GDPR E DATA PROTECTION - COME CAMBIA LA TUTELA DELLA PRIVACY Avv. Antonio Gerardo Giso - ASK Advisory
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Avv. Antonio Gerardo Giso
GDPR E DATA
PROTECTION
COME CAMBIA LA TUTELA
DELLA PRIVACY
Collana a cura di
Avv. Andrea Davide Arnaldi
Con il contributo di:
I SAGGI DI
Collana a cura di
Avv. Andrea Davide Arnaldi
Avv. Antonio Gerardo Giso GDPR E DATA PROTECTION COME CAMBIA LA TUTELA DELLA PRIVACY
SOMMARIO
1 PAG.5 | INTRODUZIONE
2 PAG. 6 | EVOLUZIONE STORICA DEL CONCETTO DI
DATO PERSONALE
33.1
PAG. 8 |
PREMESSA
QUADRO GENERALE. LE PRINCIPALI NOVITÀ
3.2 PERIMETRO ED AMBITO DI APPLICAZIONE TERRITORIALE
3.3 GLI UTENTI DEI DATI PERSONALI
3.4 LE INFORMAZIONI SUL TRATTAMENTO
3.5 IL IRITTO ALLA AN ELLAZIONE IRITTO ALL O LIO
3.6 DATA PORTABILITY
3.7 PRIVACY BY DESIGN E PRIVACY BY DEFAULT
3.8 DATA BREACH
3.9 PRIVACY IMPACT ASSESSMENT
3.10 DATA PROTECTION OFFICER
3.11 REGISTRO DEL TRATTAMENTO
3.12 REGIME SANZIONATORIO
4 PAG. 66 | CONCLUSIONI
1
INTRODUZIONE
Il concetto di data protection compare, per la prima volta, in un
saggio del 1890 sulla Harvard Law Review, «The right to data
protection», ad opera di Samuel D. Warren e Louis D. Brandeis,
concependo «the right to be let alone» e cioè il diritto ad essere
lasciati soli, nei confronti di chiunque.
I
privacy
S privacy, in Italia,
completa sulla data protection
Il problema principale che si poneva nel nostro Paese era quello
cui per lungo tempo, si sono contrapposti interventi legislativi
sporadici, inadeguati oltre che ispirati a logiche settoriali e
fondamentale.
5
2
EVOLUZIONE
STORICA DEL
CONCETTO
DI DATO
PERSONALE
In Italia, il primo effettivo riconoscimento si ebbe ad opera della Corte Co-
stituzionale, con la sentenza 12 aprile 1973 n. 38, nella quale si riconob-
be il diritto alla riservatezza tra i diritti inviolabili, sulla base degli artt. 3, 13
e 21 Cost., nonché degli artt. 8 e 10 della Convenzione Europea per i dirit-
ti dell’uomo.
Fece seguito un intervento della Suprema Corte di Cassazione, la quale - nel
1975 – riconosce(va), espressamente, il diritto alla riservatezza quale “tutela
di quelle situazioni e vicende strettamente personali e familiari le quali, an-
che se verificatesi fuori dal domicilio domestico non hanno per i terzi un in-
teresse socialmente apprezzabile (…)” (Cass. Civ., Sez. II, 27.05.1975 n. 2129).
Nei primi anni novanta, determinante fu l’intervento del legislatore comuni-
tario: la Direttiva 95/46/CE del 24.10.1995, in materia di «Trattamento e libera
circolazione dei dati personali» costrinse il legislatore nazionale a disciplina-
re, finalmente, la materia con la Legge 31.12.1996 n. 675 «Tutela delle perso-
ne e di altri soggetti rispetto al trattamento dei dati personali», determinan-
do, nella sostanza, il riconoscimento formale del diritto dalla data protection.
6
GDPR E DATA PROTECTION EVOLUZIONE STORICA DEL CONCETTO DI DATO PERSONALE
In pochi anni, tuttavia, la Legge n. ti quali l’affidabilità, la competenza
675/1996 fu oggetto di numero- aziendale e la proattività nella ge-
se modifiche sino ad essere qua- stione dei dati personali (cd. «risk
si integralmente trasfusa nel D.Lgs. based»).
30.06.2003 n. 196, noto come «Co-
dice in materia di protezione dei dati Al fine di rendere l’ordinamento
personali». perfettamente coerente alle novi-
tà comunitarie, il 04.09.2018 veni-
Con il passare degli anni e, soprat- va pubblicato (in vigore dal 19 set-
tutto alla luce dell’evidente progres- tembre del medesimo anno) il D.Lgs.
so tecnologico, sia in ambito nazio- 10.08.2018 n. 101, di coordinamento
nale che europeo, si avvertiva forte alla normativa comunitaria, median-
l’esigenza (comunitaria) di emanare te il quale si abrogavano numero-
un nuovo corpus normativo in ma- se disposizioni del Codice Privacy -
teria di data protection. Il 25.05.2018 in quanto incompatibili con il GDPR
è divenuto efficace il Regolamento - introducendo, contestualmente,
(UE) n. 679/2016 – pubblicato in da- nuovi precetti normativi.
ta 04.05.2016 in Gazzetta Ufficiale
– relativo alla protezione delle per- Tale decreto è stato emanato nel ri-
sone fisiche con riguardo al tratta- spetto di quanto sancito dall’art. 13
mento dei dati personali nonché al- della Legge 25.10.2017 n. 163 «De-
la loro libera circolazione. lega al Governo per il recepimento
Corpus composto da 99 articoli e delle direttive europee e l’attuazio-
173 considerando – laddove, que- ne di altri atti dell’Unione europea -
sti ultimi, hanno solo un valore in- Legge di delegazione europea 2016-
terpretativo – è noto anche come 2017», contenente, a sua volta, una
«GDPR» ovvero «General Data Pro- delega, in favore del Governo, af-
tection Regulation». finché provvedesse all’adeguamen-
to della normativa nazionale alle di-
Il Regolamento ruota attorno ad un sposizioni del GDPR.
principio di fortissima portata inno- Nell’ambito della delega conferi-
vativa: il principio di accountability ta, l’intervento legislativo ha seguito
– tradotto, in lingua italiana, come tre linee direttrici: coordinamento,
principio di responsabilizzazione – semplificazione ed integrazione.
il quale non si risolve nella mera re-
sponsabilità, ma coinvolge aspet-
73
QUADRO GENERALE
le principali novità
3.1 PREMESSA
3.2 PERIMETRO ED AMBITO DI APPLICAZIONE TERRITORIALE
3.3 GLI UTENTI DEI DATI PERSONALI
3.4 LE INFORMAZIONI SUL TRATTAMENTO
3.5 IL IRITTO ALLA AN ELLAZIONE IRITTO ALLO LIO
3.6 DATA PORTABILITY
3.7 PRIVACY BY DESIGN E PRIVACY BY DEFAULT
3.8 DATA BREACH
3.9 PRIVACY IMPACT ASSESSMENT
3.10 DATA PROTECTION OFFICER
3.11 REGISTRO DEL TRATTAMENTO
3.12 REGIME SANZIONATORIO
3.1 PREMESSA
Il GDPR segna una evoluzione storica ed estesa di impianti di elaborazio-
della data protection. Il cambiamento ne e trasmissione elettronica dei
essenziale è costituito dal cambio di dati, hanno determinato una mo-
prospettiva che si realizza grazie alle difica strutturale dei dati personali
nuove norme. Sino al 2016, al centro che sono diventati un valore in sé,
delle normative in tema di tutela del- un bene giuridico degno di tutela.
la privacy era stata posta la persona,
In questa ottica, il GDPR diventa stru-
intesa come persona fisica, titolare di
mento di competizione economica
diritti, depositaria di interessi legittimi
rilevante, un vero e proprio Statuto
e di aspettative che l’ordinamento ri-
della Data Economy che consiste, per
conosce(va) e tutela(va).
l’appunto, nell’assicurare che i dati
Con l’evoluzione tecnologica tut- personali di ogni individuo siano
to cambia. Lo sviluppo delle nuove adeguatamente protetti per aumen-
tecnologie - sia nel campo dell’in- tare la fiducia dei consumatori nei
formatica che della telematica - e servizi on-line e nelle piattaforme di
l’utilizzazione sempre più intensa e-commerce, in modo particolare.
8GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
VEDIAMO I PUNTI ESSENZIALI DELLA NUOVA MAPPA DELLA DATA PROTECTION EUROPEA
9GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
3.2 PERIMETRO ED AMBITO DI APPLICAZIONE
TERRITORIALE
L’art. 3, par. 1 GDPR individua l’am- La stessa giurisprudenza ha anche
bito di applicazione territoriale del chiarito che benché molto ampia,
nuovo Regolamento comunitario la nozione trova - pur sempre - un
nei trattamenti di dati personali ef- limite nell’esistenza di una presenza
fettuati nell’ambito delle attività di fisica sul territorio.
uno stabilimento del Titolare ovvero
del Responsabile del trattamento, La disposizione del GDPR presup-
all’interno della UE. pone, non soltanto la presenza di
uno stabilimento nella UE, ma an-
Il GDPR non prevede una definizio- che che i trattamenti di dati siano
ne di stabilimento – che, tuttavia, effettuati nel contesto delle attività
può essere de-sunta dal Conside- di tale stabilimento.
rando 22 – ove si prevede che il Ne consegue, quindi, che non è ne-
concetto di stabilimento implichi cessario che il trattamento sia con-
“l’effettivo e reale svolgimento di dotto «dallo» stabilimento in questio-
attività nel quadro di una organiz- ne, ma semplicemente «nel contesto
zazione stabile”. delle sue attività».
A tal riguardo, non è determinante
la forma giuridica assunta dall’ente, Ciò determina l’inclusione – nell’am-
sia esso la sede principale ovvero bito del GDPR – anche di quei trat-
una filiale dotata di personalità giu- tamenti che, seppur effettuati fuori
ridica. dall’Unione, rientrino nell’ambito del-
le attività di uno stabilimento in UE.
La definizione di stabilimento ha ri-
cevuto, nel tempo, un’interpretazio- Anche se la giurisprudenza (comu-
ne estensiva, da parte della giurispru- nitaria) ha interpretato la nozione in
denza (principalmente comunitaria), maniera estensiva, si richiede, pur
che ha notevolmente abbassato la sempre, l’esistenza di un legame in-
soglia dei due requisiti di stabilità ed dissolubile (anche se economico) tra
effettività, prevedendo che - questi il trattamento effettuato e l’attività
requisiti - debbano essere interpre- svolta dall’Unione.
tati alla luce del tipo di attività eco-
nomica esercitata.
10GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
CASE STUDY 1
CGUE, C-131/2012, GOOGLE SPAIN SL, GOOGLE INC.
C. AGENCIA ESPAÑOLA DE PROTECTIÓN DE DATOS
(AEPD), MARIO COSTEJA GONZÁLES, 13.05.2014
FATTI: Google Inc. è una società con sede legale negli Stati Uniti e di-
verse filiali in Europa, tra cui anche la filiale spagnola (Google Spain).
Quest’ultima agisce come rappresentante commerciale della sede
centrale Spagna nella vendita di spazi pubblicitari per il marketing di
società terze. Il trattamento dei dati degli utenti spagnoli che acce-
devano al motore di ricerca al fine di profilarli per assicurare che gli
spazi pubblicitari venduti a terzi targettizzassero il giusto parco di
clientela, era effettuato però dallo stabilimento statunitense. A se-
guito di contestazione da parte dell’Autorità Garante spagnola, per
il mancato rispetto dei diritti privacy degli utenti spagnoli, Google
sosteneva l’inapplicabilità del GDPR a questo specifico trattamento,
in quanto effettuato in uno Stato terzo (USA), fuori dalla UE.
CONCLUSIONE: La Corte di Giustizia europea (CGUE) ha, invece,
concluso che tale trattamento dovesse considerarsi effettuato nel
contesto delle attività dello stabilimento spagnolo, in quanto “desti-
nato ad assicurare, nello Stato membro in questione, la promozione
e la vendita degli spazi pubblicitari proposti sul motore di ricerca al
fine di rendere redditizio il servizio offerto da quest’ultimo”.
3.3 GLI UTENTI DEI DATI PERSONALI
La funzione di Titolare del tratta- materia di protezione dei dati. Esiste,
mento ovvero di Responsabile del tuttavia, una distinzione significativa
trattamento implica – quale princi- tra Titolare del trattamento e Re-
pale conseguenza – la responsabi- sponsabile del trattamento: il primo
lità giuridica dell’ottemperanza ai ri- (Titolare) è la persona fisica ovvero
spettivi obblighi, previsti dal diritto in giuridica che determina le finalità del
11GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
trattamento ed i mezzi del tratta- Responsabilità ed obbligo di rende-
mento, mentre il secondo (Respon- re conto sono due facce della stessa
sabile) è la persona fisica ovvero giu- medaglia; elementi essenziali di una
ridica che tratta i dati per conto del corretta governance in materia di
Titolare, seguendo istruzioni precise. protezione dei dati personali (Gruppo
di lavoro Art. 29, Parere 03/2020 sul
In ossequio al principio di accounta- principio di responsabilità, WP173,
bility, il Titolare esercita il controllo sul 13/07/2010). Ciò comporta l’esigen-
trattamento e su chi ne ha la responsa- za di documentare ogni attività svolta
bilità, compresa la responsabilità legale. per la protezione dei dati personali al
La locuzione anglosassone accounta- fine di poter dimostrare all’Autorità di
bility fa proprio leva sulla dimostrazio- controllo e ad eventuali terzi di esser-
ne del modo in cui viene esercitata la si conformati ai requisiti regolamen-
responsabilità e sulla sua verificabilità. tari in tema di trattamento.
TITOLARE DEL TRATTAMENTO
Il Titolare è, anzitutto, responsabile per il rispetto dei principi generali
applicabili al trattamento dei dati personali (art. 5, par. 2 GDPR – liceità,
correttezza, trasparenza). Inoltre, previa valutazione della natura, del
contesto, della finalità e del rischio rispetto ai trattamenti svolti, il Titolare
è responsabile per l’adozione delle misure tecniche ed organizzative ade-
guate al fine di garantirne la generale conformità alla normativa applicabile
in materia di protezione dei dati personali (art. 24 par. 1 e Considerando
74 GDPR). Il Titolare deve anche essere in grado di dimostrare l’efficacia
delle misure attuate rispetto ai trattamenti svolti ed ai rischi stimati, dando
conto delle valutazioni effettuate. La responsabilità del Titolare del tratta-
mento non riguarda soltanto i trattamenti svolti direttamente, bensì anche
quelli svolti per suo conto da eventuali responsabili del trattamento.
RESPONSABILE DEL TRATTAMENTO
Sebbene il principio di responsabilizzazione di cui all’art. 5, par. 2 GDPR
sia rivolto soltanto al Titolare, anche il Responsabile del trattamento è
da ritenersi competente, dal momento che deve ottemperare a diversi
obblighi, funzionalmente collegati alla responsabilità.
12GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
Ad esempio, ai sensi del Regolamento comunitario, il Responsabile tiene
un registro di tutte le categorie di attività relative al trattamento, per di-
mostrare il rispetto degli obblighi comunitari. Il Responsabile deve, inol-
tre, mettere in atto misure tecniche ed organizzative adeguate al fine di
garantire la sicurezza del trattamento (art. 32 GDPR), designare un re-
sponsabile per la protezione dei dati in determinate situazioni (art. 37
GDPR), informare il Titolare di eventuali violazioni (art. 33, par. 2 GDPR).
L’accordo, giuridicamente vincolante, tra il Titolare ed il Responsabile
deve prevedere, tra le altre cose, che il Responsabile assista il Titolare con
riferimento al rispetto di alcuni obblighi quali, ad esempio, la cooperazio-
ne nello svolgimento di una valutazione d’impatto sulla protezione dei
dati (cd. «DPIA») ovvero quando si vede obbligato a notificare al Titolare
eventuali violazioni non appena ne viene a conoscenza. La mancata sti-
pula di tale contratto costituisce una violazione dell’obbligo del Titolare
di fornire una documentazione scritta delle responsabilità reciproche e
potrebbe dar luogo a sanzioni. Quando il danno è cagionato per avere
agito in modo difforme o contrario rispetto alle legittime istruzioni del
Titolare del trattamento, la responsabilità non è soltanto di quest’ultimo,
ma anche del Responsabile del trattamento (art. 82, par. 2 GDPR).
Il Responsabile del trattamento deve tenere, come detto, un registro di
tutte le categorie di attività relative al trattamento svolte per conto del Ti-
tolare (art. 30, par. 2 GDPR). Su richiesta, tale registro dovrà essere messo
a disposizione dell’Autorità di controllo, dal momento che Titolare e Re-
sponsabile del trattamento devono – entrambi - collaborare con l’Auto-
rità nell’esecuzione dei propri compiti (artt. 30, par. 4 e 31 GDPR).
SUB-RESPONSABILE DEL TRATTAMENTO
I titolari e/o i responsabili del trattamento potrebbero voler delegare al-
cuni compiti ad altri responsabili di secondo livello. Ciò è giuridicamente
possibile, a condizione che siano stipulate apposite clausole contrattuali
appropriate tra Titolare e Responsabile del trattamento, anche rispetto
all’eventuale necessità dell’autorizzazione del Titolare, in ogni singolo
caso ovvero di una semplice informativa data a quest’ultimo. Il Regola-
mento UE stabilisce, inoltre, che il responsabile iniziale conserva – nei
13GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
confronti del Titolare del trattamento – l’intera responsabilità qualora il
responsabile di secondo livello ometta di adempiere ai propri obblighi,
in materia di protezione dei dati (art. 28, par. 4 GDPR). Se il potere di
determinare i mezzi del trattamento è delegato ad un Responsabile, il
Titolare del trattamento deve, comunque, poter esercitare un adeguato
controllo sulle decisioni di quest’ultimo, in merito ai mezzi del tratta-
mento. La responsabilità generale spetta ancora al Titolare del tratta-
mento, che deve sorvegliare i responsabili del trattamento onde garan-
tire che le loro decisioni siano conformi al diritto in materia di protezione
dei dati ed alle sue istruzioni.
Se un Responsabile del trattamento non rispetta le condizioni per il
trattamento dei dati – così come prescritto dal Titolare – detto Re-
sponsabile diventerà, a sua volta, titolare almeno nella misura in cui
non si è attenuto alle istruzioni del Titolare effettivo del trattamen-
to. A sua volta, il Titolare del trattamento originario dovrà spiegare
come sia stato possibile che il Responsabile sia venuto meno al suo
mandato (art. 82, par. 2 GDPR).
In ipotesi siffatte, il Gruppo di Lavoro Art. 29 tende, infatti, a presupporre
che si realizzi una situazione di contitolarità che meglio tutela gli interessa-
ti (Gruppo di lavoro Art. 29, Parere 1/2010 sui concetti di «Responsabile
del trattamento» ed «Incaricato del trattamento», WP 169, 16.02.2010,
pag. 25; ed ancora Gruppo di lavoro Art. 29, Parere 10/2006 sul Tratta-
mento dei dati personali da parte della Società per le Telecomunicazio-
ni finanziarie interbancarie mondiali (SWIFT), WP128, 22.11.2006).
I privati, nel trattare i dati relativi ad altri, nell’ambito di attività a ca-
rattere esclusivamente personale ovvero domestico, non rientrano
nell’ambito di applicazione del GDPR e non sono considerati titolari
del trattamento (Considerando 18 GDPR).
Al contrario, le norme in materia di protezione dei dati si applicano
- in toto - ai titolari del trattamento nonché ai responsabili del tratta-
mento che forniscono i mezzi per trattare dati personali nell’ambito di
attività a carattere personale o domestico.
Tipico esempio quello delle piattaforme di social networkin g (Consi-
derando 18 cit.).
14GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
CASE STUDY 2
CGUE, C-101/2001, PROCESSO PENALE A CARICO
DI BODIL LINDQVIST, 06.11.2003.
Il procedimento Bodil Lindqvist riguardava il riferimento, in una pagina
Internet, a diverse persone, identificate con il loro nome o altri mezzi,
ad esempio il loro numero di telefono ovvero informazioni relative ai
loro passatempi. La CGUE ha sostenuto che “l’operazione consistente
nel fare riferimento, in una pagina Internet, a diverse persone e nell’i-
dentificarle vuoi con il loro nome, vuoi con altri mezzi […], costituisce
un trattamento di dati personali interamente o parzialmente automatiz-
zato ai sensi dell’art. 3 n. 1 della direttiva 95/46 ”.
Tale trattamento di dati personali non rientra fra le attività a carat-
tere strettamente personale o domestico, che esulano dall’ambito
di applicazione della direttiva sulla tutela dei dati, dal momento che
tale eccezione “deve […] interpretarsi nel senso che comprende uni-
camente le attività che rientrano nell’ambito della vita privata o fa-
miliare dei singoli, il che manifestamente non avviene nel caso del
trattamento di dati personali consistente nella loro pubblicazione su
Internet in modo da rendere tali dati accessibili ad un numero indefi-
nito di persone” (punto 47).
Se le attività abbiano, o meno, carattere esclusivamente personale ovvero
domestico dipende dalle circostanze. Le attività che presentano aspetti
professionali ovvero commerciali non possono rientrare nell’esenzione
per l’esercizio di attività a carattere personale. Pertanto, se l’entità e la
frequenza del trattamento suggeriscono una attività professionale ovve-
ro a tempo pieno, un privato potrebbe pacificamente essere considerato
titolare del trattamento. Oltre al carattere professionale o commerciale
dell’attività di trattamento, un altro fattore che deve essere preso in con-
siderazione è se i dati personali siano messi a disposizione di un vasto
numero di persone, ovviamente esterne alla sfera privata dell’individuo.
15GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
RAPPRESENTANTE
Quando un Titolare del trattamento ovvero un Responsabile del tratta-
mento non è stabilito nella UE, tale società deve designare, per iscritto,
un rappresentante nell’Unione (art. 27 par. 1 GDPR), il quale deve essere
stabilito “in uno degli Stati membri in cui si trovano gli interessati ed i cui
dati personali sono trattati nell’ambito dell’offerta di beni o servizi o il cui
comportamento è monitorato” (art. 27 par. 3 GDPR).
Se nessun Rappresentante viene designato, una eventuale azione lega-
le può ancora essere avviata direttamente contro il Titolare oppure il Re-
sponsabile del trattamento (art. 27 par. 5 GDPR).
CONTITOLARITÀ
Il GDPR stabilisce, infine, che allorché due o più titolari del trattamento
determinino, congiuntamente, le finalità ed i mezzi del trattamento, essi
sono contitolari del trat-tamento (come accennato poco sopra analiz-
zando la figura del Responsabile del trattamento). Ciò significa che de-
cidono insieme di trattare i dati per una finalità comune (artt. 4 par. 7 e
26 GDPR). La contitolarità può assumere varie forme e la partecipazione
dei diversi titolari del trattamento alle attività di controllo può differire.
Tale flessibilità permette di tenere conto della crescente complessi-
tà della realtà attuale del trattamento dei dati (Gruppo di lavoro Art.
29, Parere 1/2010 sui concetti di «Responsabile del trattamento» ed
«Incaricato del trattamento», WP 169, 16.02.2010). I contitolari del
trattamento devono, quindi, determinare - in un accordo specifico – le
rispettive responsabilità per il rispetto degli obblighi previsti dal Rego-
lamento comunitario (Considerando 79 GDPR). Responsabilità che si
declina in forma solidale per l’intero ammontare del danno causato dal
trattamento effettuato in maniera congiunta (art. 82 par. 4 GDPR).
DESTINATARIO & SOGGETTO TERZO
La differenza tra queste due categorie ovvero entità – inizialmente
introdotte dalla Direttiva 95/46/CE – risiede, principalmente, nel loro
16GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
rapporto con il Titolare del trattamento e, di conseguenza, nel tipo di
autorizzazione, a questi conferita, ai fini dell’accesso ai dati personali in
possesso di detto Titolare.
Un «terzo» è un soggetto diverso dal Titolare e dal Responsabile. Ai
sensi dell’art. 4 par. 10 GDPR, per terzo si intende “la persona fisica o
giuridica, l’autorità pubblica, il servizio o altro organismo che non sia
l’interessato, il titolare del trattamento, il responsabile del trattamento e
le persone autorizzate al trattamento dei dati personali sotto l’autorità
diretta del titolare del trattamento o del responsabile”.
Questo significa che le persone che lavorano in una impresa giuridica-
mente distinta dal Titolare del trattamento, anche facente parte di uno
stesso gruppo ovvero holding, saranno (o faranno parte) dei «terzi». Per
contro, le succursali di una banca che trattano dati contabili della clien-
tela sotto l’autorità diretta della sede centrale non dovrebbero essere
considerate come «terzi» (Gruppo di lavoro Art. 29, Parere 1/2010 sui
concetti di «Responsabile del trattamento» ed «Incaricato del tratta-
mento», WP 169, 16.02.2010, pag. 31).
Il termine «destinatario», invece, ha una valenza più ampia. Ai sensi
dell’art. 4 par. 9 GDPR, un destinatario è “ la persona fisica o giuridica,
l’autorità pubblica, il servizio o altro organismo che riceve comunica-
zione di dati personali, che si tratti o meno di terzi ”. Il destinatario può
essere una persona esterna al Titolare ovvero al Responsabile del trat-
tamento – in tal caso sarebbe un terzo – oppure qualcuno interno al
Titolare o Responsabile del trattamento, come per esempio un dipen-
dente ovvero un altro reparto all’interno della stessa azienda o autorità.
La distinzione tra destinatari e terzi è importante soltanto in ragione
delle condizioni previste per la legittima divulgazione dei dati.
I dipendenti di un Titolare ovvero di un Responsabile del trattamento
possono essere destinatari dei dati personali, senza ulteriore obbligo
giuridico, se prendono parte alle operazioni di trattamento del Titolare o
del Responsabile del trattamento. Per contro, un terzo, essendo distin-
to dal Titolare o dal Responsabile, non è autorizzato ad utilizzare i dati
personali trattati dal Titolare, salvo specifiche motivazioni giuridiche nel
contesto di un caso particolare.
17GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
3.4 LE INFORMAZIONI SUL TRATTAMENTO
Uno dei pilastri fondanti della disciplina del diritto alla protezione dei dati
personali è, senza dubbio, la tutela dei diritti dell’interessato.
La Carta dei diritti fondamentali UE fornisce un primo indizio su quali siano
tali diritti sancendo - all’art. 8, comma 2 - che “ogni persona [abbia] il diritto
di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica”.
La centralità della materia la si può rinvenire, altresì, dalla collocazione sistemati-
ca - all’interno del Regolamento comunitario - delle disposizioni relative alla pro-
tezione dei dati personali, a cui viene dedicato l’intero Capo III, immediatamente
dopo le disposizioni di carattere generale ed i principi fondamentali (contenuti,
rispettivamente, nel Capo I e nel Capo II). Il Capo III GDPR è formato da dodici
articoli, suddivisi in cinque sezioni, che hanno per oggetto, rispettivamente:
I PRINCIPI DELLA MATERIA E LE MODALITÀ ATTRAVERSO CUI IL TITOLARE GARAN
TIS E L ESER IZIO EI IRITTI A ARTE ELL INTERESSATO
LE INFORMAZIONI E IL TITOLARE EVE TRAS ETTERE ALL INTERESSATO RI
S ETTO AI TRATTA ENTI E ETT ATI E IL IRITTO I EST LTI O A ACCE-
DERE AI ATI ERSONALI
IL DIRITTO DI RETTIFICA, CANCELLAZIONE, LIMITAZIONE AL TRATTAMENTO E
PORTABILITÀ DEI DATI;
IL DIRITTO DI OPPOSIZIONE E LA DISCIPLINA RELATIVA AI PROCESSI DECISIONALI
AUTOMATIZZATI
LE LIMITAZIONI AI IRITTI ELL INTERESSATO
La finalità principale delle disposizioni in materia di diritti dell’interessato è
fornire, alle persone fisiche i cui dati personali sono oggetto di trattamento,
una serie di strumenti che permettano - da un lato - di controllare i propri
dati personali e, dall’altro, di intervenire sulle modalità del trattamento, sen-
za dover subire, passivamente, le attività poste in essere dal Titolare.
Affinché l’interessato possa esercitare - in maniera efficace ed effettiva - i pro-
pri diritti occorre che quest’ultimo abbia contezza delle attività e modalità at-
traverso le quali viene effettuato il trattamento dei propri dati personali da par-
te del Titolare. In particolare, l’interessato dovrà poter conoscere, per lo meno:
LE INALIT ERSE ITE AL TITOLARE E LE ASI I RI I E EL TRATTA ENTO
L I ENTIT EL TITOLARE E I EVENT ALI RES ONSA ILI
I OSSI ILI ESTINATARI EI ATI ERSONALI
18GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
EVENT ALI TRAS ERI ENTI I ATI ERSONALI AL I ORI ELLA E
DIRITTI ESERCITABILI RISPETTO AI SINGOLI TRATTAMENTI.
Ne consegue che presupposto fondamentale della disciplina dei diritti
dell’interessato sia un generale diritto all’informazione che – nel GDPR – si
traduce in un dovere del Titolare di comunicare all’interessato alcune infor-
mazioni rispetto ai trattamenti di dati personali effettuati. Nella pratica acca-
de che il Titolare informi il soggetto interessato circa le finalità e le modalità
del trattamento attraverso un documento noto come «informativa» ovvero
«informativa privacy».
Il contenuto dell’informativa è indicato – in modo tassativo - dagli artt. 13 e
14 par. 1 GDPR, che trovano applicazione, rispettivamente, nel caso in cui i
dati personali vengano raccolti direttamente presso l’interessato oppure da
soggetti terzi. In ogni caso, il Titolare deve sempre comunicare all’interes-
sato le seguenti informazioni:
L I ENTIT E I ATI I ONTATTO EL TITOLARE E OVE A LI A ILE EL S O
RAPPRESENTANTE E DATA PROTECTION
LA INALIT E LA ASE I RI I A EL TRATTA ENTO
IL LEGITTIMO INTERESSE PERSEGUITO DAL TITOLARE QUALORA QUESTO COSTI
T IS A LA ASE I RI I A A LI A ILE
GLI EVENTUALI DESTINATARI O LE EVENTUALI CATEGORIE DI DESTINATARI DEI DATI
ERSONALI
L INTENZIONE EL TITOLARE I TRAS ERIRE I ATI ERSONALI AL I ORI ELL
NIONE EUROPEA E, SE DEL CASO, ATTRAVERSO QUALI STRUMENTI VIENE EFFET
TUATO TALE TRASFERIMENTO.
Deve, altresì, essere fornita qualsiasi altra informazione supplementare necessa-
ria per garantire un trattamento dei dati corretto, ovvero utile in tal senso, come
la durata della conservazione dei dati, la conoscenza del ragionamento alla base
del trattamento. Come detto poca sopra, il Regolamento comunitario distingue,
agli artt. 13 e 14, i casi in cui i dati personali oggetto del trattamento siano rac-
colti direttamente presso l’interessato (art. 13) rispetto a quelli in cui il dato trat-
tato sia raccolto presso soggetti terzi (art. 14). Questa distinzione si riflette anche
sulle tempistiche con cui il Titolare è tenuto ad adempiere ai propri obblighi
informativi. In particolare, l’informativa dovrà essere trasmessa all’interessato:
NEL MOMENTO IN CUI IL TITOLARE OTTIENE I DATI PERSONALI OVE QUESTI SIANO
STATI RA OLTI IRETTA ENTE RESSO L INTERESSATO
19GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
oppure
ENTRO N TER INE RA IONEVOLE E O N E ENTRO N ESE ALO
RA, INVECE, I DATI SIANO STATI FORNITI DA UN SOGGETTO TERZO.
Nel caso in cui i dati personali siano destinati alla comunicazione con l’in-
teressato, il Titolare dovrà trasmettere l’informativa al più tardi al momento
della prima comunicazione con quest’ultimo. Mentre, nel caso in cui sia
prevista la comunicazione ad un altro destinatario, non oltre la prima comu-
nicazione dei dati personali.
Le operazioni di trattamento, poi, devono essere illustrate agli interessati in
modo facilmente comprensibile, affinché possano capire cosa accadrà ai
loro dati. È per questo motivo che l’art. 12 GDPR «Informazioni, comunica-
zioni e modalità trasparenti per l’esercizio dei diritti dell’interessato» sancisce
alcuni principi relativi alle modalità di comunicazione tra Titolare ed interes-
sato. In tal senso, le comunicazioni – ed in particolare l’informativa – devo-
no avere forma concisa, trasparente, intellegibile e facilmente accessibile. Il
Titolare dovrà, pertanto, prediligere un linguaggio chiaro e semplice, anche
in combinazione con icone standardizzate, tenendo in considerazione le ca-
ratteristiche soggettive del destinatario e preferendo, in ogni caso, la forma
scritta (anche attraverso strumenti elettronici) rispetto a quella orale, salvo
ove diversamente richiesto dall’interessato e purché ne venga comprovata
preventivamente l’identità da parte del Titolare (Considerando 60 GDPR).
L’interessato, inoltre, ai sensi dell’art. 15 GDPR, ha il diritto di ottenere, a sua
richiesta, dal Titolare del trattamento la conferma che sia o meno in corso
un trattamento di dati che lo riguardi e, in tal caso, di sapere quali dati sono
soggetti a trattamento. Infine, le persone fisiche i cui dati vengono tratta-
ti devono essere informati in maniera proattiva dal Titolare del trattamento
ovvero dal Responsabile circa le finalità, la durata, i mezzi di trattamento,
oltre ad altri dettagli, in linea di principio, prima dell’inizio dell’attività di trat-
tamento. In determinate situazioni, infine, sono previste deroghe all’obbligo
di informare gli interessati circa il trattamento dei dati.
Le informazioni possono essere ordinate secondo la loro importanza ed es-
sere raggruppate in blocchi omogenei. A tal proposito, soprattutto con riferi-
mento all’ambiente on-line - caratterizzato da dinamiche diverse dal mezzo
20GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
cartaceo - deve essere favorito l’utilizzo dei cd. formati multistrato, che mi-
gliora la fruibilità delle informazioni.
Il Titolare del trattamento, infine, dovrà fare precise scelte grafiche e tipo-
grafiche, affinché l’interessato, con una semplice occhiata alle icone, possa
scoprire se ed in quale modo i propri dati vengono utilizzati (Provvedimento
Garante Privacy in materia di videosorveglianza - 8 aprile 2010 [doc. web.
n. 1712680], relativo all’utilizzo di icona specifica per i sistemi di videosor-
veglianza con o senza operatore).
Tuttavia, una tale architettura dovrebbe, comunque, essere configurata evi-
tando una eccessiva frammentazione in un numero troppo elevato di livelli,
pena la dispersione delle informazioni rese che, ovviamente, ne compro-
metterebbe la fruibilità e la trasparenza.
CASE STUDY 3
CGUE, C-201/2014, SMARANDA BARA E A.C.CASA NATIONALÃ
DE ASIGURÃRI DE SÃNÃTATE E A. C. CASA NATIONALÃ
DE ADMINISTRARE FISCALÃ (ANAF), 01.10.2015
Il procedimento aveva ad oggetto la trasmissione di dati fiscali rela-
tivi al reddito di lavoratori autonomi dall’Agenzia nazionale per l’am-
ministrazione tributaria alla Cassa Nazionale malattia in Romania,
sulla base dei quali veniva richiesto il pagamento di contributi per
l’assicurazione malattia arretrati. Alla CGUE è stato richiesto di sta-
bilire se l’interessato avrebbe dovuto ricevere informazioni preven-
tive quanto alla identità del titolare del trattamento ed all’obiettivo
in vista del quale avveniva la trasmissione dei dati, prima che tali dati
fossero trattati dalla Cassa Nazionale malattia.
La CGUE ha stabilito che quando una amministrazione pubblica di
uno Stato membro trasmette dati personali ad un’altra amministra-
zione pubblica che tratta ulteriormente tali dati, gli interessati de-
vono essere informati di tale trasmissione o trattamento.
21GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
3.5. IL DIRITTO ALLA CANCELLAZIONE
(DIRITTO ALL’OBLIO)
Il diritto alla cancellazione dei dati è previsto dall’art. 17 GDPR e consiste
nella facoltà, per l’interessato, di richiedere - al Titolare del trattamento - la
cancellazione dei propri dati personali.
Diritto alla cancellazione e diritto all’oblio: nonostante siano stati menzionati
entrambi dalla stessa disposizione, occorre operare una distinzione in quanto
il diritto all’oblio consiste nella pretesa dell’individuo a poter essere dimenti-
cato ogniqualvolta quest’ultimo ritenga che non vi sia più la necessità ovvero
una ragione che giustifichi il trattamento dei suoi dati personali. Pertanto, il di-
ritto alla cancellazione ha una funzione propedeutica e strumentale rispetto
all’oblio che è, invece, una delle possibili conseguenze pratiche dell’esercizio
della pretesa soggettiva alla cancellazione dei dati personali. Ulteriori defi-
nizioni del diritto all’oblio, si rinvengono ai Considerando 65, 66 e 67 GDPR.
Il diritto alla cancellazione può essere esercitato solamente con riferimento
ai casi tassativamente indicati dall’art. 17 par. 1 GDPR. Nel dettaglio, l’interes-
sato può richiedere la cancellazione dei propri dati personali nel caso in cui:
a) i dati personali non siano più necessari rispetto alle finalità per le quali
sono stati raccolti ovvero altrimenti trattati;
b) l’interessato revochi il consenso su cui si basava il trattamento e non
sussista altro fondamento giuridico per il trattamento;
c) l’interessato si opponga al trattamento e non sussista alcun motivo legit-
timo prevalente per procedere al trattamento;
d) i dati personali sono stati trattati illecitamente;
e) i dati personali devono essere cancellati per adempiere ad un obbligo le-
gale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto
il Titolare del trattamento;
oppure
f) i dati personali sono stati raccolti relativamente all’offerta di servizi della
società dell’informazione e trattati sulla base del consenso del minore o
del consenso prestato dal Titolare della responsabilità genitoriale.
Ed invero, l’esercizio del diritto alla cancellazione richiede una attenta valu-
22GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
tazione degli interessi in gioco rispetto allo specifico trattamento effettuato,
affinché possa es-sere determinato se la richiesta di cancellazione prevalga,
o meno, rispetto agli interessi del Titolare del trattamento.
Nella pratica, non solo ogni richiesta di esercizio del diritto di cancellazio-
ne deve essere valutata caso per caso, ma anche le misure eventualmente
adottate dal Titolare per darvi seguito devono essere il risultato di un bi-
lanciamento degli interessi delle parti, potendo, in alcuni casi, risultare più
opportuno una integrazione ovvero una modifica del dato, piuttosto che la
sua integrale cancellazione.
Come detto, l’esercizio del diritto alla cancellazione è soggetto ad alcune
limitazioni, elencate all’art. 17 par. 3 GDPR, ove si prevede, espressamente,
che il Titolare possa rigettare la richiesta dell’interessato nella misura in cui
il trattamento sia necessario:
a) per l’esercizio del diritto alla libertà di espressione e di informazione;
b) per l’adempimento di un obbligo legale che richieda il trattamento previ-
sto dal diritto dell’Unione o dello Stato membro cui è soggetto il Titolare
del trattamento o per l’esecuzione di un compito svolto nel pubblico in-
teresse oppure nell’esercizio di pubblici poteri di cui è investito il Titolare
del trattamento;
c) per motivi di interesse pubblico nel settore della sanità pubblica;
d) ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o
storica ovvero a fini statici nella misura in cui l’esercizio del diritto alla
cancellazione rischi di rendere impossibile ovvero di pregiudicare gra-
vemente il conseguimento degli obiettivi di tale trattamento;
ovvero
e) per l’accertamento, l’esercizio ovvero la difesa di un diritto in sede giu-
diziaria.
Anche in presenza di una delle circostanze di cui supra, il Titolare del tratta-
mento non è tenuto a rigettare tout court la richiesta dell’interessato, ma è
sempre tenuto - ove possibile - ad adottare specifiche misure che permetta-
no di rispondere, almeno parzialmente, alle esigenze dell’interessato, senza
che venga pregiudicato il trattamento dei dati e le prerogative in base alle
quali lo stesso viene effettuato.
23Nel caso in cui sussista uno dei requisiti legittimanti il diritto alla cancellazione e non si è in presenza di uno dei casi per cui il trattamento risulti necessario ex lege, il Titolare è tenuto a cancellare i dati del richiedente - in maniera de- finitiva - da tutti i propri archivi e sistemi informatici. La cancellazione va effettuata tenendo conto della tecnologia disponibile e dei costi di attuazione. Nel caso in cui il Titolare del trattamento abbia reso i dati personali pubblici, quest’ultimo sarà, altresì, tenuto ad adottare tutte le misure, anche di natura tecnica, necessarie al fine di informare gli ulteriori titolari affinché si adope- rino alla cancellazione di eventuali link, copie o riproduzione di dati oggetto della richiesta di cancellazione. Questa previsione si aggiunge a quanto previsto dall’art. 19 GDPR, secondo cui, in ogni caso, il Titolare deve comunicare - a ciascuno dei destinatari i cui dati personali sono stati trasmessi - gli interventi effettuati a seguito dell’ac- coglimento della richiesta di esercizio del diritto alla cancellazione da parte dell’interessato, salvo che ciò non risulti possibile ovvero implichi uno sforzo sproporzionato. Il tema della cancellazione è molto importante per quelle società che uti- lizzano i dati relativi ai loro clienti/utenti come parte integrante del proprio modello di business le quali, nel dar seguito ad una richiesta di cancellazione ai sensi dell’art. 17 GDPR, non sono sempre tenute a cancellare, in maniera definitiva, i dati in loro possesso. Il Titolare può, ad esempio, procedere alla anonimizzazione del dato – ov- vero l’eliminazione irreversibile del legame tra l’interessato ed i dati ad esso associato – che permette di dar seguito alla richiesta di cancellazione e, allo stesso tempo, di proseguire con il trattamento del dato anonimizzato, per finalità ulteriori e diverse rispetto a quelle originariamente previste. Tuttavia, nel caso in cui la cancellazione del dato risultasse necessaria, il Titolare dovrà procedere affinché questo diventi inutilizzabile o, comunque, inaccessibile. A tal proposito, non è rilevante il modo in cui i dati dell’interessato vengano cancellati, quanto piuttosto che una volta distrutti risulti impossibile, o co- munque sia necessario un particolare sforzo, per recuperarli. 24
CASE STUDY 4
CGUE, C-131/2012, GOOGLE SPAIN SL, GOOGLE INC. C.
AGENCIA ESPAÑOLA DE PROTECTIÓN DE DATOS (AEPD),
MARIO COSTEJA GONZALES, 13.05.2014, PUNTI 55 – 58.
La CGUE ha concluso che Google, quando cerca informazioni e pa-
gine web in rete e quando ne indicizza il contenuto per fornire i ri-
sultati della ricerca, diventa un titolare del trattamento, al quale si
applicano responsabilità ed obblighi ai sensi del diritto UE.
Nell’esaminare se Google fosse tenuta o meno ad eliminare i link col-
legati al ricorrente, la CGUE ha stabilito che, in determinate condi-
zioni, le persone hanno il diritto di chiedere la cancellazione dei dati
personali che non si qualifica quale diritto assoluto, ma che deve es-
sere ponderato con altri diritti ed interessi, in particolare l'interesse
del grande pubblico ad avere accesso a determinate informazioni.
A seguito della celebre pronunzia (Case Study 4), il Gruppo di lavoro Art. 29 ha
adottato apposite Linee Guida (Gruppo di lavoro Art. 29, «Guidelines on the
implementa-tion of the CJEU judgment on «Google Spain SL, Google Inc.
c. Agencia Espanola de Protection de Datos (AEPD), Mario Costeja Gonzales,
13.05.2014», C-131/2012, WP225, 26.11.2014), che comprendono un elenco
di criteri comuni che le Autorità di controllo devono utilizzare nella gestione
dei reclami relativi alle richieste di cancellazione, da parte di persone fisiche.
Il risultato di una richiesta può variare a seconda del caso in questione.
CASE STUDY 5
CGUE, C-398/2015, CAMERA DI COMMERCIO, INDUSTRIA, ARTIGIANATO
E AGRICOLTURA DI LECCE C. SALVATORE MANNI, 09.03.2017.
La CGUE si è trovare ad esaminare la richiesta di un soggetto (Signor
Manni) volta ad ottenere la cancellazione dei suoi dati personali, iscritti
in un pubblico registro delle imprese, dopo che la sua società aveva
cessato di esistere.
La CGUE ha ritenuto che le norme dell’Unione in materia di protezione
dei dati non garantiscono il diritto alla cancellazione dei dati personali
per le persone fisiche nella situazione del Signor Manni di Lecce.
25GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
3.6. DATA PORTABILITY portabilità, addirittura, completa il
Tra i nuovi diritti previsti dal Regola- diritto di accesso. Ed invero, l’inte-
mento comunitario, il diritto alla por- ressato può richiedere al Titolare i
tabilità dei dati rappresenta sicura- propri dati personali e conservarli in
mente una delle novità più dirompenti vista di un futuro ed ulteriore utilizzo.
e risponde alle esigenze del progres- La conservazione può avvenire tra-
so tecnologico della società dell’in- mite una struttura apposita del Tito-
formazione degli ultimi decenni. lare (anche in cloud), oppure su di un
supporto personale dell’interessato,
L’art. 20 GDPR consente all’interes- purché i dati vengano forniti su di un
sato di ricevere i dati personali che lo formato strutturato, di uso comune e
riguardano - forniti ad un Titolare del leggibile da dispositivo automatico.
trattamento - in formato strutturato,
di uso comune e leggibile da dispo- Solo in tal modo, l’interessato sarà in
sitivo automatico. grado di esercitare un vero control-
Una volta ricevuti i dati, l’interessato lo sui propri dati, facilitandone - al
può trasmetterli - in maniera autono- contempo - la circolazione, la copia
ma - ad altro Titolare del trattamento e la trasmissione ad altri titolari.
ovvero, ove tecnicamente fattibile,
richiedere al Titolare di procedere al Il Gruppo di lavoro Art. 29 sostiene
trasferimento per suo conto. con forza la ricerca di forme di col-
Si può notare come il diritto alla laborazione fra i produttori e le asso-
portabilità si possa esprimere, dun- ciazioni di categoria, al fine di svilup-
que, sotto tre vesti differenti, ovve- pare un insieme condiviso di standard
rosia come: e formati interoperabili che soddisfi-
no i requisiti del diritto alla portabili-
DIRITTO A RICEVERE I DATI DAL TI-
tà dei dati (Gruppo di lavoro Art. 29,
TOLARE DEL TRATTAMENTO;
Linee Guida sul diritto alla portabili-
DIRITTO A TRASFERIRE I DATI AD AL-
tà dei dati - WP242, 13.12.2016, ver-
TRO TITOLARE, SENZA IMPEDIMENTI;
sione emendata ed adottata in data
DIRITTO DI POTER RICHIEDERE AL
05.04.2017).
TITOLARE DI ESEGUIRE IL TRASFE-
RIMENTO DEI DATI VERSO ALTRO
TITOLARE, PER CONTO DELL’INTE- Una volta ottenuti i dati dal Titola-
RESSATO. re, l’interessato può esercitare - in
concreto - il diritto alla portabilità,
Sotto il primo profilo, il diritto alla trasmettendo egli stesso i dati ad un
26GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
altro Titolare oppure può richiedere Tuttavia, nella pratica, si è ritenuto
al precedente Titolare di trasmetterli che possano formare oggetto della
per suo conto, ove ciò sia tecnica- richiesta di portabilità:.
mente possibile. T UT TI I DATI CHE «RIGUARDANO
Per quanto attiene alla fattibilità tec- L’INTERESSATO», INCLUSI EVENTUALI
nica, il Considerando 68 GDPR pro- DATI PSEUDOANONIMI CHE SIANO
muove l’utilizzo, da parte dei titolari, CHIARAMENTE RIFERIBILI ALL’INTE-
RESSATO, ED ALTRE INFORMAZIONI
di formati e sistemi interoperabili tra
CHE FACCIANO RIFERIMENTO SIA
loro. Qualora il trasferimento dei dati ALL’INTERESSATO CHE A TERZI (TA-
non fosse possibile per ragioni di na- BULATI TELEFONICI OVVERO IL CON-
tura tecnica, il Titolare è, comunque, TENUTO DELLA CARTELLA DI POSTA
tenuto a comunicarlo all’interessato. ELETTRONICA);
In ogni caso è sempre fatto divieto - I DATI FORNITI DALL’INTERESSATO,
per il Titolare - di ostacolare il trasferi- TRA I QUALI SI DEVONO RICOM-
mento dei dati verso un altro Titolare PRENDERE ANCHE I DATI PERSO-
NALI CHE NON SONO FORNITI
(ad esempio, richiedendo all’interes- CONSAPEVOLMENTE ED ATTIVA-
sato il pagamento di un corrispettivo). MENE DALL’INTERESSATO, MA CHE
DERIVANO DA ATTIVITÀ DA LUI SVOL-
La richiesta di portabilità può essere TE COME LA FRUIZIONE DI UN SERVI-
avanzata dall’interessato soltanto nei ZIO O L’UTILIZZO DI UN DISPOSITIVO
casi in cui il trattamento avvenga con (AD ESEMPIO, LO STORICO DI RI-
CERCHE IN RETE, DATI DI TRAFFICO
modalità automatizzate (ad esempio, O DI LOCALIZZAZIONE). SONO, IN-
mediante sistemi informatici) e non VECE, DA ESCLUDERSI I DATI GENE-
manuali (ad esempio, mediante archi- RATI, AUTOMATICAMENTE, DAL TI-
vi cartacei) e qualora tale trattamento TOLARE UTILIZZANDO COME INPUT
si basi sul consenso dell’interessato I DATI OSSERVATI OVVERO FORNITI
DALL’INTERESSATO, SOPRATTUT-
oppure sulla necessarietà del tratta- TO IN UN’OTTICA DI TUTELA DEL
mento per l’esecuzione di un contrat- KNOW-HOW DI QUEST’ULTIMO RI-
to ovvero di misure pre-contrattuali. SPETTO AI PROPRI CONCORRENTI,
EVENTUALMENTE DESTINATARI DEL-
La richiesta può avere ad oggetto LA RICHIESTA DI TRASFERIMENTO
(AD ESEMPIO, INFORMAZIONI RELA-
soltanto dati personali forniti dall’in-
TIVE ALL’INTERESSATO OTTENUTE A
teressato al Titolare che riguardino SEGUITO DELLA CATEGORIZZAZIO-
la sua persona, essendo esclusi i dati NE DELLO STESSO SULLA BASE DI UN
anonimi o che non facciano diret- PROCESSO DI PROFILAZIONE CREA-
tamente riferimento al richiedente. TO DAL TITOLARE).
27GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ Il diritto alla portabilità trova una ul- finalità lesive dei diritti e della libertà teriore limitazione - rispetto ai tratta- dei terzi coinvolti. Si riporta scheda menti effettuati dal Titolare - per l’e- infografica pubblicata sul sito istitu- secuzione di un compito di interesse zionale Garante Privacy: pubblico o per l’esercizio di pubblici poteri, oppure nel caso in cui l’eser- cizio del diritto alla portabilità possa determinare una lesione dei diritti e delle libertà altrui. I diritti e le libertà dei terzi assumono particolare rilievo con riferimento al diritto alla portabilità soprattutto qualora la richiesta dell’interessa- to abbia ad oggetto dati che siano intrecciati con informazioni riguar- danti altri soggetti. In queste circostanze, il Titolare deve adottare particolari precau- zioni, soprattutto in caso di trasferi- menti dei dati ad un nuovo Titolare in quanto tale trasferimento potreb- be essere pregiudizievole per i sog- getti coinvolti, ad esempio, qualora non venissero informati della ri- chiesta di trasferimento e non fos- sero così in grado di poter eserci- tare i propri diritti nei confronti del nuovo titolare. Allo stesso modo, il trasferimento comporta la necessità, per il Titola- re ricevente, di individuare una base giuridica che permetta il legittimo trattamento dei dati ricevuti, non potendo il trattamento avvenire per 28
GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
IL DIRITTO ALLA PRTABILITÀ DEI DATI (ART. 20 RGPD)
La
Per
29GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
3.7. PRIVACY BY DESIGN & PRIVACY BY DEFAULT
Il fine del Regolamento comunita- proccio olistico della privacy, dove
rio – come più volte sottolineato l’industria ed i consumatori, i tecnici
nel presente elaborato - è quello ed i legali, scoprono insieme cosa
di garantire il diritto fondamentale, funziona e cosa non funziona, la-
sancito dall’art. 8 Carta dei diritti sciando spazio all’innovazione «dal
fondamentali dell’Unione Europea basso», a differenza di un approccio
e ribadito dall’art. 16 del Trattato sul puramente regolamentato «dall’al-
Funzionamen-to dell’Unione Eu- to», che lascerebbe spazio alla sola
ropea (TFUE), concernente la pro- conformità.
tezione delle persone fisiche, con
riguardo al trattamento dei dati di I principi di cui sopra - cristallizzati
carattere personale. dall’art. 25 GDPR – pongono, a cari-
co dei titolari del trattamento (di tut-
Non solo. Il GDPR è stato adotta- te le dimensioni, sia piccole aziende
to per aggiornare la disciplina del- che grandi gruppi industriali), l’ob-
la precedente Direttiva 95/46/CE bligo di adottare misure tecniche
all’avvento della società digitale, in ed organizzative adeguate volte ad
modo da intercettare il potenziale incorporare i principi di protezione
delle nuove tecnologie, fornendo dei dati sin dalla fase di progetta-
dei principi solidi e chiari per indi- zione e sviluppo di ogni prodotto,
rizzare lo sviluppo dell’economia servizio o attività che preveda il
digitale. Per comprendere a pie- trattamento dei dati personali (pri-
no la portata innovativa del GDPR, vacy by design) e volte a garantire
oc-corre porre attenzione a due che siano trattati, per impostazione
principi cardine - in esso contenu- predefinita, soltanto i dati personali
ti - che costituiscono una assoluta necessari per ogni specifica finalità
novità sul piano normativo: del trattamento (privacy by default).
IL PRINCIPIO DI PROTEZIONE DEI
DATI SIN DALLA PROGETTAZIONE Allo stesso tempo, tali principi sono
(PRIVACY BY DESIGN); strettamente connessi agli altri prin-
IL PRINCIPIO DI PROTEZIONE DEI cipi richiamati dall’art. 5 GDPR e, in
DATI PER IMPOSTAZIONE PREDEFI- particolare, al principio di minimiz-
NITA (PRIVACY BY DEFAULT). zazione e di accountability. Da un
lato, il rispetto di tali principi presup-
Tali principi sono forieri di un ap- pone che i dati raccolti siano ade-
30GDPR E DATA PROTECTION QUADRO GENERALE. LE PRINCIPALI NOVITÀ
guati, pertinenti e limitati a quanto sure per garantire la sicurezza del
necessario per le finalità per le quali trattamento dei dati. I dati personali
sono raccolti. Dall’altro, l’adozione con attributi cifrati ovvero con-ser-
delle misure necessarie a garantire vati separatamente sono utilizzati in
la protezione dei dati, sia all’atto del molti contesti per mantenere segre-
trattamento che al momento di de- ta l’identità delle persone.
terminare i mezzi dello stesso, rap- Ciò si rivela particolarmente utile
presenta un modo per fornir prova quando i titolari del trat-tamento
del rispetto degli obblighi di respon- devono accertarsi che si tratti dello
sabilizzazione ex art. 24 GDPR. stesso interessato, ma non necessi-
tano – o non dovrebbero disporre
Per decidere quali misure adottare – dell’identità reale dell’interessato.
in concreto, il Titolare del tratta-
mento deve tenere conto dello sta- La pseudoanonimizzazione costi-
to dell’arte, dei costi di attuazione, tuisce, quindi, una solida pratica nel
della natura, dell’oggetto e delle novero delle tecnologie intese a mi-
finalità del trattamento di dati per- gliorare la tutela della vita privata.
sonali che intende svolgere. Può fungere da elemento importan-
te per realizzare la tutela della vita
Deve, inoltre, procedere a selezio- privata sin dalla progettazione, ossia
nare le misure adeguate, ponde- per integrare la protezione dei dati
rando i rischi del trattamento sia sul nei sistemi avanzati di trattamento.
versante della probabilità del veri- Non a caso, l’art. 25 GDPR fa espli-
ficarsi dei medesimi, sia con riferi- cito riferimento alla pseudoanoni-
mento alla gravità delle lesioni dei mizzazione quale esempio di misura
diritti e delle libertà delle persone tecnica ed organizzativa adeguata.
fisiche, in caso di realizzazione delle
ipotesi di rischio contemplate. PRIVACY BY DESIGN
Il concetto di privacy by design fu
A seconda delle circostanze spe- coniato - per la prima volta - negli
cifiche di ciascun caso, le misure anni novanta da Ann Cavoukian, In-
di sicurezza adeguate potrebbero formation and Privacy Commissio-
comprendere, ad esempio, la pseu- ner dell’Ontario (Canada), che fu tra i
donimizzazione e la cifratura dei promotori della risoluzione adottata
dati personali e/o testare e valutare, nel 2010, nel corso della trentadue-
regolarmente, l’efficacia delle mi- sima Conferenza mondiale dei Ga-
31Puoi anche leggere
