Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Regolamento sul trattamento dei dati personali: responsabilità, finalità e protezione, Appunti di Segreto Professionale e Diritto alla Riservatezza

Il regolamento sul trattamento dei dati personali in base al diritto internazionale pubblico, la responsabilità del titolare del trattamento, le finalità del trattamento e la protezione dei dati speciali. Il problema della responsabilità del trattamento dei dati personali in relazione alla sede del provider e il diritto alla protezione dei dati personali in base alla carta dei diritti fondamentali dell'ue.

Tipologia: Appunti

2023/2024

Caricato il 30/01/2024

fra-maa
fra-maa 🇮🇹

5

(1)

1 documento

1 / 27

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
1
12/09/2023. 1 EVOLUZIONE DEL DIRITTO ALLA RISERVATEZZA E PROTEZIONE DEI DATI PERSONALI .
Privacy: inizialmente riservatezza, essere lasciati soli; oggi ha un significato polisenso perché si colloca nelle
tecnologie digitali e nella gestione dei dati. La storia dello sviluppo della privacy può essere letta specularmente ai
cambiamenti intervenuti nel mondo delle tecnologie. Evoluzione degli strumenti fotografici e diffusione dei mass
media :
-Anni, 70: sviluppo di internet e possibilità di aggregare sempre più dati personali tramite la creazione di banche dati
(è all'origine della stessa modifica del concetto di privacy, ora divenuto diritto al controllo dei propri dati personali)
;
-Sviluppo della società digitale e della ICT (Information communication technology): possibilità di aggressioni su scala
sempre più vasta e più sofisticate: piattaforme digitali, siti di e-commerce, piattaforme di turismo, i social networks
sono collettori infiniti di informazioni, di modifica o manipolazione dei dati.
Problema di base: duplice natura dell'informazione -> bene economico da un lato e oggetto di un diritto
fondamentale dall'altro. Non interessa l’informazione riferita al singolo ma le informazioni dei singoli aggregate.
L'informazione (il dato personale è definito come l'informazione riferibile ad una persona fisica) costituisce infatti un
bene giuridico essendo economicamente valutabile e oggetto di scambio (es accettando i cookies, tramite iscrizione
ai social -> offerte personalizzate). Nel contempo il dato personale è anche oggetto di un diritto fondamentale
riconosciuto (dall'art 8 della Carta europea dei diritti fondamentali). Quando i dati costituiscono oggetto di scambio,
si profila un contrasto fra la realtà commerciale internazionale (es se cedo dati a Facebook, è uno scambio
internazionale) e la concezione teorica tradizionale che afferma l'indisponibilità dei diritti della personalità
.
I dati sono considerati vero e proprio bene di scambio (commodities) quando costituiscono il corrispettivo per
l'accesso ai servizi forniti dalle piattaforme digitali. (es. Facebook: iscrizione solo apparentemente gratuita). Queste
potranno, mediante tali dati, vendere gli spazi pubblicitari o commercializzare attività di profilazione dell'utente,
connettendo l'user data profiling al behavioural advertising (pubblicità comportamentale - che può arrivare ad essere
anche differenziata e discriminatoria - cioè che prende spunto dai nostri comportamenti; es geolocalizzazione:
vengono incrociati i dati con i nostri spostamenti). Problemi per cui bisogna proteggere i dati: discriminazione
economica (se ricerco di più una cosa quindi la voglio, costa di più), problema patrimoniale (a causa di profilazioni
sbagliate a causa di algoritmi che funzionano male, un soggetto può essere escluso da una graduatoria, da benefici
fiscali), problema personale (persone di una determinata etnia escluse da airbnb ecc). Partendo da tali problematiche
si dipanano ulteriori sfide :
-Big data: espressione legata all'utilizzazione di server e sistemi di trattamento digitale automatizzato che consentono
raccolte sempre più poderose di dati (acquisiti soprattutto, e in modo massiccio, in rete), e trattati da elaboratori
sempre più potenti, per le più diverse finalità, a costi sempre più bassi .
-Realtà in continua evoluzione: scopo di utilizzare i dati raccolti in maniera sempre più massiva, per generare
'informazioni da informazioni'. Una volta inseriti nei sistemi, i dati contenuti negli strumenti di storage dei Big Data
vengono “persi di vista" (non si sa dove vanno e possono anche essere prelevati dai server, dai singoli ecc; es video:
anche se il server li elimina, ormai potrebbero essere già stati acquisiti da persone fisiche o società). Questo
comporta un elevato rischio per l'interessato, in quanto il titolare del trattamento potrebbe utilizzarli per finalità
eccedenti rispetto alle informative e ai consensi raccolti .
-Internet of Things (IOT): un insieme di tecnologie che hanno come scopo quello di far dialogare tra loro le cose (al
fine di consentire agli esseri umani di usare le risorse a loro disposizione non solo in modo sempre più efficiente, ma
anche più organizzato e più funzionale).
Effetti: anche le persone comuni sono indotte ad utilizzare la rete nella vita di ogni giorno (non solo per entrare in
contatto gli uni con gli altri, o per ricevere servizi, ma anche per gestire la loro quotidianità, es. domotica). Scenari:
ulteriore proliferazione delle informazioni su ciascuno di noi, su comportamenti, abitudini e opinioni. Questi
metadati, connessi tra loro, sono idonei a rivelare il profilo di ciascuno, la nostra identità digitale, che richiedere
sempre maggiori tutele. Sintesi principali problematiche: piattaforme digitali, siti di e-commerce, le piattaforme di
viaggio e turismo, i social network sono dei collettori infiniti di informazioni personali (i dati possono essere
modificati o manipolati); i dati personali come merce di scambio; attività di profilazione dell'utente (effetti della
behavioural advertising); perdita del controllo sui propri dati personali; gestione del big data; c.d. Internet of things
(un insieme di tecnologie che hanno come scopo quello di far dialogare tra loro le cose).
Evoluzione del diritto alla privacy. Accezione tradizionale di privacy come "interesse del soggetto a mantenere la
sfera della propria vita privata al riparo da indiscrezioni altrui”. La privacy è un diritto relativamente recente
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b

Anteprima parziale del testo

Scarica Regolamento sul trattamento dei dati personali: responsabilità, finalità e protezione e più Appunti in PDF di Segreto Professionale e Diritto alla Riservatezza solo su Docsity!

12/09/2023. 1 EVOLUZIONE DEL DIRITTO ALLA RISERVATEZZA E PROTEZIONE DEI DATI PERSONALI.

Privacy : inizialmente riservatezza, essere lasciati soli; oggi ha un significato polisenso perché si colloca nelle tecnologie digitali e nella gestione dei dati. La storia dello sviluppo della privacy può essere letta specularmente ai cambiamenti intervenuti nel mondo delle tecnologie. Evoluzione degli strumenti fotografici e diffusione dei mass media : -Anni, 70: sviluppo di internet e possibilità di aggregare sempre più dati personali tramite la creazione di banche dati (è all'origine della stessa modifica del concetto di privacy, ora divenuto diritto al controllo dei propri dati personali) ; -Sviluppo della società digitale e della ICT (Information communication technology): possibilità di aggressioni su scala sempre più vasta e più sofisticate: piattaforme digitali, siti di e-commerce, piattaforme di turismo, i social networks sono collettori infiniti di informazioni, di modifica o manipolazione dei dati. Problema di base: duplice natura dell' informazione -> bene economico da un lato e oggetto di un diritto fondamentale dall'altro. Non interessa l’informazione riferita al singolo ma le informazioni dei singoli aggregate. L'informazione (il dato personale è definito come l'informazione riferibile ad una persona fisica) costituisce infatti un bene giuridico essendo economicamente valutabile e oggetto di scambio (es accettando i cookies, tramite iscrizione ai social -> offerte personalizzate). Nel contempo il dato personale è anche oggetto di un diritto fondamentale riconosciuto (dall'art 8 della Carta europea dei diritti fondamentali). Quando i dati costituiscono oggetto di scambio, si profila un contrasto fra la realtà commerciale internazionale (es se cedo dati a Facebook, è uno scambio internazionale) e la concezione teorica tradizionale che afferma l'indisponibilità dei diritti della personalità . I dati sono considerati vero e proprio bene di scambio (commodities) quando costituiscono il corrispettivo per l'accesso ai servizi forniti dalle piattaforme digitali. (es. Facebook: iscrizione solo apparentemente gratuita). Queste potranno, mediante tali dati, vendere gli spazi pubblicitari o commercializzare attività di profilazione dell'utente, connettendo l'user data profiling al behavioural advertising (pubblicità comportamentale - che può arrivare ad essere anche differenziata e discriminatoria - cioè che prende spunto dai nostri comportamenti; es geolocalizzazione: vengono incrociati i dati con i nostri spostamenti). Problemi per cui bisogna proteggere i dati: discriminazione economica (se ricerco di più una cosa quindi la voglio, costa di più), problema patrimoniale (a causa di profilazioni sbagliate a causa di algoritmi che funzionano male, un soggetto può essere escluso da una graduatoria, da benefici fiscali), problema personale (persone di una determinata etnia escluse da airbnb ecc). Partendo da tali problematiche si dipanano ulteriori sfide :

  • Big data : espressione legata all'utilizzazione di server e sistemi di trattamento digitale automatizzato che consentono raccolte sempre più poderose di dati (acquisiti soprattutto, e in modo massiccio, in rete), e trattati da elaboratori sempre più potenti, per le più diverse finalità, a costi sempre più bassi. -Realtà in continua evoluzione : scopo di utilizzare i dati raccolti in maniera sempre più massiva, per generare 'informazioni da informazioni'. Una volta inseriti nei sistemi, i dati contenuti negli strumenti di storage dei Big Data vengono “persi di vista" (non si sa dove vanno e possono anche essere prelevati dai server, dai singoli ecc; es video: anche se il server li elimina, ormai potrebbero essere già stati acquisiti da persone fisiche o società). Questo comporta un elevato rischio per l'interessato, in quanto il titolare del trattamento potrebbe utilizzarli per finalità eccedenti rispetto alle informative e ai consensi raccolti.
  • Internet of Things (IOT): un insieme di tecnologie che hanno come scopo quello di far dialogare tra loro le cose (al fine di consentire agli esseri umani di usare le risorse a loro disposizione non solo in modo sempre più efficiente, ma anche più organizzato e più funzionale). Effetti: anche le persone comuni sono indotte ad utilizzare la rete nella vita di ogni giorno (non solo per entrare in contatto gli uni con gli altri, o per ricevere servizi, ma anche per gestire la loro quotidianità, es. domotica). Scenari: ulteriore proliferazione delle informazioni su ciascuno di noi, su comportamenti, abitudini e opinioni. Questi metadati, connessi tra loro, sono idonei a rivelare il profilo di ciascuno, la nostra identità digitale , che richiedere sempre maggiori tutele. Sintesi principali problematiche : piattaforme digitali, siti di e-commerce, le piattaforme di viaggio e turismo, i social network sono dei collettori infiniti di informazioni personali (i dati possono essere modificati o manipolati); i dati personali come merce di scambio ; attività di profilazione dell'utente (effetti della behavioural advertising); perdita del controllo sui propri dati personali; gestione del big data ; c.d. Internet of things (un insieme di tecnologie che hanno come scopo quello di far dialogare tra loro le cose). Evoluzione del diritto alla privacy. Accezione tradizionale di privacy come " interesse del soggetto a mantenere la sfera della propria vita privata al riparo da indiscrezioni altrui ”. La privacy è un diritto relativamente recente

(originariamente non ci si poneva questo problema). La nozione giuridica di riservatezza deriva dall’articolo The right to Privacy del 1890 pubblicato da Warren e Brandeis , in 5 Harvard Law Review)(In realtà già 2 anni prima il giudice Cooley aveva iniziato ad elaborare questo concetto parlando del right to be let alone ):” ognuno ha diritto di essere lasciato in pace, di difendere quella che è la sua sfera più intima, così come ha diritto di difendere da altrui invasioni la sua proprietà privata ". C’è un riferimento alla proprietà privata (diritto di godere e di disporre di una res cioè usarlo o non usarlo, trarne utilità, distruggerlo senza ledere nessuno, venderlo ecc; gli altri soggetti quindi hanno il dovere di astensione) perché all’epoca era l’unica cosa che si conosceva bene quindi si cercava un appiglio normativo: si voleva concepire la sfera personale come se fosse nostra proprietà (anche se così non è) per dire che terzi dovevano astenersi dall’invasione della sfera giuridica della persona (es intimità domestica). La privacy era descritta come un nuovo diritto soggettivo fondamentale azionabile davanti ad un giudice terzo, intesa come right to be alone, ossia diritto di essere lasciati indisturbati. Dopo la pubblicazione del The Right to Privacy negli USA c’è stata una scarsa elaborazione dottrinale in materia di privacy (non molti giuristi se ne sono occupati, passarono anni). Ci fu però un rafforzamento del ruolo dei giudici: con una serie di decisioni, chiarirono alcuni principi dell'ordinamento giuridico americano e attraverso una interpretazione evolutiva degli emendamenti del Bill of Rights, riuscirono a rintracciare il fondamento giuridico costituzionale del diritto alla privacy nel IV emendamento : il diritto dei cittadini di godere della sicurezza personale, della loro casa, delle loro carte e dei loro beni, nei confronti di perquisizioni e sequestri ingiustificati non potrà essere violato; e non si emetteranno mandati giudiziari se non su fondati motivi sostenuti da giuramento o da dichiarazione …(prima era più imponente il problema dell’intrusione statale non giustificata da un corretto iter giudiziario)(passaggio ~ avvenne anche in Europa e in Italia). L'atteggiamento della giurisprudenza così come quello della società nei confronti dell'esigenza privacy fu però altalenante. Mutamento: negli anni 60, quando i cambiamenti prodottisi grazie al passaggio da uno Stato liberale tradizionale ad uno Stato pluralistico di diritto accrebbero la sensibili questioni inerenti la tutela della sfera privata. Furono emesse sentenze decisive con le quali la Corte Suprema riconobbe la privacy come oggetto di tutela in rapporto sia alla vita pubblica che privata dell'individuo. (es. caso Katz v. USA, 1967 che ha esteso il concetto di privacy al di là dei tradizionali confini della tutela della casa e della proprietà, introducendo un test per comprendere quando un soggetto - soprattutto privato - abbia reasonable expectation of privacy). Panorama europeo, anni 50 :

  • Dichiarazione Universale dei diritti dell'uomo (ONU, 1948). Art. 12: nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni. Convenzione Europea per i diritti dell'uomo e delle libertà fondamentalI (1950). Art. 8, diritto al rispetto della vita privata e familiare: 1 ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza; 2 non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, allo protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui. Dal 2° comma capiamo che ci sono limitazioni in ottica di bilanciamento (più o meno immediato: es prevenzione dei reati, indagini). Nel mondo giuridico italiano il dibattito relativo al tema della privacy prese le mosse soltanto a partire dagli anni 50 (a ridosso della riforma del codice civile: cc del 1942 non menziona il diritto alla privacy ma menziona i diritti della personalità e questo è l’appiglio normativo più immediato). Alcuni giuristi italiani cominciarono ad interessarsi al tema della " riservatezza ", inquadrandolo nel più generale contesto dei diritti della personalità. Vi fu un ampio dibattito originato dalla mancanza di una norma esplicita e di portata generale che si ponesse a fondamento giuridico del sopraddetto diritto: era un problema perché nei paesi di civil law il giudice per esprimersi deve ancorarsi ad una norma giuridica (che di solito è scritta ma potrebbe anche essere una consuetudine, ≠ nei paesi di common law invece si appigliano a casi analoghi). Tra i diritti della personalità (cioè che riguardano la sfera personale del soggetto) si notò che vi erano dei caratteri comuni al diritto alla riservatezza: inviolabilità, assolutezza (= diritti di proprietà: diritti esercitabili e tutelabili erga omnes, tra cui rientrano diritti della personalità e di proprietà; ≠ diritti relativi: esercitabili solo verso alcune categorie di persone es diritti di credito), intrasmissibilità, indisponibilità (non ne posso disporre come se fosse una proprietà privata), irrinunciabilità, imprescrittibilità (non si prescrive, può essere esercitato sempre).

L’art 2 del DSP riguarda le imprese che forniscono servizi su piattaforme di base con determinati requisiti (quantitativi: es numero dipendenti, fatturato ecc). C’è un limite: i poteri della commissione UE sono simili all’antitrust (ispezioni, sanzioni, interrogazioni). Il DMA riguarda il private enforcement (e class action, art 42): i tribunali hanno pieno potere di applicare le norme specifiche del regolamento. Il DSA introduce nuove regole per i servizi digitali e la società dell’informazione (ciò che è illegale offline è illegale online)(non abroga la direttiva sul commercio elettronico 31/2000): ci sono obblighi riservati in base alla dimensione della piattaforma ed è compresa la prevenzione dei rischi (compresa l’individuazione dei rischi sistematici); esso riguarda anche la trasparenza della profilazione e l’obbligo per i fornitori di collaborare con le autorità. Obiettivi del DSA: creare un ambiente digitale sicuro e affidabile che tuteli in modo concreto i diritti dei consumatori e allo stesso tempo aiuti l’innovazione e la competitività; velocizzare la rimozione di contenuti illegali; migliorare il controllo pubblico sulle piattaforme online. Nello specifico: proteggere i diritti dei consumatori; contrastare la diffusione di contenuti illegali , manipolazione delle informazioni e disinformazione; offrire ai consumatori più servizi ; offrire un quadro normativo chiaro; offrire maggiore tracciabilità e controlli; offrire innovazione e competitività sul mercato. Obblighi per le piattaforme : sono diversi a seconda della dimensione della piattaforma e sono proporzionati al tipo di servizio e al numero di fruitori. Tali obblighi riguardano la trasparenza, l’informatività e l’accountability, sono da assolvere entro 4 mesi dall’assegnazione e sono divisi in 4 categorie (ognuna con obblighi generici comuni e altri specifici): intermediari services, hosting (cloud), online platform (social), very large platform (+ 45 milioni di utenti). Obblighi comuni generali : trasparenza (indicare le condizioni del servizio); dare informazioni esplicite su contenuti e algoritmi; trasparenza circa suggerimenti e pubblicità mirate; niente pubblicità sui bambini e sui dati sensibili degli utenti; niente pratiche ingannevoli per manipolare gli utenti (dark pattern, percorsi nascosti); collaborare con l’autorità giudiziaria e denunciare i reati; creare meccanismi per i reclami , ricorsi e risoluzione delle controversie; creare misure contro le segnalazioni e repliche abusive; controllare le credenziali di fornitori terzi (es recensioni fake). Obblighi specifici per very large platform : gestione e prevenzione dei rischi ; condivisione dati chiave con l’autorità; codici di condotta specifici; prevenzione dei rischi sistemici ; sottoporsi ad audit indipendenti ; utenti abituati al blocco delle profilazioni. Sono esenti da questi obblighi i provider che forniscono attività di mera conduzione (cioè che non intervengono sul dato, si limitano alla mera trasposizione delle informazioni)(caching/hosting), solo se dimostrano che il fornitore non sia a conoscenza di contenuti illegali (ISP provider); se a conoscenza, devono eliminare il contenuto illegale . Sanzioni previste dal DSA: sono pecuniarie e corrispondono al 6% del fatturato annuo, finalizzate al risarcimento dei danni. Derivano dalla presentazione di informazioni scorrette , incomplete, fuorvianti, o dalla mancata rettifica delle informazioni. In merito alla governance sono state introdotte nuove figure : compliance officer che ha il compito di monitorare con imparzialità e trasparenza il regolamento delle aziende; digital service coordinator che è una nuova autorità nazionale che vigila sull’applicazione del regolamento con tempestività, redigendo un report annuale e coordinando le norme; l’insieme dei coordinatori nazionali compone il Comitato europeo per i servizi digitali . Punti deboli del DSA: rischio di non tutelare la libertà di espressione , divieto di usare i dati sensibili per la pubblicità mirata, assenza di regole codificate per i disabili. Il GDPR (General Data Protection Regulation) riguarda la protezione di persone fisiche in merito al trattamento e alla circolazione dei dati (prima c’era il regolamento 2014/910). In base al considerando n 4 i sono nuovi interessi in gioco: non c’è la prerogativa assoluta della tutela rispetto ai diritti fondamentali. Ambito di applicazione materiale (art 2: ampiezza ambito di applicazione) e territoriale (art 3). L’archivio contiene un insieme strutturato di dati personali con i criteri (definizione più vasta per ricomprendere qualsiasi attività automatizzata). Principio di neutralità tecnologica : protezione ad ampio raggio senza condizionamento del mezzo considerando eccezioni e fascicoli, in modo che l’attività di trattamento abbia una finalità specifica. Al trattamento provvede una persona fisica a carattere domestico e personale che non riveli rapporti con l’altra sfera giuridica. Il gdpr si interseca con altri atti normativi: direttiva 2001/45 e dlgs 2001/31 su cui comunque prevale il gdpr. Deroghe art 2 (competenze e casi in cui non si applica): se la materia non è competenza dei singoli stati ma dell’UE. A seguito del trattato di Lisbona ci sono arrivate competenze dell’Unione Europea (art 16) esclusive (dogana, dollari), concorrente (tra UE e stati membri es agricoltura), di mero sostegno di sussidiaria UE (salute, turismo); per attività di

carattere personale e domestico (finalità meramente interna al titolare senza commissione di una attività commerciale professionale; libertà informatica). 26/09/2023. 3 AMBITO DI APPLICAZIONE TERRITORIALE. Ambito di applicazione territoriale, art. 3:” Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. (C22) Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: (C23, C24) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione. Il presente regolamento si applica al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico (C25)”. Attraverso il regolamento il diritto europeo ha tentato di estendere l’ambito di applicazione territoriale del gdpr in modo che gli effetti del regolamento potessero espandersi anche al di fuori dei confini dell’UE (ciò è contenuto nei considerando 22, 23, 24 richiamati dall’articolo). Cons. nn. 22, 23, e 24 mediante i quali il legislatore europeo intende affermare l'applicabilità del regolamento europeo anche nel caso in cui gli interessati si trovino nell'UE ad opera di un titolare del trattamento o di un responsabile non è stabilito nell'UE. Cons. 22 :"lo stabilimento (cioè dove un’attività viene esercitata in senso materiale o in senso di imputazione di interessi) implica l'effettivo e reale svolgimento di un'attività nel quadro di un'organizzazione stabile" cioè non è determinante la forma giuridica assunta (es. succursale o una filiale dotata di personalità giuridica). L’art. 3 mira ad individuare la legge applicabile nei rapporti fra UE e Paesi terzi (≠ Direttiva). Il problema si era già posto in passato per i provider di motori di ricerca che elabora dati degli utenti (tra cui gli indirizzi IP e/o cookies), rientra nell'ambito materiale della definizione del responsabile del trattamento in quanto effettivamente determina le finalità e gli strumenti del trattamento (Gruppo ex art. 29). ( Interessato : chi ha interesse che il trattamento venga effettuato secondo le regole; titolare/responsabile : effettuano il trattamento, il titolare risponde in toto di tutto ciò che attiene ad esso, può essere anche non esperto di trattamento, il responsabile se ne occupa materialmente). Il carattere multinazionale dei principali provider (sede spesso situata al di fuori dello spazio economico europeo), con servizi che coinvolgono succursali e di terzi nel trattamento dei dati personali, ha posto il problema di chi debba essere considerato responsabile del trattamento dei dati personali: nel caso in cui un provider sia stabilito in uno o più Stati membri dei quali fornisce i suoi servizi: legislazione europea sulla protezione dei dati; nel caso in cui il motore di ricerca abbia la sede madre fuori dal territorio europeo: occorre domandarsi se il motore di ricerca utilizzi strumenti situati nello stabilimento presso uno Stato membro. La nozione di strumenti è piuttosto ampia: può essere ricondotta anche ai personal computer e ai cookies, oltre che ai server. Ne deriva che se il motore di ricerca ha una sede in uno Stato membro è ben difficile che possa dirsi non avere uno stabilimento. Ulteriore problema: espressione " nel contesto delle attività di uno stabilimento " (art. 4, n. 16 Reg.) richiama la nozione di stabilimento principale, di cui ai Conss.nn. 36 e 37). Cons. 36 : Lo stabilimento principale di un titolare del trattamento nell'UE dovrebbe essere il luogo in cui ha sede la sua amministrazione centrale nell'UE, a meno che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'UE, nel qual caso tale altro stabilimento dovrebbe essere considerato lo stabilimento principale. Lo stabilimento principale di un titolare del trattamento nell'Unione dovrebbe essere determinato in base a criteri obiettivi e implicare l'effettivo e reale svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità e sui mezzi del trattamento nel quadro di un'organizzazione stabile. Quindi in sostanza bisogna verificare dove vengono assunte le decisioni importanti ai fini del trattamento, a prescindere dalla sede formale. I considerando quindi ci fanno capire che non rileva l’aspetto formale ma quello sostanziale. Ai fini dell'individuazione del concetto di stabilimento può affermarsi che esso abbia collegamenti flessibili con la nozione di "controllo" in quanto l'elemento descrittivo è dato dall'esercizio effettivo e reale dell'attività (es. in uno scenario in cui responsabile del trattamento è stabilito in Austria, ma fa effettuare il trattamento ad un incaricato stabilito in Germania, il diritto applicabile deve essere individuato in quello viene effettuato concretamente in Germania. Lo scenario in cui il responsabile del trattamento stabilito in Austria apre un ufficio di rappresentanza in

consentono la profilazione persona fisica in particolare per adottare decisioni che lo riguardano o prevedere preferenze comportamenti e posizioni personali. Sussistono comunque ambiti nei quali è necessario un bilanciamento: es. per i trattamenti svolti per finalità di prevenzione e repressione dei rischi per la sicurezza collettiva o dei fenomeni terroristici. Non è sempre agevole individuare con quali strumenti applicativi una normativa così rigida possa applicazione rispetto a paesi terzi ove è evidentissimo il divario in termini regolamentari. Si pone in evidenza il rischio che tale tutela sia vanificata dalla circostanza che i dati personali in questione vengano trasferiti presso Paesi terzi esterni all'UE in cui tale normativa più protettiva non possa trovare applicazione. Importante ruolo della Corte di Giustizia: caso celebre (cd. Caso Shrems - C. Giust. 6 ottobre 2015, causa C-362-14) nel quale si è affermato un importante passo per l'affermazione della sovranità digitale dell'UE. Il fatto: sistematico trasferimento dei dati digitali degli utenti europei da Facebook Ireland (stabilimento europeo di Facebook) a Facebook inc., situato negli USA, ove tali dati vengono trattati, in base ad un accordo che legittima tale trasferimento denominato Safe Harbour. Sulla base della dir. 95/46/CE gli Stati membri devono consentire siffatto trasferimento verso il paese terzo laddove questo garantisca " un livello di protezione adeguato " (art. 25 dir.). Tale adeguatezza fu accertata dalla Commissione europea nel 2000 rispetto ai Safe Harbour privacy Principles. Tuttavia a seguito di alcune rilevazioni emerse che i dati, legittimamente trasferiti all'estero venivano poi raccolti e trattati dall'intelligence americana (che voleva raccogliere dati circa opinioni politiche ecc). Maximilian Shrems dopo aver chiesto ripetutamente all'autorità di controllo irlandese di vietare a Facebook tale trasferimento (che però non era competente in tale ambito perché si trattava di diritto UE), investì della questione la Corte di appello che in via pregiudiziale pose la questione alla Corte di Giustizia, considerando che si trattava di un privato che poneva in dubbio il previo accertamento di legittimità operato dalla Commissione: quindi sono state sollevate delle questioni pregiudiziali, lette dalla corte di giustizia che verificò la corrispondenza di una normativa interna (in questo caso irlandese) rispetto a quello dell’UE. La Corte di giustizia evidenziò dunque che tale accertamento non fosse preclusivo e dichiarandone l'incompatibilità con gli artt. 7 e 8 della carta di Nizza poiché "autorizzava in modo generale la conservazione e trasferimento di tutti i dati di tutte le persone senza alcuna limitazione o criterio oggettivo che consentisse di delimitare l'accesso alle autorità pubbliche", dichiarandone dunque l'invalidità. 03/10/2023. 4 EVOLUZIONE DELLA NOZIONE DI DATO PERSONALE. La definizione di dato personale fa parte di quel nucleo di istituti disciplinati dalla Convenzione europea 108 del 1981 secondo cui i dati a carattere personale attengono "ad ogni informazione concernente una persona fisica identificata o identificabile (persona interessata)”. L'art. 4 del Reg. 679/2016 contiene una serie di definizioni fra le quali alcune ricalcano quelle contenute nella direttiva del '95 poi riprodotte nella legge 675/96 e successivamente nel codice della protezione del dati personali. Altre sono state introdotte ex novo o eliminate. Fra le definizioni modificate spicca quella relativa ai dati personali in quanto nella direttiva del 95 si trova esclusivamente la definizione di dato personale: mentre nel codice della privacy vengono codificate 3 categorie di dati personali "i dati personali comuni ", "i dati personali sensibili " e i “dati personali giudiziari ”. Tale classificazione viene superata dal regolamento che in realtà si riferisce a specifiche categorie di dati personali eliminando la definizione di dati sensibili, nonché il riferimento a dati personali giudiziari. Di contro il regolamento fa riferimento ad ulteriori categorie fra le quali spicca quella contenuta all'art. 9 dedicato al "trattamento di categorie particolari di dati personali" ossia quei dati personali che rivelino l'origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, i dati genetici, i dati biometrici intesi ad identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Concetto di dato personale e sue specificazioni. Ai sensi dell'art. 4, par 1 Reg. si intende per « dato personale »: qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Il regolamento quindi non fa più riferimento a dati personali e sensibili ma alle categorie particolari di dati (cioè i dati sensibili di cui art 9). La nozione di dato personale e informazione da una prima lettura della norma sembrerebbero coincidere. In realtà si tratta di concetti differenti: il dato è la fonte di informazione nel quale questa è contenuta; da un singolo dato o da un insieme di dati l'informazione può essere estratta o inferita. L' informazione a rigore non coincide con il dato stesso ma è l'elaborazione del dato. L’avvento della società digitale ha provocato un ampliamento notevole delle tipologie di dato e che possono essere

oggetto di trattamento. Es videosorveglianza che comporta il trattamento delle immagini, i sistemi biometrici che consentono di verificare l'identità di una persona mediante l’analisi dell'impronta digitale oppure attraverso la scansione dell’iride. Il concetto di dato dunque appare oggi sempre più dilatato, fino a ricomprendervi qualunque contenuto informativo, dalla classica espressione alfabetica sino all'immagine o al suono. La nozione di dato certamente rientra nei cosiddetti dati identificativi ossi quei dati personali che permettono l’identificazione diretta dell'interessato (nome, cognome, data di nascita) ma anche altre categorie come immagini e suoni. Rimangono invece al di fuori del campo di applicazione della normativa il trattamento di dati " non personali ” es i dati anonimi (ma non anonimizzati) ovvero il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali; occorre tuttavia sottolineare che la semplice immissione di dati identificativi non garantisce sempre un reale anonimato. Sono infatti dati personali anche quelli riferibili a persone determinabili anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. La nuova nozione di persona identificata o identificabile fa particolare attenzione alle nuove forme di identificazione tecnologica, come i dati di indicazioni all'interno di un sistema di geo-localizzazione o gli identificativi online e il dettato normativo viene completato dal contenuto delle considerando n. 26. Cons. 26: Per stabilire l’identificabilità di una persona è opportuno considerare tutti i mezzi , come individuazione, di cui il titolare del trattamento o un terzo può ragionevolmente avvalersi per identificare detta persona fisica direttamente o indirettamente. Per accertare la ragionevole probabilità di utilizzo dei mezzi per identificare la persona fisica, si dovrebbe prendere in considerazione l'insieme dei fattori obiettivi, tra cui i costi e il tempo necessario per l'identificazione, tenendo conto sia delle tecnologie disponibili al momento del trattamento, sia degli sviluppi tecnologici. È importante il ruolo della corte di giustizia : es nel caso Lindquist, nel caso Bayer. In un caso più recente (CGUE 9 marzo 2017, C-398-2015, caso Manni), la Corte di giustizia si è espressa sulla natura di alcuni dati concernenti persone fisiche contenuti nel registro delle imprese e trattati da una società specializzata nella raccolta ed elaborazione di informazioni di mercato e nella valutazione del rischio (rating). Nel caso di specie la Camera di commercio non aveva provveduto ad eseguire la richiesta di cancellazione da parte dell'interessato. La Corte di giustizia ha affermato che le indicazioni relative alle generalità delle persone secondo la definizione allora presente nella direttiva sono informazioni concernenti persone fisiche identificate o identificabili e pertanto costituiscono dati personali. Ciò significa che la circostanza per cui le informazioni si inseriscono nel contesto di un'attività professionale non è (sempre) idonea a privarli della loro qualificazione come dati personali. Tutte queste materie sono state affidate al formante legislativo e giurisprudenziale, ma anche a quello dottrinale (giuristi che si occupano dello studio della materia); per quanto riguarda i dati personali, questa materia è stata affidata nello specifico al gruppo ex art 29 (che ha fornito pareri su molti argomenti)(oggi EDPB). Secondo un parere reso nel 2007 dal Gruppo di lavoro ext art. 29 e che ancora oggi costituisce un’utile guida per comprendere in pieno la nozione di dato personale occorre soffermarsi sui seguenti concetti fondamentali. " Qualsiasi informazione ": l'emergere della volontà del legislatore di fornire un ampio concetto di dati personali. L'informazione va intesa come la rappresentazione di cose e persone e rende necessaria un'interpretazione lata del concetto di dato personale, svincolata dalla natura dell'informazione o dal formato della stessa. Può trattarsi di informazione di natura oggettiva o, per esempio valutazioni di qualunque natura. L’attributo " qualsiasi ” fa riferimento alla circostanza del dato personale non sia necessariamente un dato testuale, ma possa essere un'immagine e una registrazione vocale, una video. È dunque irrilevante anche il formato di codifica: potrà trattarsi di un termine linguistico, di un formato audio, di un simbolo grafico di un'immagine in movimento, ecc. Soddisfano la definizione anche l'informazione irrilevante, quella minima o cosiddetta meta-informazione, ossia l’informazione sull’informazione. Ugualmente la verità o la falsità dell’informazione non rilevano ai fini della nozione di dato personale: un'informazione falsa o imprecisa produce tendenzialmente effetti pregiudizievoli ancor più che un'informazione corretta ; “ concernente ": tale locuzione è essenziale soprattutto in relazione ai nuovi sviluppi tecnologici che ha ampliato la portata delle informazioni che possono riguardare una data persona. Vengono definiti 3 concetti fondamentali: il contenuto (ossia il fatto che un dato riguardi direttamente una persona); la finalità (ossia il fatto che il dato venga usato per valutare una persona o per condizionare i suoi comportamenti) e il risultato (ossia che l’utilizzo del dato comporti un impatto sui diritti della persona) ; " Identificata o identificabile ": è una condizione della persona rispettivamente effettiva o possibile. Non è sufficiente l'astratto collegamento con una persona ma occorre che quest'ultima sia singolarmente individuata o individuabile. Diversamente si avrà un'informazione anonima. Tutte queste definizioni sono volutamente late, anche ossia presenta elevato coefficiente di astrazione e flessibilità, con lo scopo del legislatore europeo di non esporre al pericolo le garanzie dell'interessato costruendo un concetto facilmente eludibile. Sempre nel parere del 2007 si evidenzia che la direttiva si riferiva a persone fisiche viventi,

prognostiche. Ad integrazione il Considerando n. 35 indica in maniera esemplificativa una serie di tipologie di informazioni che a vario titolo forniscono elementi conoscitivi collegati con la salute dell'interessato. Anche i dati identificativi personali utilizzati a fini sanitari, quali un codice o un singolo sono considerati dati sanitari. Già precedentemente al regolamento la direttiva includeva tali tipologie di dati all'interno di una categoria speciale a cui si applicava un elevato livello di protezione presumendo che l'abuso di questi dati sia suscettibile di avere conseguenze più gravi per i diritti fondamentali dell'individuo. L'uso improprio dei dati sanitari può avere infatti conseguenze irreversibili e a lungo termine per l'individuo. Nonostante la rilevanza di tale tipologia di dati, per lungo tempo gli Stati membri hanno registrato una grande incertezza giuridica (se es è pacifico che i dati medici e i dati sulla salute fisica o mentale generati in un contesto medico professionale siano da considerarsi dati sanitari; si può osservare che il dato attinenti alla salute può essere presente in una dimensione molto più ampia rispetto a quella strettamente medica, es. attraverso l'utilizzo di dispositivi e app). Anche per effetto dell'applicazione giurisprudenziale si è ad esempio giunti alla conclusione che rientra nel dato sanitario anche quella serie di acquisizioni relative alla salute del soggetto in diversi contesti formativi quali es: la frattura di un arto (Caso Lindqvist), l'utilizzo di protesi visive (occhiali e lenti a contatto); il consumo di alcol e fumo; i dati comunicati a soggetti privati come le compagnie aeree o a enti pubblici come le scuole; l'appartenenza a un gruppo di supporto per le patologie (es, tumori, disturbi dell'alimentazione dipendenze, eccetera). Anche gli ambiti dai quali desumere i dati sanitari sono assai ampi: vanno da quelli lavorativi professionali (es comunicazioni di giorni di malattia al proprio datore di lavoro; richieste per usufruire di permessi annui retribuiti) a quelli amministrativi (richieste di detrazioni fiscali o altre indennità). La definizione di dato sanitario subisce pertanto un arricchimento in costante evoluzione. 5 PRINCIPI APPLICABILI AL TRATTAMENTO DEI DATI. Il capo Il (art. 5-11) è dedicato alla rassegna dei principi nel cui contesto trova collocazione la disciplina delle condizioni di liceità del trattamento dei dati personali. Artt. 5 e 6: dedicati alla determinazione dei principi applicabili al trattamento e alla liceità del trattamento, sono contenute le regole di carattere generale destinate a riferirsi in linea di principio a tutte le tipologie o modalità di trattamento dei dati personali. Completano poi il capo II le norme relative al consenso e ad ipotesi peculiari di trattamento e condizioni del consenso. Art. 5 : i principi in questione sono concepiti attraverso l'elencazione di una serie di caratteristiche dei dati personali suscettibili di rendere lecito il trattamento ossia modalità di esercizio del trattamento che condizionano lo svolgimento di tale attività in assenza del quali ogni diversa forma deve ritenersi non consentita. Il destinatario di tali prescrizioni è il titolare del trattamento che la disposizione indica come competente (non necessariamente professionale ma per la legge deve render conto in merito al trattamento) per il relativo rispetto e in grado di comprovarlo. Ciascuno di tali requisiti (liceità, correttezza, trasparenza, limitazione della finalità, esattezza, ecc.) costituisce un profilo di obbligatorietà connesso all'esercizio dell'attività di trattamento di volta in volta concernente o le modalità del medesimo o gli scopi perseguiti (i quali devono essere necessariamente determinati, espliciti e legittimi). In tal modo si definiscono i confini relativi al contenuto e alle caratteristiche dei dati trattati (che a loro volta devono essere adeguati, pertinenti e indispensabili, che esatti e aggiornati). In dottrina si afferma che il tema delle condizioni di liceità del trattamento si identifica nella individuazione degli obblighi che ineriscono all'esercizio della corrispondente attività, la cui violazione vale ad escluderne la possibilità giuridica con la conseguente esposizione del titolare del trattamento all'applicazione delle sanzioni (oltre che civilistiche, anche di natura penale o amministrativa eventualmente previste oppure alla tutela dei rapporti giuridici in termini civilistici). Tuttavia, ai sensi dell'art. 23 Reg, è comunque assicurata al diritto dell'UE o dello Stato membro la facoltà di limitare, mediante misure legislative, la portata di una serie di obblighi e diritti, (ivi compresi quelli dell'art. 5) nella misura in cui tali disposizioni corrispondano ai diritti e agli obblighi che concernono l’interessato (il profilo della trasparenza, dell'informazione dell'accesso ai dati, rettificazione, ecc.), qualora tale limitazione rispetti l'essenza delle libertà fondamentali e sia una misura necessaria e proporzionata per salvaguardare in una società democratica gli obiettivi analiticamente individuati dallo stesso art 23, ossia la sicurezza nazionale, difesa, il perseguimento di reati, la salvaguardia dell'indipendenza della magistratura, ecc. Il testo del regolamento va sempre letto alla luce dei principi della Carta dei diritti fondamentali dell'UE (in particolare all’art 8: diritto di ogni persona alla protezione del dati di carattere personale che la riguardano), stabilendo la necessità che il trattamento avvenga "secondo il principio di lealtà, per finalità determinate in base al consenso della persona interessata o ad altro fondamento legittimo previsto dalla legge" assicurando che ogni persona abbia il diritto di accedere ai dati raccolti, a ottenerne la rettifica e che il rispetto di tali regole sia soggetto al controllo di una autorità indipendente". Coordinamento con la legislazione interna: l'art. 11 del codice della privacy dedicato alle regole per tutti i trattamenti è stato abrogato a norma del decreto legislativo 101 del 2018. In ogni caso dalla

disciplina vigente già si ricavavano i requisiti della liceità e della correttezza del trattamento, mentre il dato della trasparenza nei confronti dell'interessato si inserisce, perlomeno dal punto di vista formale, come una novità (sebbene già i rapporti fra titolare del trattamento e interessato sono sostanzialmente improntati anche a tale principio). Le caratteristiche elencate all’art 5 (leggi/studia sul gdpr) fanno riferimento agli obblighi del titolare. Principio di liceità (art 6). Può essere inteso con differenti accezioni: accezione ristretta il difetto di liceità coincide con la antigiuridicità , intesa come qualificazione di un fatto contrario alle norme dell'ordinamento giuridico (occorre ricordare che ciò non significa che un atto, nella specie il trattamento di dati, debba essere esclusivamente conforme alla legge ossia alle norme giuridiche positivamente sancite, ma in generale al diritto). Si rifugge dunque da una lettura esclusivamente formalistica della liceità (ricerca dell'interesse giuridico che l'ordinamento ha inteso proteggere, alla luce dei valori di riferimento). In primo luogo il concetto di liceità deve essere sempre correlato alla ricerca dell'interesse giuridico leso; inoltre si reputa che occorre verificare in concreto se la violazione di un diritto o abbia raggiunto una soglia minima di gravità e dunque abbia superato la soglia di offensività, in quanto altrimenti, pur essendovi la lesione dell'interesse protetto essa rientra nei limiti della tolleranza. In questo si concretizza il ragionamento della giurisprudenza in merito al bilanciamento con il principio di solidarietà (Cass. S.U, numero 26972 del 2008). Valutazione dell'assetto complessivo dei valori in gioco (no lesione in re ipsa); è necessaria una valutazione a posteriori in concreto: la liceità assolve la funzione di selezionare i trattamenti ammessi dall'ordinamento in ragione del fatto che, per le modalità in cui sono realizzati, essi non ledano particolari interessi meritevoli di tutela . In tale direzione dovrebbe essere letto il rapporto fra art. 5 e art. 6 del regolamento: i principi contenuti all'art. 5 sono di carattere operativo ed attengono alle modalità del trattamento; i principi contenuti all'art. 6 sono volti ad individuare il fondamento che legittima il trattamento, ossia il presupposto legittimante, definibile anche come condizione di liceità. Si articola dunque un processo bifasico di valutazione: qualora manchi uno dei presupposti o condizioni di liceità annoverati all'art 6, il trattamento non può ritenersi legittimamente svolto, e perciò si pone in violazione del principio di liceità; verificata invece l'esistenza del presupposto legittimante, si apre la strada alla successiva eventuale valutazione di liceità. (Spiegazione: Art 5 e 6 danno luogo a un giudizio bifasico cioè si compone di 2 fasi di valutazione: i principi dell’art 5 hanno carattere operativo, attengono alle modalità del trattamento e agli obblighi imposti al titolare; le regole dell’art 6 implicano che quando manca uno dei presupposti dell’art 6 il trattamento non può considerarsi legittimamente svolto; quindi occorre vedere se il trattamento è legittimamente svolto in base all’art 6; se così non fosse, si passa alla fase dell’art 5 per affermare se il titolare abbia rispettato gli obblighi imposti riguardo alla liceità del trattamento). La nozione di liceità dovrebbe inoltre consentire di superare la ristretta considerazione della lesione di prerogative dei singoli interessati: pur rivolgendosi direttamente alla protezione dei singoli interessati, essa si misura anche con interessi di ordine generale. Es. diffusione mediatica di conversazioni telefoniche legittimamente intercettate dalla polizia giudiziaria nel corso di un procedimento penale e tuttavia ancora coperte dal segreto investigativo e dunque suscettibili di illecita pubblicazione - pronunce della Corte di cassazione in merito alla natura plurioffensiva del reato di arbitraria divulgazione degli atti processuali, ex art. 684 c.p., in quanto diretto a tutelare anche la dignità e la reputazione di tutti coloro che, sotto differenti vesti, partecipano al processo. In tali casi anche l'eventuale segreto professionale sulla fonte della notizia non fa venir meno il dovere del giornalista di acquisire lecitamente i documenti relativi alle intercettazioni. Si pone il problema della salvaguardia delle posizioni dei singoli soggetti coinvolti nel processo, ricostruendo il rapporto fra l'illiceità del fatto e danno non patrimoniale. La cassazione ha riconosciuto che il tema della illiceità civile del trattamento si pone indipendentemente dal riconoscimento del carattere monoffensivo del reato punito dall'articolo 684 c.p., laddove il comportamento responsabile si riveli concretamente in contrasto con la norma imperativa dettata dal codice penale (Cass. S.U. n. 3727 del 2016)(in sostanza una stessa condotta può rilevare sul piano sia penale sia civile). Ulteriore esempio di bilanciamento fra interessi diversi interessi di ordine generale: controlli esercitati dal datore di lavoro sui singoli lavoratori. 2 casi emblematici consentono di evidenziare le differenti valutazioni che si pongono in base all'interesse ritenuto prevalente. 1) Cass. sez. lav. , n. 2722 del 2012: i giudici hanno valutato il controllo effettuato dall'Istituto bancario sulla posta elettronica aziendale del dipendente accusato di aver divulgato notizie riservate concernenti un cliente (e di aver posto in essere, grazie a tali informazioni, operazioni finanziarie tra cui aveva tratto vantaggi personali). Tale ipotesi sfugge al raggio di applicazione del divieto di controllo posto dalla legge tutela dei lavoratori. Infatti le norme imperative impediscono controlli diretti ad accertare comportamenti illeciti dei lavoratori riguardanti l'esatto adempimento delle obbligazioni discendenti del rapporto di lavoro, ma non comportamenti che diano luogo ad illeciti rispetto a beni estranei al rapporto stesso. 2) Cass. Sez. lav, n. 4375 del 2010 : la corte ha negato l'utilizzabilità ai fini disciplinari dei dati acquisiti mediante programmi informatici che

richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato ( limitazione della conservazione ). L’attività di trattamento è in relazione al trascorrere del tempo (vi è un nesso immediato con le finalità originariamente individuate, in quanto una volta conseguite, ogni ulteriore trattamento che consenta l'identificazione del soggetto non è più consentita, salva la destinazione del trattamento a particolari finalità di rilievo pubblico individuate dalla legge), dunque la conservazione è consentita solo ove non sia più fatto possibile identificare il soggetto (misure tecniche e organizzative). Al sopravvenuto conseguimento delle finalità devono accostarsi tutte le ipotesi in cui sia venuto meno l' interesse del titolare alla protrazione del trattamento ovvero all'insorgenza di una diversa causa che valga a renderne illegittima la prosecuzione. I limiti ai tempi di conservazione sono preordinati anche a garantire all'interessato l'esercizio del suo diritto all'oblio (ex art. 17 reg.) correlato in generale al diritto di ciascuno di controllare il flusso e il destino dei propri dati anche in relazione alla perdurante divulgazione degli stessi. Il trascorrere del tempo incide infatti anche sulla rappresentazione dell'identità personale del soggetto, destinata ad assumere configurazioni di volta in volta diverse in relazione alla percezione che l'interessato in primis ha di se stesso. Sicurezza dei dati (lettera f): i dati devono essere trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ( integrità e riservatezza ). La norma fa riferimento all'obbligo in capo al titolare di adottare misure idonee ad evitare eventi dannosi che possano sfociare in trattamenti non autorizzati o illeciti, perdita, distruzione dei dati, ecc. Norma che va comunque letta unitamente all'art 32 reg. che richiama il tema dei criteri utilizzabili al fine di valutare il comportamento del titolare responsabile del trattamento, essendovi comunque limiti di esigibilità nell'adozione delle misure tecnologiche o organizzative funzionali alla conservazione e sicurezza dei dati. Il nuovo approccio al rischio: il principio di accountability. Tra le più rilevanti novità concernenti la disciplina sostanziale c’è un nuovo approccio al rischio dettato dal legislatore europeo basato sul principio di accountability. Il termine accountability , del suo stesso concetto nasce nella cultura anglosassone e può essere tradotto in molti modi diversi ai quali: responsabilità, affidabilità, assicurazione, obbligo di rendicontare, attuazione dei principi concernenti il trattamento dei dati personali. Il principio in questione è connesso al problema delle misure di sicurezza che devono essere adottate a protezione dei dati personali per evitare o ridurre i rischi di accesso e divulgazione dei dati non autorizzati e rischi di perdita e distruzione degli stessi. Secondo l'art. 32 GDPR è il titolare del trattamento di dati personali a dover valutare le misure tecniche e organizzative da adottare sulla base della natura dei dati, dell'oggetto, delle finalità di trattamento. Si tratta di misure non soltanto tecnologiche ma anche organizzative, dal momento che l'unico modo efficace di affrontare il problema della sicurezza dell'informazione è quello che ne comporta una visione integrata: informatica, giuridica e organizzativa. Sulla sicurezza convergono più professionalità e competenze: il problema non deve essere affrontato come di esclusiva competenza del responsabile del settore. La sicurezza deve garantire la protezione dei dati in ciascuna delle singole operazioni del trattamento: la sicurezza è un concetto dinamico e relazionale, da rapportarsi alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati personali oggetto di trattamento e alle specifiche caratteristiche delle operazioni di trattamento compiute. Il titolare, dopo aver individuato le misure da adottare, compie un'attività di continuo monitoraggio per verificare che esse siano proporzionate e adeguate ai rischi, anch'essi in continuo mutamento. Occorre dunque una complessa attività di valutazione (tecnica, giuridica, organizzativa), l'analisi dei rischi dei costi, una scelta sulle misure di sicurezza da adottare, l'istituzione di un presidio, l'emanazione di policy interne. Tutto ciò deve essere anche adeguatamente formalizzato e il titolare non solo deve attuare la normativa vigente ma essere anche in grado di dimostrarlo. In tal modo è adottato il principio in parola tradotto come principio di rendicontazione o di responsabilità e consistente nell'obbligo di conformarsi e di dimostrare. Tale principio può essere tradotto con responsabilità insieme prova della responsabilità in quanto il titolare deve essere in grado di dimostrare che ha adottato un processo complessivo di misure giuridiche, organizzative, tecniche per la protezione dei dati personali, anche attraverso l'elaborazione di specifici modelli organizzativi, analogamente a quelli utilizzati in Italia nell’applicazione del d. Igs. 8 giugno 2000 e uno, n. 231. Questa molteplicità di significati evidenzia che costituisce un meccanismo a 2 livelli: l'accountability può basarsi su requisiti di base, normativamente posti, i quali sono vincolanti per tutti titolari di trattamento, come pure su un sistema volontario. Il 1° livello sarebbe costituito da un obbligo di base vincolante per tutti i responsabili (ossia per i titolari del trattamento): tale obbligo comprenderebbe 2 elementi: l'attuazione di misure e procedure e la conservazione delle relative prove. Questo 1° livello può essere integrato da disposizioni specifiche. (manca un pezzo sul primo livello). Il 2° livello includerebbe sistemi di responsabilità di natura volontaria eccedenti le norme di legge minime, in relazione ai principi fondamentali di protezione dei dati (tali da fornire

garanzie più elevate di quelle prescritte dalla normativa vigente) e/o in termini di modalità di attuazione o di garanzia dell'efficacia delle misure (norme di attuazione eccedenti il livello minimo). L'accountability può dunque essere considerata come un modo di formalizzare e proceduralizzare l'autonomia nei limiti che sono stati riconosciuti dalla direttiva ed alle normative nazionali. La nuova disposizione avrebbe dunque lo scopo di promuovere l'adozione di misure concrete in quanto trasformerebbe i principi generali della protezione dei dati in politiche e procedure concrete definite a livello del responsabile del trattamento, nel rispetto delle leggi e dei regolamenti applicabili. I 2 elementi essenziali sono dunque: la necessità che il responsabile del trattamento adotti misure appropriate ed efficaci per attuare i principi di protezione dei dati ; la necessità di dimostrare , su richiesta, che sono state adottate misure fornendo dunque la prova. Ancora, nella valutazione e nell'adozione di misure volte a contenere il rischio possono essere ricondotti l'approccio basato sui metodi noti come privacy by design e privacy by default (art. 25) che prevedono specificatamente l'adozione di misure di pseudonimizzazione e minimizzazione del trattamento dei dati, nonché di protezione dei dati con riguardo all'accesso. Nell'ambito di un nuovo approccio alla sicurezza, va segnalato l'obbligo, in parte già presente nella legislazione italiana, della data breach notification : nel caso sia avvenuta una violazione dei dati personali, il titolare ha l'obbligo di notificarlo all'autorità garante e all'interessato, ai sensi dell'art. 33 e seguenti. La notificazione si aggiunge a quelle già previste dalla normativa europea e italiana in altri settori. Nell'ambito del presidio al rischio va inquadrata anche la figura del data protection officer (ex art. 37 e ss.) il quale caratterizzato da ampie competenze che attengono alla vigilanza sul rispetto della normativa privacy ed autonomia, riferisce direttamente ai vertici responsabili del trattamento. 6 CONDIZIONI DI LICEITÀ DEL TRATTAMENTO (Art. 6 Reg. 679/2019)(cd. basi giuridiche del trattamento). Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40) l'interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità (C42, C43); il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso (C44); il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento (C45); il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica (C46); il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento (C45, C46); il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore (C47-C50). La lettera f (ultima) del 1° comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell'esecuzione dei loro compiti . Si tratta di condizioni tra loro equipollenti e poste su un medesimo piano, essendo sufficiente che ve ne sia almeno una per poter ritenere superato il primo stadio del processo valutativo bifasico in ordine alla necessità del trattamento. Ciascuno tuttavia rappresenta un presupposto necessario ma non sufficiente a portare il definitivo giudizio di liceità del trattamento. Quando il trattamento non sia legittimato dal consenso o si compia in assenza o persino in contrasto con il consenso o con la volontà dell'interessato, l'art. 6 individua 5 diverse ipotesi. Fatta salva l'ipotesi di cui all'art. 6, sub a) (Consenso), esse sono così sintetizzabili: trattamento necessario all'esecuzione di un contratto di cui l'interessato è parte o di misure precontrattuali adottate su richiesta dell'interessato ( legittimazione contrattuale ); trattamento necessario per adempiere ad un obbligo legale del titolare ovvero per salvaguardare gli interessi vitali dell'interessato o di altra persona fisica, ovvero ancora per l'esecuzione di compiti di interesse pubblico o connessi all'esercizio di pubblici poteri di cui è investito il titolare del trattamento ( legittimazione legale ); trattamento necessario per il perseguimento di un legittimo interesse del titolare del trattamento di terzi, a condizione che non prevalgano gli interessi sui diritti di libertà fondamentali dell'interessato che richiedono la protezione del dati personali ( legittimazione comparativa ). Legittimazione contrattuale - Art. 6, lett. b: essa trae la propria giustificazione dall'instaurazione di una relazione negoziale (perché parliamo es di un contratto) tra titolare e interessato: la vicenda del trattamento appare strettamente condizionata, sul piano funzionale, alla realizzazione degli obiettivi contrattuali sia in ordine alla conclusione del contratto sia anche eventualmente alla relativa esecuzione. L'acquisizione dei dati personali deve ritenersi strumentalmente connessa al contratto. Rispetto alle finalità di trattamento dovrà condursi la valutazione di adeguatezza , pertinenza e di stretta necessità del trattamento rispetto agli obiettivi prefigurati; ad essa sarà inoltre legata la giustificazione della conservazione dei dati raccolti per il tempo strettamente necessario al conseguimento di quelle finalità. Poiché dovrebbe ritenersi ammesso soltanto il trattamento strettamente necessario all'esecuzione del

genetici, dati biometrici intesi ed edificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona" (art. 9, par. 1). Nelle norme successive (dal comma 2 in poi) ha indicato una serie di deroghe statuendo che tale divieto non trova applicazione laddove si verifichi almeno una delle numerose condizioni indicate al paragrafo 2 del medesimo art. 9 (lett. a -j). Il trattamento in questione è affidato a professionisti, la cui attività è coperta da segreto professionale (par. 3). Quindi art 9 ≠ art 6 perché nell’art 6 non c’è un divieto, nell’art 9 si ma ci sono delle eccezioni/deroghe. Il legislatore europeo lascia anche decisivi margini di autonomia agli Stati membri dal momento che viene accordata a questi ultimi anche la facoltà di mantenere o introdurre "ulteriori condizioni, comprese le interazioni, con riguardo al trattamento di dati genetici biometrici o relativi alla salute" (articolo 9, par 4). La materia non sembra più contrassegnata da una rigida dimensione individuale, ma vede il concorso di una dimensione individuale e collettiva, nel riconoscimento di interessi di natura pubblica concorrenti con quelli individuali dell'interessato. Dunque non sembra che le condizioni di liceità, come in passato, siano prefigurate come eccezioni al consenso, ma hanno assunto una portata di carattere generale , collocando il diritto alla protezione dei dati personali in una costellazione di libertà fondamentali che con esso vanno bilanciate. In tal senso al right to privacy, si affianca ad esempio il right to pubblicity, il quale, unitamente al diritto all'identità personale, riguarda il modo in cui il soggetto viene presentato agli occhi del pubblico attraverso l'insieme delle informazioni che lo riguardano, nonché il diritto alla trasparenza. 10/10/2023. 7 IL CONSENSO Inquadramento e natura giuridica del consenso. Le norme contenute nella legge 675/1996 e successivamente nel codice della privacy avevano conferito centralità al principio del consenso quale presupposto legittimante e quale condizione di liceità del trattamento. Il consenso rappresentava la regola generale costellata da criteri alternativi, costruiti come eccezione al consenso. Nel regolamento GDPR il rapporto regola-eccezione (che peraltro era assente nella direttiva comunitaria) non trova alcuna evidenza. Si è parlato persino di decentralizzazione della regola del consenso. L'autonomia privata, che si esprime attraverso il consenso, rappresenta soltanto uno dei criteri alternativi volti a dare fondamento legittimo all'attività di trattamento posta in essere dal titolare e nel contempo opera quale meccanismo di primo livello nella selezione degli interessi protetti dall'ordinamento giuridico. [In sintesi, da sempre è data importanza al consenso: però la direttiva dava importanza centrale al consenso considerando gli altri criteri secondari, invece ora gli altri criteri sono parificati ]. Traspare già l'idea per la quale in tale materia l'autonomia privata sia insufficiente a presiedere alla protezione dei dati personali, tanto è che si prevede la sottoposizione della normativa al controllo di una autorità indipendente dotata di ampi poteri anche a tutela dell'interessato (art 8, par. 3, carta dei diritti fondamentali dell'unione europea). È in tale senso anche l'insufficienza del consenso nel fornire un adeguato livello di tutela dell'interessato soprattutto in quelle situazioni in cui l'esistenza di condizionamenti (es quelli legati alla stessa possibilità di ricevere la fornitura di servizi essenziali) fa apparire solamente formale il principio di libertà del consenso, con il suo svuotamento sul piano sostanziale. D'altro canto nel regolamento traspare l' esigenza di far salvo il principio di libera circolazione dei dati da coniugare, ma non subordinare, a quello della protezione dei dati personali dell'interessato: v. art.1, par. 3 Reg. ove si afferma che la libera circolazione dei dati nell'UE non può essere limitata né vietata per motivi attinenti alla protezione di persone fisiche con riguardo al trattamento dei dati personali. [Ci sono 2 opposte esigenze : esigenza di rispettare la privacy e al tempo stesso di rispettare l’esigenza di circolazione dei dati personali] . Il consenso, unitamente agli altri presupposti alternativi, mira a comporre un sistema di selezione degli interessi volto a garantire le nuove esigenze socio economiche, dettate dall'evoluzione tecnologica e dalla globalizzazione, nel quale l'esigenza di tutela del diritto fondamentale alla protezione dei dati deve essere contemplato in un quadro di valori, secondo un sistema di protezione privatistico. Ciò, tuttavia, non vale a rimettere alla sola autonomia privata la selezione degli interessi e all'interessato le capacità di disposizione sui dati in prospettiva dominicale. La molteplicità dei criteri legislativi con cui si individua il fondamento legittimo per il trattamento dei dati rispecchia proprio un approccio pubblicistico-privatistico del sistema di protezione dei dati. Il consenso concorre a determinare - insieme all'informativa, al diritto all'accesso, alla rettificazione e integrazione di dati - le regole di circolazione dei dati cumulando in sé una funzione legittimante il trattamento e una funzione regolamentare perché contiene specificazioni sulla regolazione del trattamento, generalmente assente quando operino altre condizioni di liceità del trattamento. In altri termini mentre quando ricorre il consenso è rimessa all' interessato la valutazione in ordine al bilanciamento tra gli interessi alla protezione o alla circolazione dei dati,

quando vengono previste le altre condizioni di liceità è lo stesso legislatore che provvede a determinare a monte i meccanismi di selezione degli interessi, bilanciandoli aprioristicamente sulla base di una scelta di politica legislativa, lasciando in ogni caso all'interessato l'esercizio di poteri di monitoraggio e controllo (es diritto di accesso, di rettifica, di opposizione, di cancellazione ecc.). Natura del consenso. L'indagine intorno alla natura del consenso è correlata ai modelli di lettura del diritto alla protezione dei dati personali. Rispetto a tale tema non vi è unanimità e nessuna delle teorie prospettate sotto il vigore della precedente direttiva è stata ritenuta di per sé completamente appagante.

  • Primo orientamento : riconduce il diritto alla protezione dei dati personali nell'alveo dei diritti fondamentali della persona, ed in particolare ai diritti della personalità , evidenziando i connotati salienti di tale categoria quali l'assolutezza, l'indisponibilità, intrasmissibilità e l'imprescrittibilità. In questa prospettiva il consenso non ha alcuna valenza dispositiva o traslativa dei dati personali, giacché i dati afferiscono alla persona in maniera costitutiva e non proprietaria. Pertanto al consenso viene negata ogni valenza negoziale, trattandosi invece di un atto di " autorizzazione ", in forza del quale il titolare legittimato a trattare i dati personali dell'interessato, senza che questi cessi la relazione di appartenenza con i dati medesimi, quali attributi della sua personalità. Il consenso è dunque funzionale a legittimare il titolare a svolgere l'attività di trattamento, che altrimenti sarebbe da considerarsi illecita. In tal senso è un atto di autorizzazione che assolve la funzione di rendere lecita la circolazione dei dati personali. (Poiché per la validità del consenso è richiesta la soddisfazione di una serie di requisititi (espresso, libero, specifico, determinato e informato), sembrerebbe secondo questa impostazione dottrinale (Messinetti) che accanto alla natura autorizzatoria, il consenso sia anche in grado di conformare la fattispecie circolatoria e dunque a definire le modalità e condizioni del trattamento, vincolando sensibilmente l'attività del titolare). -Un diverso orientamento su quest'ultimo aspetto dissente, in quanto ritiene che nella prassi la funzione di regolamentazione rimessa all'interessato è piuttosto ridimensionata , se non sterilizzata: la legge assegna al titolare e non all'interessato, la definizione delle finalità, delle caratteristiche e delle modalità del trattamento, oltre che nell'ambito di circolazione dei dati delle misure di sicurezza da applicare, obbligando poi il titolare a specificare le proprie determinazioni nell'informativa da rendere all'interessato (finalità e modalità peraltro omogenee che si riferiscono ad una serie indefinita molteplice di interessati; sicché quest'ultimo nella sostanza sembra dare il consenso al trattamento così come delineato dal titolare, non ha la possibilità di concorrere alla formazione delle regole). Si può cogliere la differenza rispetto ad altre forme di manifestazione del consenso, es nel caso di diritto all'immagine, ove con concorre alla formazione della regola da applicare. Nell'inquadrare il consenso come atto autorizzatorio o permissivo, la dottrina si interroga anche sull'incidenza che esso abbia nella sfera giuridica di chi concede l'autorizzazione. Secondo l'orientamento tradizionale prevalente la figura inquadrata nel "consenso dell'avente diritto" con valore scriminante sul modello dell'articolo 50 c.p.: l'atto di consenso rimuove l' antigiuridicità del trattamento rendendo lecita l'attività di trattamento che altrimenti sarebbe vietata. Tale figura avrebbe il pregio di non contraddire il carattere della irrinunciabilità e indisponibilità tipicamente ascrivibile alla protezione dei dati come diritto della personalità (De Cupis). Il diritto in tal senso non sarebbe oggetto di rinuncia ma viene sottoposto ad atti lesivi che ne limitano temporaneamente la portata senza mutare la titolarità del diritto soggettivo in parola; in tal senso può parlarsi di parziale disponibilità dei diritti della personalità. Critica : aderendo a tale impostazione si configura l'attività di trattamento come intrinsecamente illecita. Di contro sembrerebbe che non si sia di fronte alla contrapposizione tra diritto fondamentale dell'interessato alla protezione dei dati personali (e dunque come diritto della personalità da una parte) e un mero interesse economico del titolare del trattamento, dall'altra parte. La realtà è più complessa, in quanto, come si evince anche dall'assetto delle condizioni di liceità del trattamento, emerge: oltre che legittimo interesse del titolare al trattamento dei dati, anche un interesse pubblico al trattamento, i quali portano ad eliminare situazioni che legittimano un'interpretazione volta configurare l'esistenza di un diritto a trattare i dati personali in presenza dei presupposti che rendono il trattamento "conforme al diritto": in sostanza questo avviene quando vi sia un'aderenza al principio di liceità statuito dall'art. 5 Reg. La non percorribilità di tale tesi (che ravvisa nel consenso una scriminante) porta ad interrogarsi su quale possa essere la natura tale da ciò, ancorché qualifica come autorizzatorio.
  • Secondo orientamento : si sostiene la natura di " atto autorizzatorio non negoziale " del consenso. In tal senso nell’autorizzazione si ravvisa, non soltanto la legittimazione al trattamento, ma anche la funzione di regolamentazione della fattispecie circolatoria di dati in funzione dello sviluppo o della propria personalità, in riferimento alle esigenze di riservatezza in costruzione dell'identità personale, senza operare atti di natura dispositiva. Però, come evidenziato,

particolari di dati). Tali norme vanno lette unitamente al cons. 32 (leggi), 42 e 43. Dalla lettura del cons. 32 emerge : -il contenuto del consenso, quale atto di assenso del trattamento dei dati cosi come predisposto dal titolare ; -la forma del consenso: che deve essere espressa , ma che può sostanziarsi in un atto positivo ed inequivocabile che può essere una dichiarazione scritta (ma non necessariamente sottoscritta) approntata anche con mezzi elettronici, ovvero una dichiarazione orale , ma pur sempre inequivocabile (es. selezione di un'apposita casella su sito web)(per far sì che la semplice inattività o un atto che non sia positivo non corrispondano al consenso). In proposito occorre rilevare che diversamente dalla regola comune, soltanto per categorie particolari di casi (es. dati che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose, ecc.) l'art. 9, par. 2 lett. a) prevede un " consenso esplicito " (espresso ≠ implicito, qui è espresso ma non esplicito).

  • correlazione fra il consenso e le specifiche finalità dichiarate dal titolare del trattamento nell'informativa di cui agli artt. 13 e 14 reg. Una volta accettato il trattamento in relazione alle finalità dichiarate, l'interessato non può escludere selettivamente una o più attività del trattamento (ecco perché la teoria di prima, non so quale, è poco attendibile). Il consenso si traduce in un atto adesivo senza poteri di regolamentazione in ordine al quomodo. Nel manifestare l'accettazione al trattamento mediante assenso, l'interessato instaura per adesione un rapporto giuridico di durata con il titolare del trattamento e la durata è predeterminata dal titolare che deve esplicitarla nell'informativa. Ciò rappresenta una novità rispetto alle regole previgenti. Segnatamente il titolare deve indicare nell'informativa il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo. Ciò non implica che sia necessariamente a tempo determinato, ma che è correlato con le finalità perseguite dal titolare. L'aspetto innovativo consiste nel fatto che la durata è ora oggetto di un obbligo informativo (v. art. 13 e 14). LIBERTÀ : nella casistica il richiamo all'attributo della libertà del consenso corrobora l'idea per la quale il consenso negoziale non possa dirsi correttamente esercitato allorché risulti subordinato alla manifestazione di assenso al trattamento di dati personali, qualora quest'ultimo non sia strettamente necessario all'esercizio della prestazione contrattuale. Un'evenienza ripetutamente rilevata, oltre che nelle varie esperienze nazionali europee, anche nelle pronunce del Garante italiano ove si è riscontrata la prassi declinata in vari modi di condizionare la fruizione di servizi web (e la connessa registrazione) al rilascio del consenso al trattamento per finalità promozionali. “Il consenso del contraente per l'attività promozionale deve intendersi libero quando non è preimpostato e non risulta -anche solo implicitamente in via di fatto - obbligatorio per poter fruire del prodotto o servizio fornito dal titolare del trattamento". v. Linee guida in materia di attività promozionale e contrasto allo spam (4.07.2013, n. 2542348) emanate dal Garante per la protezione dei dati personali, è analiticamente riportata la casistica successiva al noto caso BNL nel quale il Garante ha affermato la non legittimità di un generico consenso al trattamento di tutti i dati personali del cliente (v. provv. del 28.05.1997, n. 40425). Consenso come condizione per la prestazione di un servizio. Il requisito della libertà oggi è ancor meglio esplicitato da quella previsione normativa che suggerisce all'interprete a quale aspetto attribuire particolare attenzione, prescrivendo che "nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l'eventualità, tra le altre, che l'esecuzione di un contratto , compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all'esecuzione di tale contratto" (art. 7, co. 4° Reg. cit.). Si tratta di un precetto assai significativo che, pur non sancendo un divieto, statuisce un parametro di valutazione che, unitamente ad altri, deve essere considerato ai fini del giudizio sulla validità del consenso prestato. SPECIFICITÀ : quanto al requisito della specificità rimarca la necessità che il consenso sia richiesto per finalità determinate e non in via generica (art. 6, co. 1°, lett. a) Reg. cit,; art. 8, co. 2° Carta di Nizza). È appannaggio del titolare del trattamento, secondo il principio di accountability , provvedere a strutturare la richiesta di consenso (oltre che in forma comprensibile e facilmente accessibile) anche in modo che non risulti generica o nel contesto di dichiarazioni che riguardino altre questioni, se non da queste "chiaramente distinguibile", pena la sua non vincolatività (art 7, co. 2° Reg. cit.). La specificità in parola discende anche dall'assolvimento di adeguati oneri informativi a carico del titolare, che circoscrivano i contorni e i vari scopi del trattamento e che, in definitiva, consentano al destinatario di comprenderne l' ambito di operatività. INEQUIVOCABILITÀ : il requisito della inequivocabilità sembra spostare l'accento sull'atto compiuto dall' interessato di estrinsecazione della propria volontà di assenso. La norma richiama un "atto positivo inequivocabile" con il quale l'interessato manifesta il consenso, con ciò innovando rispetto alle prescrizioni del codice privacy ed ammettendo

l'idoneità a costituire un valido consenso sia di dichiarazioni che di azioni positive , purché inequivocabili, nonché eliminando la necessità di documentare per iscritto il consenso. Sarà semmai il titolare del trattamento a dover fornire la prova dell'avvenuta prestazione del consenso (ex art. 7, co. 1° Reg. cit.). Deve tuttavia riflettersi sulla circostanza per cui tali manifestazioni di volontà avvengano in una dimensione tecnologica non sempre agevolmente decifrabile dal consumatore: costui potrebbe infatti trovarsi in una condizione di subalternità ingenerata da gap cognitivi e la richiesta di consenso potrebbe essere presente in una moltitudine di modalità preimpostate dal titolare del trattamento che non necessariamente conducono ad una piena consapevolezza decisionale. Per tale motivo deve ad esempio ritenersi che il consenso non possa essere ricavato da una mera inattività dell'interessato, ma qualche dubbio in ordine all'effettiva libertà dovrebbe porsi anche allorché la scelta di prestarlo si presenti come molto più agevole rispetto a quella di negarlo. Es. per negare il consenso occorre effettuare operazioni macchinose (quali la navigazione su altre pagine o la modifica delle impostazioni del browser) tali da scoraggiare l'utente con minor dimestichezza informatica. Su questo fronte la regolamentazione generale contenuta nel GDPR deve essere rapportata anche a normative di settore che evidenziano ulteriori profili di insidiosità nell'acquisizione del consenso e che cercano di porre rimedio alla rapidità quasi incontrollabile con la quale si evolvono le tecnologie e i sistemi di captazione dei dati personali durante la semplice navigazione in rete. Fra queste va certamente annoverata la direttiva 2002/58/CE (così come successivamente modificata) che regola il trattamento dei dati personali e la tutela della vita privata nell'ambito delle comunicazioni elettroniche. 24/10/ 8 DIRITTI DELL'INTERESSATO. Da un punto di vista sistematico le norme sui diritti dell'interessato risultano collocate nel capo III immediatamente dopo la disciplina delle disposizioni generali e dei principi. Differentemente dunque da quanto avveniva nell'impostazione del codice privacy l'esercizio dei diritti dell'interessato sembra totalmente slegato dalla disciplina del consenso avendo acquisito valenza autonoma. L'assetto dei diritti dell'interessato è preordinato a dare attuazione al principio enunciato all'art. 1, Reg. in base al quale il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali , con particolare riguardo alla riservatezza dei soggetti interessati, donde anche la connessione con il diritto all' identità personale (traslata nella rete quale identità digitale). L'interessato pertanto non subisce passivamente le operazioni di trattamento ma vanta un ampio potere di controllo e di intervento sui dati personali determinando così le modalità di costruzione della propria dimensione duale. In tal senso si afferma la generale pretesa del singolo di "potersi presentare liberamente nel mondo attraverso le proprie informazioni" mantenendo però il controllo sul modo in cui queste circolano e vengono utilizzate. (mancano delle slide). Il titolare deve fornire le informazioni nel rispetto di specifiche modalità: se i dati sono stati raccolti presso l'interessato, le informazioni devono essere fornite nel momento in cui dati personali sono ottenuti, diversamente, nel caso in cui dati non siano stati raccolti presso l'interessato, occorre distinguere 2 ipotesi: in base al disposto dell'art. 14, par. 3: in via generale, le informazioni devono essere rese entro un termine ragionevole dall'ottenimento dei dati, ma al più tardi entro un mese; nel caso in cui dati personali siano destinati alla comunicazione con l'interessato, al più tardi al momento della prima comunicazione all'interessato; nel caso in cui sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali. DIRITTO DI ACCESSO (art 15, leggi). Tale assetto denota che sia stata complessivamente confermata l'impostazione prefigurata dalla direttiva madre: attraverso l'accesso, l'interessato mantiene il controllo sui dati che lo riguardano e, in ragione delle informazioni fornitegli è in grado di verificare consapevolmente la legittimità del trattamento, decidendo in caso di intervenire su di esso attraverso la richiesta di integrazione, cancellazione e opposizione. Il contenuto però dell'accesso è stato ampliato, riferendosi anche al periodo di conservazione dei dati e all'esistenza degli ulteriori diritti riconosciuti all'interessato. Attraverso l'esercizio del diritto di accesso, l'interessato viene a conoscenza di quali suoi dati personali sono oggetto di trattamento e verifica la qualità dei dati trattati e la legittimità del trattamento. In tal senso l'esercizio del diritto di accesso è garantito a prescindere dall'esistenza di una lesione, potenziale o effettiva, lamentata dall'interessato; di qui la necessità, evidenziata già in passato dalla Corte di giustizia del diritto di accesso sotto il profilo operativo non sia sottoposto a vincoli temporali (CGUE 7 maggio 2009, C-553/07). Il principio di fondo è in sintesi quello secondo cui con l'accesso è garantito il costante controllo sui dati personali e cosi l'interessato è messo nelle condizioni di poter attivare gli ulteriori strumenti posti a sua tutela dalla legge. Per tale ragione non sono previste specifiche indicazioni sulla forma , potendo le informazioni essere fornite anche in formato elettronico di uso comune purché le Informazioni siano fornite in una forma intelligibile. Inoltre coerentemente con la definizione molto lata di dato personale, i dati oggetto dell'accesso non sono soltanto dei dati testuali, ma possono essere anche fotografie, videoriprese e registrazioni sonore (in questo senso il garante per la privacy si è pronunciato diverse volte affermando che sia irrilevante la forma in cui le informazioni vengono trattate o il supporto che le contenga).