelines on the
implementa-tion of the CJEU judgment on «Google Spain SL, Google Inc.
c. Agencia Espanola de Protection de Datos (AEPD), Mario Costeja Gonzales,
13.05.2014», C-131/2012, WP225, 26.11.2014), che comprendono un elenco
di criteri comuni che le Autorità di controllo devono utilizzare nella gestione
dei reclami relativi alle richieste di cancellazione, da parte di persone fisiche.
Il risultato di una richiesta può variare a seconda del caso in questione.

  CASE STUDY 5
  CGUE, C-398/2015, CAMERA DI COMMERCIO, INDUSTRIA, ARTIGIANATO
  E AGRICOLTURA DI LECCE C. SALVATORE MANNI, 09.03.2017.
  La CGUE si è trovare ad esaminare la richiesta di un soggetto (Signor
  Manni) volta ad ottenere la cancellazione dei suoi dati personali, iscritti
  in un pubblico registro delle imprese, dopo che la sua società aveva
  cessato di esistere.
  La CGUE ha ritenuto che le norme dell’Unione in materia di protezione
  dei dati non garantiscono il diritto alla cancellazione dei dati personali
  per le persone fisiche nella situazione del Signor Manni di Lecce.

                                                                                 25
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

3.6. DATA PORTABILITY                        portabilità, addirittura, completa il
Tra i nuovi diritti previsti dal Regola-     diritto di accesso. Ed invero, l’inte-
mento comunitario, il diritto alla por-      ressato può richiedere al Titolare i
tabilità dei dati rappresenta sicura-        propri dati personali e conservarli in
mente una delle novità più dirompenti        vista di un futuro ed ulteriore utilizzo.
e risponde alle esigenze del progres-        La conservazione può avvenire tra-
so tecnologico della società dell’in-        mite una struttura apposita del Tito-
formazione degli ultimi decenni.             lare (anche in cloud), oppure su di un
                                             supporto personale dell’interessato,
L’art. 20 GDPR consente all’interes-         purché i dati vengano forniti su di un
sato di ricevere i dati personali che lo     formato strutturato, di uso comune e
riguardano - forniti ad un Titolare del      leggibile da dispositivo automatico.
trattamento - in formato strutturato,
di uso comune e leggibile da dispo-          Solo in tal modo, l’interessato sarà in
sitivo automatico.                           grado di esercitare un vero control-
Una volta ricevuti i dati, l’interessato     lo sui propri dati, facilitandone - al
può trasmetterli - in maniera autono-        contempo - la circolazione, la copia
ma - ad altro Titolare del trattamento       e la trasmissione ad altri titolari.
ovvero, ove tecnicamente fattibile,
richiedere al Titolare di procedere al       Il Gruppo di lavoro Art. 29 sostiene
trasferimento per suo conto.                 con forza la ricerca di forme di col-
Si può notare come il diritto alla           laborazione fra i produttori e le asso-
portabilità si possa esprimere, dun-         ciazioni di categoria, al fine di svilup-
que, sotto tre vesti differenti, ovve-       pare un insieme condiviso di standard
rosia come:                                  e formati interoperabili che soddisfi-
                                             no i requisiti del diritto alla portabili-
     DIRITTO A RICEVERE I DATI DAL TI-
                                             tà dei dati (Gruppo di lavoro Art. 29,
     TOLARE DEL TRATTAMENTO;
                                             Linee Guida sul diritto alla portabili-
     DIRITTO A TRASFERIRE I DATI AD AL-
                                             tà dei dati - WP242, 13.12.2016, ver-
     TRO TITOLARE, SENZA IMPEDIMENTI;
                                             sione emendata ed adottata in data
     DIRITTO DI POTER RICHIEDERE AL
                                             05.04.2017).
     TITOLARE DI ESEGUIRE IL TRASFE-
     RIMENTO DEI DATI VERSO ALTRO
     TITOLARE, PER CONTO DELL’INTE-          Una volta ottenuti i dati dal Titola-
     RESSATO.                                re, l’interessato può esercitare - in
                                             concreto - il diritto alla portabilità,
Sotto il primo profilo, il diritto alla      trasmettendo egli stesso i dati ad un

26
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

altro Titolare oppure può richiedere           Tuttavia, nella pratica, si è ritenuto
al precedente Titolare di trasmetterli         che possano formare oggetto della
per suo conto, ove ciò sia tecnica-            richiesta di portabilità:.
mente possibile.                                  T UT TI I DATI CHE «RIGUARDANO
Per quanto attiene alla fattibilità tec-          L’INTERESSATO», INCLUSI EVENTUALI
nica, il Considerando 68 GDPR pro-                DATI PSEUDOANONIMI CHE SIANO
muove l’utilizzo, da parte dei titolari,          CHIARAMENTE RIFERIBILI ALL’INTE-
                                                  RESSATO, ED ALTRE INFORMAZIONI
di formati e sistemi interoperabili tra
                                                  CHE FACCIANO RIFERIMENTO SIA
loro. Qualora il trasferimento dei dati           ALL’INTERESSATO CHE A TERZI (TA-
non fosse possibile per ragioni di na-            BULATI TELEFONICI OVVERO IL CON-
tura tecnica, il Titolare è, comunque,            TENUTO DELLA CARTELLA DI POSTA
tenuto a comunicarlo all’interessato.             ELETTRONICA);
In ogni caso è sempre fatto divieto -             I DATI FORNITI DALL’INTERESSATO,
per il Titolare - di ostacolare il trasferi-      TRA I QUALI SI DEVONO RICOM-
mento dei dati verso un altro Titolare            PRENDERE ANCHE I DATI PERSO-
                                                  NALI CHE NON SONO FORNITI
(ad esempio, richiedendo all’interes-             CONSAPEVOLMENTE ED ATTIVA-
sato il pagamento di un corrispettivo).           MENE DALL’INTERESSATO, MA CHE
                                                  DERIVANO DA ATTIVITÀ DA LUI SVOL-
La richiesta di portabilità può essere            TE COME LA FRUIZIONE DI UN SERVI-
avanzata dall’interessato soltanto nei            ZIO O L’UTILIZZO DI UN DISPOSITIVO
casi in cui il trattamento avvenga con            (AD ESEMPIO, LO STORICO DI RI-
                                                  CERCHE IN RETE, DATI DI TRAFFICO
modalità automatizzate (ad esempio,               O DI LOCALIZZAZIONE). SONO, IN-
mediante sistemi informatici) e non               VECE, DA ESCLUDERSI I DATI GENE-
manuali (ad esempio, mediante archi-              RATI, AUTOMATICAMENTE, DAL TI-
vi cartacei) e qualora tale trattamento           TOLARE UTILIZZANDO COME INPUT
si basi sul consenso dell’interessato             I DATI OSSERVATI OVVERO FORNITI
                                                  DALL’INTERESSATO,      SOPRATTUT-
oppure sulla necessarietà del tratta-             TO IN UN’OTTICA DI TUTELA DEL
mento per l’esecuzione di un contrat-             KNOW-HOW DI QUEST’ULTIMO RI-
to ovvero di misure pre-contrattuali.             SPETTO AI PROPRI CONCORRENTI,
                                                  EVENTUALMENTE DESTINATARI DEL-
La richiesta può avere ad oggetto                 LA RICHIESTA DI TRASFERIMENTO
                                                  (AD ESEMPIO, INFORMAZIONI RELA-
soltanto dati personali forniti dall’in-
                                                  TIVE ALL’INTERESSATO OTTENUTE A
teressato al Titolare che riguardino              SEGUITO DELLA CATEGORIZZAZIO-
la sua persona, essendo esclusi i dati            NE DELLO STESSO SULLA BASE DI UN
anonimi o che non facciano diret-                 PROCESSO DI PROFILAZIONE CREA-
tamente riferimento al richiedente.               TO DAL TITOLARE).

                                                                                        27
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

 Il diritto alla portabilità trova una ul-    finalità lesive dei diritti e della libertà
 teriore limitazione - rispetto ai tratta-    dei terzi coinvolti. Si riporta scheda
 menti effettuati dal Titolare - per l’e-     infografica pubblicata sul sito istitu-
 secuzione di un compito di interesse         zionale Garante Privacy:
 pubblico o per l’esercizio di pubblici
 poteri, oppure nel caso in cui l’eser-
 cizio del diritto alla portabilità possa
 determinare una lesione dei diritti e
 delle libertà altrui.

 I diritti e le libertà dei terzi assumono
 particolare rilievo con riferimento
 al diritto alla portabilità soprattutto
 qualora la richiesta dell’interessa-
 to abbia ad oggetto dati che siano
 intrecciati con informazioni riguar-
 danti altri soggetti.
 In queste circostanze, il Titolare
 deve adottare particolari precau-
 zioni, soprattutto in caso di trasferi-
 menti dei dati ad un nuovo Titolare
 in quanto tale trasferimento potreb-
 be essere pregiudizievole per i sog-
 getti coinvolti, ad esempio, qualora
 non venissero informati della ri-
 chiesta di trasferimento e non fos-
 sero così in grado di poter eserci-
 tare i propri diritti nei confronti del
 nuovo titolare.

 Allo stesso modo, il trasferimento
 comporta la necessità, per il Titola-
 re ricevente, di individuare una base
 giuridica che permetta il legittimo
 trattamento dei dati ricevuti, non
 potendo il trattamento avvenire per

28
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

       IL DIRITTO ALLA PRTABILITÀ DEI DATI (ART. 20 RGPD)

La

 Per

                                                                           29
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

 3.7. PRIVACY BY DESIGN & PRIVACY BY DEFAULT
 Il fine del Regolamento comunita-             proccio olistico della privacy, dove
 rio – come più volte sottolineato             l’industria ed i consumatori, i tecnici
 nel presente elaborato - è quello             ed i legali, scoprono insieme cosa
 di garantire il diritto fondamentale,         funziona e cosa non funziona, la-
 sancito dall’art. 8 Carta dei diritti         sciando spazio all’innovazione «dal
 fondamentali dell’Unione Europea              basso», a differenza di un approccio
 e ribadito dall’art. 16 del Trattato sul      puramente regolamentato «dall’al-
 Funzionamen-to dell’Unione Eu-                to», che lascerebbe spazio alla sola
 ropea (TFUE), concernente la pro-             conformità.
 tezione delle persone fisiche, con
 riguardo al trattamento dei dati di           I principi di cui sopra - cristallizzati
 carattere personale.                          dall’art. 25 GDPR – pongono, a cari-
                                               co dei titolari del trattamento (di tut-
Non solo. Il GDPR è stato adotta-              te le dimensioni, sia piccole aziende
to per aggiornare la disciplina del-           che grandi gruppi industriali), l’ob-
la precedente Direttiva 95/46/CE               bligo di adottare misure tecniche
all’avvento della società digitale, in         ed organizzative adeguate volte ad
modo da intercettare il potenziale             incorporare i principi di protezione
delle nuove tecnologie, fornendo               dei dati sin dalla fase di progetta-
dei principi solidi e chiari per indi-         zione e sviluppo di ogni prodotto,
rizzare lo sviluppo dell’economia              servizio o attività che preveda il
digitale. Per comprendere a pie-               trattamento dei dati personali (pri-
no la portata innovativa del GDPR,             vacy by design) e volte a garantire
oc-corre porre attenzione a due                che siano trattati, per impostazione
principi cardine - in esso contenu-            predefinita, soltanto i dati personali
ti - che costituiscono una assoluta            necessari per ogni specifica finalità
novità sul piano normativo:                    del trattamento (privacy by default).
     IL PRINCIPIO DI PROTEZIONE DEI
     DATI SIN DALLA PROGETTAZIONE              Allo stesso tempo, tali principi sono
     (PRIVACY BY DESIGN);                      strettamente connessi agli altri prin-
     IL PRINCIPIO DI PROTEZIONE DEI            cipi richiamati dall’art. 5 GDPR e, in
     DATI PER IMPOSTAZIONE PREDEFI-            particolare, al principio di minimiz-
     NITA (PRIVACY BY DEFAULT).                zazione e di accountability. Da un
                                               lato, il rispetto di tali principi presup-
 Tali principi sono forieri di un ap-          pone che i dati raccolti siano ade-

30
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ

guati, pertinenti e limitati a quanto       sure per garantire la sicurezza del
necessario per le finalità per le quali     trattamento dei dati. I dati personali
sono raccolti. Dall’altro, l’adozione       con attributi cifrati ovvero con-ser-
delle misure necessarie a garantire         vati separatamente sono utilizzati in
la protezione dei dati, sia all’atto del    molti contesti per mantenere segre-
trattamento che al momento di de-           ta l’identità delle persone.
terminare i mezzi dello stesso, rap-        Ciò si rivela particolarmente utile
presenta un modo per fornir prova           quando i titolari del trat-tamento
del rispetto degli obblighi di respon-      devono accertarsi che si tratti dello
sabilizzazione ex art. 24 GDPR.             stesso interessato, ma non necessi-
                                            tano – o non dovrebbero disporre
Per decidere quali misure adottare          – dell’identità reale dell’interessato.
in concreto, il Titolare del tratta-
mento deve tenere conto dello sta-          La pseudoanonimizzazione costi-
to dell’arte, dei costi di attuazione,      tuisce, quindi, una solida pratica nel
della natura, dell’oggetto e delle          novero delle tecnologie intese a mi-
finalità del trattamento di dati per-       gliorare la tutela della vita privata.
sonali che intende svolgere.                Può fungere da elemento importan-
                                            te per realizzare la tutela della vita
Deve, inoltre, procedere a selezio-         privata sin dalla progettazione, ossia
nare le misure adeguate, ponde-             per integrare la protezione dei dati
rando i rischi del trattamento sia sul      nei sistemi avanzati di trattamento.
versante della probabilità del veri-        Non a caso, l’art. 25 GDPR fa espli-
ficarsi dei medesimi, sia con riferi-       cito riferimento alla pseudoanoni-
mento alla gravità delle lesioni dei        mizzazione quale esempio di misura
diritti e delle libertà delle persone       tecnica ed organizzativa adeguata.
fisiche, in caso di realizzazione delle
ipotesi di rischio contemplate.             PRIVACY BY DESIGN
                                            Il concetto di privacy by design fu
A seconda delle circostanze spe-            coniato - per la prima volta - negli
cifiche di ciascun caso, le misure          anni novanta da Ann Cavoukian, In-
di sicurezza adeguate potrebbero            formation and Privacy Commissio-
comprendere, ad esempio, la pseu-           ner dell’Ontario (Canada), che fu tra i
donimizzazione e la cifratura dei           promotori della risoluzione adottata
dati personali e/o testare e valutare,      nel 2010, nel corso della trentadue-
regolarmente, l’efficacia delle mi-         sima Conferenza mondiale dei Ga-

                                                                                     31
Puoi anche leggere