Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


riservatezza e privacy, Dispense di Segreto Professionale e Diritto alla Riservatezza

parla della riservatezza e privacy

Tipologia: Dispense

2022/2023

Caricato il 19/12/2024

nicolas-nardella-1
nicolas-nardella-1 🇮🇹

1 documento

1 / 97

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Riservatezza e trattamento dei dati pers.
INTRODUZIONE
La nozione di riservatezza si è evoluta nel corso degli ultimi decenni in modo estremamente rapido proprio
perché ha subito, ancor di più di altre situazioni giuridiche, l’effetto dell’avanzare esponenziale delle
tecnologie.
Se inizialmente il diritto alla riservatezza era concepito come un “diritto a riserbo” cioè il diritto ad essere
lasciati “soli” o “indisturbati”, adesso non più: l’utilizzo delle tecnologie digitale ha fatto che la
concezione di riservatezza sia intesa come la necessità che ciascun soggetto abbia il controllo sulla
circolazione delle informazioni. Infatti, se facciamo caso, a differenza del passato siamo noi i primi a
diffondere i nostri dati personali. Una volta che l’informazione è stata ceduta, tale informazione deve
essere trattata in maniera lecita, cercando di mantenere il controllo su questa informazione: fare in modo
che tale informazione non venga diffusa ulteriormente. Ciò con l’avvento di Internet è un compito molto
arduo.
Tutto lo studio che noi condurremo verte su questa evoluzione. Ma per capire come arrivare all’attuale
assetto, che infatti non viene più definito “diritto alla riservatezza” ma diritto “alla protezione dei dati
personali” – un quid pluris rispetto alla prima concezione dobbiamo arrivare alle radici del problema;
vedere come è stato fin’ora gestito il problema, sia a livello normativo che a livello giurisprudenziale.
Possiamo distinguere 3 fasi che hanno caratterizzato generalmente l’azione del diritto alla riservatezza:
1) DIRITTO AL RISERBO: rispetto ad intrusioni altrui effettuate ad es. con mass-media e strumenti
fotografici. E’ stato oggetto delle prime sentenze, sia oltre oceano, sia a livello europeo, sia con grande
ritardo nell’ordinamento italiano.
2) RIVOLUZIONE TECNOLOGICA: attuata con l’avvento di Internet. L’avvento di Internet ha implicato che le
informazioni in minor tempo possono essere dedotte, ha consentito di diffondere e aggregare informazioni
con la possibilità di conservarle in banche dati che sono costantemente accessibili e in alcuni casi, accessibili
da chiunque.
3) SVILUPPO DELLA SOCIETA’ DIGITALE (ICT Information Communication Tecnology): che attiene alla
aggregazione dei dati da Internet e la possibilità che questi dati vengano manipolati e modificati da terzi
soggetti. Ciò significa che in sostanza anche da informazioni corrette e veritiere, potrebbe essere dedotta
una informazione manipolata, che porta a delle conseguenze personali e patrimoniali pregiudizievoli per la
persona. Attiene alla intelligenza artificiale (es. utilizzo di algoritmi che in maniera incontrollata aggregano i
dati, e non essendoci un controllo possono far dedurre delle informazioni non sempre veritiere).
Cenni storici
1800-1900:
Nell’ordinamento italiano il concetto e la nozione stessa di riservatezza sono stati elaborati con grande
ritardo rispetto ad altri stati nei quali la nozione era emersa in tutte le potenzialità già precedentemente. Da
un punto di vista storica, ci sono due punti di riferimento da tenere a mente:
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50
pf51
pf52
pf53
pf54
pf55
pf56
pf57
pf58
pf59
pf5a
pf5b
pf5c
pf5d
pf5e
pf5f
pf60
pf61

Anteprima parziale del testo

Scarica riservatezza e privacy e più Dispense in PDF di Segreto Professionale e Diritto alla Riservatezza solo su Docsity!

Riservatezza e trattamento dei dati pers.

INTRODUZIONE

La nozione di riservatezza si è evoluta nel corso degli ultimi decenni in modo estremamente rapido proprio perché ha subito, ancor di più di altre situazioni giuridiche, l’effetto dell’avanzare esponenziale delle tecnologie. Se inizialmente il diritto alla riservatezza era concepito come un “diritto a riserbo” cioè il diritto ad essere lasciati “soli” o “indisturbati”, adesso non più: l’utilizzo delle tecnologie digitale ha fatto sì che la concezione di riservatezza sia intesa come la necessità che ciascun soggetto abbia il controllo sulla circolazione delle informazioni. Infatti, se facciamo caso, a differenza del passato siamo noi i primi a diffondere i nostri dati personali. Una volta che l’informazione è stata ceduta, tale informazione deve essere trattata in maniera lecita, cercando di mantenere il controllo su questa informazione: fare in modo che tale informazione non venga diffusa ulteriormente. Ciò con l’avvento di Internet è un compito molto arduo. Tutto lo studio che noi condurremo verte su questa evoluzione. Ma per capire come arrivare all’attuale assetto, che infatti non viene più definito “diritto alla riservatezza” ma diritto “alla protezione dei dati personali” – un quid pluris rispetto alla prima concezione – dobbiamo arrivare alle radici del problema; vedere come è stato fin’ora gestito il problema, sia a livello normativo che a livello giurisprudenziale. Possiamo distinguere 3 fasi che hanno caratterizzato generalmente l’azione del diritto alla riservatezza:

  1. DIRITTO AL RISERBO: rispetto ad intrusioni altrui effettuate ad es. con mass-media e strumenti fotografici. E’ stato oggetto delle prime sentenze, sia oltre oceano, sia a livello europeo, sia con grande ritardo nell’ordinamento italiano.
  2. RIVOLUZIONE TECNOLOGICA: attuata con l’avvento di Internet. L’avvento di Internet ha implicato che le informazioni in minor tempo possono essere dedotte, ha consentito di diffondere e aggregare informazioni con la possibilità di conservarle in banche dati che sono costantemente accessibili e in alcuni casi, accessibili da chiunque.
  3. SVILUPPO DELLA SOCIETA’ DIGITALE (ICT – Information Communication Tecnology ): che attiene alla aggregazione dei dati da Internet e la possibilità che questi dati vengano manipolati e modificati da terzi soggetti. Ciò significa che in sostanza anche da informazioni corrette e veritiere, potrebbe essere dedotta una informazione manipolata, che porta a delle conseguenze personali e patrimoniali pregiudizievoli per la persona. Attiene alla intelligenza artificiale (es. utilizzo di algoritmi che in maniera incontrollata aggregano i dati, e non essendoci un controllo possono far dedurre delle informazioni non sempre veritiere).

Cenni storici

Nell’ordinamento italiano il concetto e la nozione stessa di riservatezza sono stati elaborati con grande ritardo rispetto ad altri stati nei quali la nozione era emersa in tutte le potenzialità già precedentemente. Da un punto di vista storica, ci sono due punti di riferimento da tenere a mente:

1) USA:

Un famoso articolo nel 1890 sulla “Harvard Law Review” ad opera di due scrittori statunitensi (Worren e Brandeys) che scrissero un articolo, una pietra miliare. Tale articolo prendeva spunto da una vicenda realmente avvenuta ad uno dei due, che sposò una signora spesso sotto l’occhio del mirino (presenze a feste, accompagnamenti da altri uomini ecc.). Tale esposizione mediatica faceva in modo che tale signora uscisse sempre sui giornali. I due autori riportarono per la prima volta la necessità di tutelare la sfera del riserbo, il diritto alla privacy, il diritto ad essere lasciati indisturbati, soli, rispetto alla difesa della propria sfera privata. Veniva descritta la privacy come un nuovo diritto soggettivo fondamentale, che poteva essere azionato dinanzi ad un giudice. Nei tempi a seguire (primi del 1900) negli USA non ci fu una risposta immediata sul fronte dottrinale, fu abbastanza sopito questo dialogo. A breve, però, questo articolo diede lo spunto per iniziare una elaborazione giurisprudenziale , la quale si basò sulla interpretazione del Bill of Rights americano (IV emendamento) per poter cominciare ad individuare il diritto ad avere una sfera di riserbo (varie sentenze sul tema). GERMANIA:

  1. Nel diritto europeo, contestualmente, l’elaborazione iniziale più compiuta fu certamente quella che si ebbe nell’ambito dell’ordinamento tedesco. Il caso scatenante fu la circostanza che il cancelliere Bismark fosse stato ritratto in foto sul letto di morte. Il significato di questa corretta necessità che fu evidenziata dagli eredi del cancelliere di non ritrarre un personaggio negli ultimi momenti di sofferenza della propria vita. Questo evento, a differenza della vicenda americana, atteneva non soltanto al fatto che dovessero essere divulgate la foto di una persona morente, ma anche il fatto che si ritraeva un soggetto pubblico in modalità lesive della persona umana, con espressioni diverse rispetto a quelle che avevano caratterizzato la sua vita. Ecco che nel diritto tedesco si legò il diritto al riservatezza, rispetto al diritto già esistente nell’ordinamento italiano, ossia il diritto all’immagine, un diritto della persona, c.d. diritto della personalità. (Art. 10 c.c. Abuso dell’immagine altrui: “ Qualora l'immagine di una persona o dei genitori, del coniuge o dei figli sia stata esposta o pubblicata fuori dei casi in cui l'esposizione o la pubblicazione è dalla legge consentita, ovvero con pregiudizio al decoro o alla reputazione della persona stessa o dei detti congiunti, l'autorità giudiziaria, su richiesta dell'interessato, può disporre che cessi l'abuso, salvo il risarcimento dei danni .”. L’idea è proprio quella di un immagine la cui diffusione non sia autorizzate e l’autorità giudiziaria può in via inibitoria far cessare la diffusione, ritenendo altresì possibile che laddove vi sia stata una lesione del diritto può essere richiesto ed eventualmente ottenuto il risarcimento del danno).

Caratteristiche diritti della personalità

Diritti che attengono alla tutela della sfera della persona. Es. il diritto al nome, all’immagine, diritto alla vita. a) ASSOLUTEZZA: Il diritto di escludere gli altri da ingerenze nella propria sfera giuridica (ma da tenere distinto dal diritto alla proprietà). b) INTRASMISSIBILITA’: (una differenza con il diritto di proprietà) anche se ci sono delle deroghe come il diritto all’immagine, che può essere ceduto anche a fini commerciali. Ma altro è che un soggetto venga deturpato della propria immagine senza il proprio consenso, in questo caso si può adire il giudice. c) IRRINUNCIABILITA’ IN VIA DEFINITIVA: Una persona non può definitivamente pronunciarsi sulla rinunciabilità ad es. del diritto all’immagine. Si può rinunciare per periodi circoscritti, ma non definitivamente. Però, è anche vero che purtroppo quando un’immagine viene per una volta diffusa,

giustificate da interessi generali e pubblici di carattere preminente. Il diritto alla riservatezza, dunque, per la prima volta fu individuato come diritto autonomo rispetto al diritto all’immagine e, sempre per la prima volta, determinò il ripensamento di un altro diritto costituzionalmente garantito: il diritto alla manifestazione del pensiero (art. 21 Cost.) – a cui si correla il diritto di cronaca - che, in questo caso, fece un passo indietro rispetto al nuovo diritto riconosciuto. Nell’ambito dei delicati rapporti tra attività giornalistica e diritto alla riservatezza, anche di personaggi pubblici, occorre tenere a mente la circostanza che l’attività giornalistica possa essere effettuata, ma con delle limitazioni – anche di carattere deontologico – che impongono pre-caratteristiche che deve avere l’attività giornalistica per considerarsi lecita:

  • RILIEVO PUBBLICO: Pur riferendosi a condotte private, tali condotte debbano avere un rilievo pubblico;
  • ESSENZIALITA’ DELLE NOTIZIE: Deve riportare dettagli e circostanze contenute nei limiti della essenzialità. Per essenzialità si intende sia la necessità della notizia, sia la modalità della sua rappresentazione.
  • NON SPETTACOLARIZZAZIONE: Si deve astenere dal diffondere dettagli non indispensabili, evitando spettacolarizzazioni e accanimenti morbosi.

Altri cenni storici

A livello internazionale e poi, in particolar modo, a livello ancora “non” europeo (la CEE nasce nel 1957) vengono emanate delle fonti di grande rilievo internazionale, capaci di esprimere una embrionale ma fondamentale idea di tutela della vita privata.

- La dichiarazione universale dei diritti dell’uomo (ONU – 1948) ART. 12: “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze”. Il fine è tutelare la persona da aggressioni in senso morale, che possano provenire dallo Stato o da altri soggetti e che attengono alla sfera della riservatezza (stesso fine delle norme costituzionali italiane – diritto all’identità, inviolabilità del domicilio e della corrispondenza). - La convenzione europea dei diritti dell’uomo e delle libertà fondamentali (1950) ART. 8 - Diritto al rispetto della vita privata e familiare

  1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza;
  2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto, a meno che tale ingerenza non sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, e alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui. In questa norma si intende far riferimento esplicitamente a quella che è l’aggressione o intrusione del potere pubblico nella sfera privata, che deve essere giustificata da interessi di carattere pubblico. E’ una sorta di classificazione di ipotesi nelle quali è possibile un intrusione nella sfera privata. A seguito di questi atti normativi di ordine generale, che quindi andavano a delineare i diritti della persona e le relative libertà, cominciò ad assumere un ruolo rilevante la Corte Europea dei diritti dell’uomo (Corte EDU) che si occupa proprio del giudizio in merito alla violazione dei diritti della persona. E’ una corte indipendente che ha sede a Strasburgo, in Francia. In questo periodo la C-EDU ha svolto una attività

interpretativa ed evolutiva delle disposizioni (in primis dell’art. 8 della Conv. Europea), proprio facendo leva sul concetto di indeterminatezza di vita privata , che può significare molte cose, era un concetto ancora non chiaro e la Corte ha applicato questa norma in maniera evolutiva (l’interpretazione è evolutiva quando trascende la semplice norma per poter individuare altri principi ad essi connessi e poter dare un interpretazione che sia a passo con i tempi, non dunque una interpretazione letterale). Questo ha determinato un ampliamento delle posizioni giuridiche soggettive tutelate dall’art. 8. Il ruolo della C-EDU è stato particolarmente significativo perché la corte ha saputo cogliere sin da subito l’incidenza delle tecnologie sulla vita privata delle persone. Per cui, se in un primo momento si faceva riferimento al concetto di corrispondenza immaginando solo la corrispondenza cartacea, grazie all’interpretazione evolutiva la Corte ha saputo adattare la stessa norma in materia di comunicazione elettroniche e le sue possibili interferenze. In quel periodo cominciò anche ad evidenziarsi come dovessero essere trattati anche aspetti attinenti alla vita privata di personaggi pubblici (es. principessa Carolina di Monaco, la quale fu ritratta attraverso delle immagini fotografiche nel proprio domicilio. Sebbene la corte federale tedesca aveva affermato che quelle foto potevano essere tranquillamente diffuse perché non attinenti a momenti privati, la CEDU invece dall’analisi evolutiva dell’art. 8 ritenne che si trattò di interferenza illecita privata, evidenziando che “la nozione di vita privata comprende elementi che attengono all’identità dell’individuo, quali il nome o il diritto all’immagine. Inoltre la sfera della vita privata, come concepita dalla Corte, include l’integrità fisica e morale di un individuo; la garanzia offerta dall’art. 8 della Convenzione è principalmente destinata ad assicurare lo sviluppo, senza ingerenze esterne, dei rapporti di ciascuno nei rapporti con i propri simili” ). 1960: In questi anni, prima dunque dell’avvento di Internet, si manifesta questo grande passaggio dalla riservatezza come diritto al riserbo, ad una impostazione che consentisse di prendere spunto dalla pervasività delle tecnologie (iniziano ad essere introdotte le banche dati, attraverso le quali in poco tempo i dati possono essere visualizzate da più persone). Diventa davvero palese la deriva che queste situazioni possono determinare, laddove banche dati o raccolte di dati siano poste nelle mani di regimi autoritari che avevano caratterizzato la prima metà del secolo, dove si erano diffusi i primi trattamenti automatizzati, che consentivano in tempi rapidi la consultazione di dati relativi a singoli individui o nuclei familiari, oltre che ad un uso massivo di strumenti di intercettazione (ad es. la polizia tedesca conservando banche dati relative alle consultazione dei testi delle biblioteche, riuscì a risalire a persone interessate a determinati argomenti e, dunque, sovversive rispetto al regime). Nel corso degli anni 60 cominciò a metabolizzarsi l’idea per la quale la protezione dei propri dati potesse essere concepita come un diritto fondamentale e un pre-requisito per ogni forma di libertà e democrazia. Questo perché a seguito della deriva dei regimi autoritari i cittadini iniziarono a sentirsi in una sorta di bolla trasparente, come una sorta di boccia in cui risiede il pesce rosso, ove in ogni momento può essere visto nella propria sfera privata e nelle attività che svolge quotidianamente (la c.d. sindrome del pesce rosso ). Infatti, alcuni Stati proprio in quel periodo iniziarono ad adottare le prime normative in tema di privacy ( Datalagen svedese del 1973, il Bundesdatenschtzgesetz tedesco del 1977 e il Privacy Act nordamericano) 1970: Si manifestano ulteriori sviluppi tecnologici e la nascita di Internet, e dunque, nuove esigenze della tutela della persona. Si inizia a chiedere se ciascuno sia messo al corrente della esistenza di banche dati, delle modalità di funzionamento e della circostanza che i propri dati siano messi in circolazione. Proprio qui inizia

Il valore della Convenzione è quello di strumento di tutela avverso chi tratta informazioni, raccolte in banche dati, senza il rispetto delle garanzie. Essa è incentrata sul flusso transfrontaliero dei dati. Non si occupa, invece, di ciò di cui si occuperà il regolamento: non si occupa del problema di stabilire i diritti eventualmente degli interessati nella misura in cui ci sia una violazione specifica del loro diritto a mantenere il controllo sulla circolazione dei dati personali. Dunque, non si occupa del diritto degli interessati a controllare l’operatore dei gestori delle banche dati, né della possibilità di subordinare il trattamento dei dati al consenso dell’interessato. Iniziano, dunque ad affacciarsi altre esigenze: si vede che nonostante l’importanza della Convenzione di Strasburgo, essa non trattava tutta una serie di circostanze importanti per la protezione dei dati personali, una fra tutte il consenso. 1990: Per effetto di questa rinnovata esigenza che veniva avvertita da tutti gli Stati Europei, comincia a delinearsi quella che è la prima Direttiva (la c.d. “Direttiva madre in tema di privacy”) la Direttiva 95/46/CE , con lo specifico fine di armonizzare il livello di tutela dei diritti delle persone riguardo al trattamento dei dati personali. Infatti, mai come in questa occasione, parlare di mercato unico e di libera circolazione – in questo caso delle informazioni – significava tentare di creare un filo conduttore tra legislazioni tanto frammentate e tanto eterogenee. L’obiettivo della Direttiva madre era indurre gli Stati membri ad adottare regole comuni e condivisi in materia di trattamento dei dati personali e quindi assicurare un livello uniforme di tutela, eliminando barriere nazionali alla loro circolazione. Il limite della Direttiva, tuttavia, era la sua staticità: stabiliva una relazione poco dinamica tra il titolare del trattamento e il c.d. “interessato” (cioè colui che consente l’accesso ai propri dati), incentrata sul consenso (mentre nella Direttiva madre il consenso aveva un ruolo centrale, era la principale fonte che legittimava qualunque trattamento; attualmente il consenso ha perso centralità e si affianca ad altre basi giuridiche di trattamento. A sua volta, sempre a livello europeo, la Direttiva fu integrata con altri atti normativi:

  • Direttiva 2002/58/CE (ePrivacy), poi modificata dalla Direttiva 2009/136/CE, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. Questa direttiva, dunque, è più focalizzata su un tema più specifico e peculiare.
  • Direttiva 2006/24/CE (Data Retention Directive) Direttiva sulla conservazione dei dati nelle telecomunicazioni. Questa direttiva focalizza le sue attenzioni proprio su quell’aspetto dei tempi delle conservazioni dei dati. 2000: L’Italia, dunque, come tutti gli Stati membri è chiamata a recepire la Direttiva, ed infatti viene emanata in Italia la prima legge in materia di dati personali : la L. 675/1996 – “tutela le persone e gli altri soggetti rispetto al trattamento dei dati personali”, la quale fu modificata dal D.lgs. n. 196/2003 – c.d. “Codice in materia di protezione dei dati personali”. Questo codice, che è stato del tutto ridimensionato dal regolamento, è strutturato da 186 articoli suddivisi in tre parti:
  1. DISPOSIZIONI GENERALI (parte generale), dedicata ai soggetti (Titolare, responsabile, incaricato, interessato), agli adempimenti, alle regole del trattamento con riferimento ai settori pubblico e privato;
  2. DISPOSIZIONI RELATIVE A SPECIFICI SETTORI (parte speciale), che disciplina il trattamento in ambito giudiziario, sanitario, lavorativo, nonché il trattamento in ambito pubblico, giornalistico e nelle

telecomunicazioni.

  1. TUTELA DELL’INTERESSATO E SANZIONI , dedicata alla tutela amm.va, giurisdizionale ed alternativa a quest’ultima. Nella parte terza è altresì presente un intero Titolo (il terzo) dedicato alle sanzioni amm.ve e agli illeciti penali. Sono presenti anche 3 allegati: a) codici di deontologia; b) codice disciplinare tecnico in materia di misure minime di sicurezza; c) trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia. Il codice sanciva un diritto generale alla protezione dei dati personali: Art. 1: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” Art. 2: “Il codice garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”. Comincia, dunque, a delinearsi in maniera più chiara ciò che si è detto fin’ora: qui l’idea non che non si facciano circolare le informazioni, ma che il trattamento delle informazioni si svolga nel rispetto dei diritti e delle libertà fondamentali , nelle quali viene menzionato anche esplicitamente il concetto di dignità dell’interessato. Tutto ciò in riferimento non solo alla sfera del riserbo, ma anche al rispetto della sfera dell’identità personale, rispetto alla quale si fa riferimento al patrimonio di idee cui ciascun soggetto è portatore, a quella che poi diventerà una vera e propria identità digitale. Inizia ad identificarsi la circostanza per cui il titolare del trattamento, sia gravato da obblighi – che poi nel regolamento saranno enfatizzati in termini di responsabilizzazione – che competono in capo a chi gestisce il trattamento, appunto il titolare (principi di finalità, di necessità, di proporzionalità – già visti). Nel panorama europeo, si è arricchito, poi, di un ulteriore atto normativo: la Carta di Nizza (proclamata il 7 dicembre del 2000), la quale assume la dignità tra i valori universali e colloca la tutela dei dati personali nell’alveo dei diritti fondamentali della persona. Inquadrare per la prima volta, in maniera espressa, il diritto alla riservatezza come un diritto fondamentale significa compiere un grande passo avanti. I due articoli principali che si occupano della tematica sono:
  • ART. 7: Diritto al rispetto della vita privata e della vita familiare (“Ogni individuo ha diritto al rispetto della propria vita familiare e della propria vita privata, del proprio domicilio e delle sue comunicazioni”).
  • ART. 8: Fra i diritti della libertà, si colloca il diritto alla protezione dei dati personali e precisamente che “ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Inoltre, si afferma che tali dati devono essere trattati secondo il principio di lealtà per finalità determinate in base al consenso della persona interessato o ad un altro fondamento legittimo previsto dalla legge e che ogni individuo ha diritto di accedere ai dati raccolti che lo riguardano e di ottenere rettifica. Il rispetto di tali regole è soggetto al controllo di un’autorità dipendente”. Qui, in pochi semplici righe si concentrano alcuni principi fondamentali che saranno a presidio dell’intero regolamento (principio di lealtà, che è il principio di correttezza nel nostro ordinamento), il riferimento alla circostanza che le basi giuridiche di trattamento potrebbero essere per un verso il consenso, ma anche “altro fondamento legittimo previsto dalla legge” (ad es. in caso di ragioni di salute pubblica o di indagine giudiziaria che richiedono un trattamento, a prescindere dal consenso quel trattamento deve essere effettuato). Qui, inoltre, si fa riferimento a quello che diventerà uno dei diritti dell’interessato, ossia il diritto di accedere ai dati che lo riguardano e di ottenerne la rettifica. La Carta di Nizza, inizialmente considerata solo di carattere ricognitivo ha in realtà acquisito un valore pari a quello dei Trattati europei.

IL REGOLAMENTO UE 2016/679 (GDPR)

Quadro di partenza Il General Data Protection Regulation (GDPR) è finalizzato a riordinare e razionalizzare la materia dei dati personali. Questo riordino è avvenuto anche recependo molti degli orientamenti della CGUE. Ancor più che in altre materia, qui si suole dire che la CGUE abbia svolto un ruolo di supplenza politica, anticipando con le sue decisioni quelli che sono stati poi gli orientamenti recepiti a livello di regole normative nel regolamento. L’esigenza è quella di assicurare una applicazione omogenea della normativa vigente, con la finalità di creare un clima di fiducia nello sviluppo economico degli ambienti online. Questo regolamento si colloca, come molti altri atti normativi europei, nell’ottica di migliorare in generale tutte le attività che vengono svolte nell’ambito del mercato unico, creando un clima di maggior fiducia ad es. nel campo dei consumatori, degli operatori, nell’ambito delle attività economiche. Infatti, un quadro giuridico incerto costituisce un freno nello sviluppo dell’economia, in particolare, in quella digitale. Differentemente dalle direttive, che richiedono un atto di recepimento, la scelta del regolamento consente armonizzazione ma, ancor di più, uniformazione del diritto degli stati europei, tentando di eliminare già in radice anche piccole differenze. C’è da dire, però, che anche il regolamento lascia dei piccoli spazi di manovra riservati ai vari stati membri: a) In determinate questioni: gli stati membri devono comunque conformarsi ai criteri direttivi fissati dal regolamento stesso, ma modellando alcune norme sulla base delle regole fissate nel proprio ordinamento (ad es. formazione del contratto, problematiche relative alla responsabilità civile, ecc.). b) Aspetti sanzionatori: ciascuno stato membro disciplina diversamente il regime sanzionatorio, ad es. preferendo misure amministrative piuttosto che misure penali, ecc. Con il regolamento, dunque, si intende rafforzare la fiducia nelle transazioni elettroniche del mercato interno assicurando la protezione dei dati personali e aumentando così l’efficacia dei servizi online pubblici e privati nell’UE. Il regolamento stabilisce dei principi guida e prevale in caso di conflitto di norme su una serie di altri atti normativi e tuttavia si coordina con altre fonti normative di rango europeo, tra queste rientra anche il Regolamento 910/2014 in materia di identificazione elettronica e servizi fiduciari delle transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. Questi due regolamenti indicano l’intento del legislatore europeo di creare un mercato unico digitale, rimovendo gli ostacoli giuridici costituiti dalla disomogeneità delle norme applicabili. Oltre a ciò emerge anche quello che è un tentativo molto spiccato – intrapreso dalla CGUE e poi chiarito dal regolamento – di cercare di conferire un approccio globale alla protezione dei dati personali, cioè un approccio che vada anche al di fuori dei meri confini dell’UE – laddove possibile – proprio in riferimento dei principi fondamentali stabiliti dalla Carta di Nizza e poi chiariti dal TUE. I “considerando” Come possiamo notare, come tutti i regolamenti europei, anche questo è preceduto da una serie di “ Considerando ”, ossia una serie di premesse. Essi non rappresentano in sé delle regole vincolanti, ma fanno parte integrante del regolamento e fungono da ausilio in termini interpretativi. Svolgono un ruolo particolarmente rilevante, poiché utili nella migliore comprensione delle norme giuridiche inserite nel regolamento. Accanto al titolo di ogni articolo sono indicati uno o più “considerando” che consentono una

migliore interpretazione, esemplificando ciò che viene espresso dalla norma giuridica. Fungono da premessa alla norma giuridica, dando idea della ratio che il legislatore ha voluto perseguire. Considerando 4: Indica un significativo mutamento di ratio del regolamento, esplicitando l’esigenza di contemperamento tra gli interessi in gioco rispetto all’attività del trattamento dei dati. Si pone l’accento sulla ineliminabile pervasività delle tecnologie informatiche nell’uso dei dati personali con cui la regolamentazione deve confrontarsi. Non si richiede più la semplice protezione del semplice riserbo, ma richiede un tentativo di tecniche di controllo della diffusione dei dati, che tuttavia vanno rapportate alla circostanza che la protezione dei dati personali non rappresenta un diritto prevalente rispetto ad altri ritenuti altrettanto fondamentali. Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica. Questo considerando va letto in ottica europea e non in quella nazionale: già il riferimento alla “funzione sociale” per i civilisti italiani sembra un espressione un po’ strana, perché abituati ad indicare la funzione sociale soprattutto nell’istituto della proprietà, qui invece si vuole andare al di là di questa idea. Cioè quella di ricordare a tutti che la protezione dei dati personali comunque non rappresenta una prerogativa assoluta e va, dunque, bilanciata di volta in volta con altre libertà altrettanto ritenute frutto di principi fondamentali, come ad es. la libertà di pensiero (correlata all’attività giornalistica). Principio di Accountability Il GDPR ha introdotto il principio dell’ accountability , cioè ha trasferito in capo al titolare e al responsabile del trattamento i rischi derivanti dal trattamento dei dati personali nel contesto tecnologico odierno, ed i costi relativi al loro contenimento in funzione preventiva del danno a diritti e libertà fondamentali della persona. Secondo tale principio il titolare e il responsabile del trattamento devono mettere in atto e dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […] tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, della probabilità e della gravità dei rischi per i diritti e le libertà delle persone fisiche (art. 32 GDPR). Tali misure tecniche e organizzative adeguate al rischio cui sono esposti i dati trattati, dovranno essere adottati sin dal momento preparatorio e progettuale dell’attività di trattamento (c.d. privacy by design ). Il titolare è, altresì, tenuto ad adottare impostazioni predefinite idonee a limitare (quantitativamente e qualitativamente) il trattamento ai soli dati necessari, limitando al contempo gli accessi da parte di terzi ai suddetti dati nonché la durata di conservazione degli stessi ( privacy by default );

contempo strumento principe per la piena integrazione economica e il buon funzionamento del mercato interno, in particolare il commercio online. Art. 4 – Definizioni. Nozione di archivio Con la tecnica delle definizioni, tipicamente europea, è lo stesso articolo 4 a fornire la nozione ampissima di “archivio” come “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”. Il legislatore ha inteso considerare qualsiasi attività sistematica avente ad oggetto dati personali, inclusa anche la mera raccolta di essi, indipendentemente dall’impiego di strumenti automatizzati per il compimento di successive elaborazioni e indipendentemente anche dalla località in cui vengono conservati questi dati, prescindendo, dunque, dai limiti geografici. Difatti, il considerando n. 15 afferma che “ Al fine di evitare l'insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. La protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio […]”. Dunque, si afferma il principio di neutralità tecnologica: cioè, i mezzi materiali utilizzati non rilevano ai fini di un eventuale esclusione dall’ambito di applicazione materiale del regolamento. Ciò per evitare l’insorgere di rischi di elusione. Articolo 2 – Esclusioni (v. art. sopra) Nonostante l’ampiezza di definizione utilizzata dal legislatore quanto all’ambito materiale, lo stesso legislatore indica quali siano gli ambiti esclusi dal regolamento della protezione dei dati. Se è vero che non sono rilevanti i mezzi utilizzati, il legislatore europeo pone attenzione a due aspetti: a) Finalità del trattamento (lett. a) dell’art. 2, co. 2 ) ove vi sono una serie di ipotesi nelle quali il regolamento non trova applicazione, a garanzia di interessi diversi ed ulteriori rispetto alla tutela dei dati personali (es. trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto UE in ossequio al c.d. principio di attribuzione ). b) Qualificazione del soggetto che procede al trattamento: in quanto vengono in rilievo i trattamenti effettuati da persona fisica a carattere esclusivamente personale o domestico. Questi due criteri, alle volte, sono combinati tra loro: sono riferiti ad attività poste in essere dagli Stati in materia di politica estera, di sicurezza comune, prevenzione e perseguimento di reati. Dunque, non si applica il regolamento perché vi è un interesse comune maggiore rispetto all’interesse individuale alla protezione dei dati. Sempre sotto il profilo materiale il regolamento si interseca con ambiti tangenti, altre fonti normative che trattano sempre dell’ambito materiale:

  1. l’ambito relativo al trattamento dei dati personali da parte delle istituzioni degli organismi comunitari, di cui al regolamento 45/2001/CE – che ha istituito il Garante europeo per la protezione dei dati ;
  2. il settore relativo al commercio elettronico , già oggetto della direttiva 200/31/CE, recepite in Italia con il d.lgs. n. 70/2003.

Tra i vari atti normativi, il GPDR assume il ruolo di disciplina guida ai cui principi e norme devono adeguarsi tutti gli atti giuridici dell’UE applicabile al trattamento dei dati personali. Ad es. nella Direttiva sul Commercio Elettronico (dir. 2000/31/CE) (art. 12-15): al fine di dare impulso al settore del commercio elettronico, si è esimevano da responsabilità gli Internet Provider (ISP) , che offrono accesso alla rete, ovvero ne forniscono alcuni servizi fondamentali (e-mail, chat) con modalità c.d. di mere conduit (ossia di semplice trasporto delle informazioni caricate in rete da altri), coaching (memorizzazione temporanea delle informazioni caricate in rete da altri al fine di facilitare l’inoltro ad altri utenti) e hosting (memorizzazione e anche a lungo termine delle informazioni caricate dagli utenti) però, non in maniera generalizzata ma in base al tipo di attività che essi effettuavano: l’esenzione è valida sempre che i providers non intervengano attivamente nell’attività di circolazione e diffusione dei contenuti da altri incaricati (es. caso Google Spain). Dunque, i trattamenti esclusi ricalcano in larga parte le previsioni della dir. del 1995, talvolta presentando anche la medesima formulazione letterale, finendo per riproporre alcuni quesiti interpretativi.  LETT. (A): il primo trattamento eccettuato è individuato in negativo e costituisce diretta applicazione del c.d. principio di attribuzione enunciato nell’art. 5, par. 2 TUE. Ciò significa che, la regola generale è che gli stati membri esercitano la loro sovranità in determinate materie nelle quali hanno competenza e realizzano degli obiettivi specifici. Ciò significa che, quando vi sono delle area di competenza esclusiva degli Stati membri l’UE non interviene; tuttavia, quando gli Stati non riescono a perseguire singolarmente degli obiettivi che sarebbero meglio perseguiti a livello europeo allora entra in gioco la normativa europea (in via esclusiva o in via concorrente). Fatta questa premessa, prima del Trattato di Lisbona queste competenze non erano state adeguatamente divise tra stati e UE, solo con questo Trattato vi è stata una indicazione di massima delle aree di competenze. In tale contesto la tutela dei dati personali viene espressamente prevista nell’art. 16 TFUE ove si dispone – in ossequio al principio di attribuzione – che il Parlamento Europeo e il Consiglio stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’UE, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’UE, e le norme relative alla libera circolazione dei dati personali.  LETT. (B): il regolamento non si applica ai trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito della c.d. azione esterna dell’UE (disposizioni specifiche in materia di politica estera e di sicurezza comune).  LETT. (D) : il regolamento non si applica se sussistono “competenze riservate” in riferimento alle attività delle autorità ai fini di prevenzione, indagine, accertamento o perseguimento dei reati. L’esclusione sembra pensata in relazione ai trattamenti di dati volti al contrasto di attività di natura terroristica ed è probabile che sia il frutto di accordi con altre autorità internazionali, soprattutto statunitensi, finalizzato a consentire rapporti di collaborazione tra i diversi Stati.  LETT. (C) UTILIZZO PERSONALE O DOMESTICO: Trattamento effettuato dalla persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. E’ l’aspetto che ci interessa di più perché fa riferimento a rapporti interprivatistici. Qui ritroviamo il bilanciamento fra interessi contrapposti : tutela della riservatezza della persona e libertà di informarsi (compresa la libertà di raccogliere informazioni utili o necessarie alla vita di relazione) sempre

1. _Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. (C22)

  1. Il presente regolamento si applica al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano: (C23, C24) a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato; oppure b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione._ L’art. 3 necessita di essere letto alla stregua dei considerando n. 22, 23 e 24 mediante i quali il legislatore europeo intende affermare l’applicabilità del regolamento europeo anche nel caso in cui gli interessati si trovino nell’UE ad opera di un titolare del trattamento o di un responsabile non stabilito nell’UE.  CONS. 22: richiamando le sentenze che hanno contribuito a far comprendere l’ampiezza dell’applicazione del regolamento, afferma: “ lo stabilimento implica l’effettivo e reale svolgimento di un’attività nel quadro di un’organizzazione stabile”. Il termine “stabilimento” potrebbe farci ricordare “la sede”, ma in realtà non è la sede in quanto tale in cui viene effettuato il trattamento, ma attiene proprio dove materialmente e realmente si esercita un’attività. Dunque, non è determinante la forma giuridica assunta dal titolare, ma dove viene svolta quell’attività. Non interessa se si tratti di una succursale, o della sede madre, ecc. interessa dove avviene l’effettivo svolgimento dell’attività. Il problema di individuare l’ambito di applicazione territoriale si era già posto prima del 2016. A partire dalla Direttiva madre, fino al 2016, sono stati interpellati anche gruppi di studiosi che hanno fornito in tanti settori della privacy importanti riferimenti e linee guida che, seppur non vincolanti, hanno rappresentato una linea nelle sentenze successive e nei provvedimenti delle Autorità garanti nei paesi UE. Ad es. il gruppo ex art. 29 (perché fa riferimento all’art. 29 della Direttiva, da cui fu creato il gruppo stesso) è stato più di una volta interpellato per individuare linee guida in merito alle varie problematiche della privacy, tra cui il problema dei provider dei motori di ricerca che elaborano i dati degli utenti (tra cui indirizzi IP o cookies), rientra nell’ambito materiale della definizione del responsabile del trattamento in quanto effettivamente determina le finalità e gli strumenti del trattamento. Il problema si è posto per i provider perché, per loro natura, essi hanno un carattere multinazionale , dunque, è ben facile che la loro sede si trovi situata al di fuori dell’UE, con servizi che coinvolgono succursali e terzi nei trattamenti di dati, ponendosi il problema di chi debba essere considerato responsabile del trattamento dei dati.
  • Nel caso in cui un provider sia stabilito in uno o più stati membri nei quali fornisce i suoi servizi  si applica la legislazione europea sulla protezione dei dati;
  • Nel caso in cui il motore di ricerca abbia la sede madre fuori dal territorio UE  occorre domandarsi se il motore di ricerca utilizzi strumenti situati nello stabilimento presso uno Stato membro. La nozione di strumenti è piuttosto ampia: può essere ricondotta anche ai personal computer e ai cookies, oltre che ai server. Pertanto ne deriva che se il motore di ricerca ha una sede in uno Stato membro è ben difficile che possa dirsi che non abbia lì uno stabilimento. Un ulteriore problema deriva dall’espressione: “ nel contesto delle attività di uno stabilimento”. Per capire a cosa si intende si può risolvere il problema sia facendo riferimento alle definizioni contenute all’ art. 4 , sia al considerando n. 36-37 da esso richiamati :

 ART. 4, n. 16 – Stabilimento principale : a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento; Il punto fondamentale, dunque, non è indicare soltanto dove sia collocata l’amministrazione centrale, perché se poi le decisioni sulle finalità, sui mezzi di trattamento, ecc. siano adottate in un altro stabilimento, questo deve essere considerato quello principale. Infatti:  CONS. 36: “[…] Lo stabilimento principale di un titolare del trattamento nell'Unione dovrebbe essere determinato in base a criteri obiettivi e implicare l'effettivo e reale svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità e sui mezzi del trattamento nel quadro di un'organizzazione stabile”. Ai fini dell’individuazione del concetto di stabilimento può affermarsi che esso abbia collegamenti flessibili con la nozione di “controllo” (cioè chi effettivamente esercita il controllo su queste attività di individuazione delle finalità del trattamento) in quanto l’elemento descrittivo è dato dall’esercizio effettivo e reale dell’attività. (Es. in uno scenario in cui il responsabile del trattamento è stabilito in Austria, ma fa effettuare il trattamento ad un incaricato stabilito in Germania, il diritto applicabile deve essere individuato in quello che viene effettuato concretamente in Germania. Lo scenario, invece, in cui il responsabile del trattamento stabilito in Austria apre un ufficio di rappresentanza in Italia, che organizza tutti i contenuti italiani del sito Web e gestisce le richieste degli utenti Italiani, le attività di trattamento svolte dall’ufficio italiano sono effettuate nel effettuate nel contesto dello stabilimento italiano e, dunque, a quelle attività si applicherebbe il diritto italiano). A questi risultati è giunta la CGUE con alcune sue pronunce:

- Google Spain (CGUE 13 maggio 2014 C-131-12) sentenza principalmente nota per la consacrazione del diritto all’oblia, ma rilevante anche ai fini della nozione del concetto di stabilimento. Si pone il problema della qualificabilità come stabilimento della società Google Spain, aperta in Spagna da Google Inc. per la promozione della vendita di spazi pubblicitari proposti dal motore di ricerca agli abitanti di tale Stato membro. Google affermava che non si potesse parlare di stabilimento in senso tecnico poiché il trattamento dei dati veniva effettuato da Google Inc., senza alcun intervento da parte di Google Spain, la cui attività era limitata alla fornitura di un sostegno all’attività pubblicitaria del gruppo Google; attività sostanzialmente diversa dal servizio tipicamente offerto dal motore di ricerca e che potesse costituire un trattamento. Tuttavia, la Corte si discosta da questa presentazione, rilevando che il concetto di stabilimento non pretende che il trattamento dei dati sia effettuato proprio dallo stabilimento interessato, essendo invece sufficiente che venga attuato nel contesto dell’attività di quest’ultimo. Dunque “nel contesto delle attività di uno stabilimento” può ricondursi a “qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile”.

utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l'utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell'Unione possono evidenziare l'intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell'Unione”. Oltre a ciò, c’è anche un intelligentissimo riferimento del legislatore ad una tematica importante, relativa alla non rilevanza dell’obbligatorietà del pagamento, includendo quindi quei trattamenti che non prevedono il riconoscimento di corrispettivi pecuniari in quanto la merce di scambio e rappresentata dalle informazioni e dati personali. E’ quello il corrispettivo che si paga, visto che i dati personali se trattati in massa hanno un valore immenso (preferenze commerciali, quanto sei disposto a pagare per un bene, ecc.). Quanto, invece, all’ipotesi b) monitoraggio dei comportamenti individuali , nella stessa logica pragmatica del legislatore europeo, questo evidenzia la consapevolezza delle modalità con le quali vengono raccolti ed elaborati i dati personali. In altri termini, si fa riferimento alla circostanza che l0utente nella misura in cui si appresta anche semplicemente ad acquistare un bene e, dunque, ancora prima che venga perfezionato l’acquisto, l’utente per lo stesso fatto della navigazione in Internet lascia delle tracce (c.d. web tracker ) e questo fa in modo di elaborare tali dati di comportamento ed utilizzarli per finalità di natura commerciale (e non solo) che spesso sfuggono anche allo stesso consenso inizialmente prestato. Per accertare la sussistenza di tale attività di controllo del comportamento dell’interessato è opportuno verificare se le persone fisiche sono tracciate anche in attività che consentono la profilazione della persona fisica, in particolare per adottare decisioni che lo riguardano o prevedere preferenze, comportamenti e posizioni personali. E’ da evidenziare, però, che sussistono comunque degli ambiti nei quali è necessario un bilanciamento : es. per i trattamenti svolti per finalità di prevenzione e repressione dei rischi per la sicurezza collettiva o dei fenomeni terroristici. Inoltre, occorre anche evidenziare che non è sempre agevole individuare con quali strumenti applicativi una normativa così rigida possa trovare applicazione rispetto a paesi terzi ove è evidentissimo il divario in termini regolamentari. Ci sono infatti chiaramente delle legislazioni che riescono in maniera illecita ad obliterare a tutte queste regole e, dunque, quando il dato transita in questi paesi il dato ormai è sfuggito al controllo. Si pone in evidenza, pertanto, il rischio che tale tutela sia vanificata dalla circostanza che i dati personali in questione vengano trasferiti presso tali paesi terzi in cui tale normativa più protettiva non trova applicazione. Importante è stato il ruolo, anche qui, della CGUEc.d. Caso Shrems (CGUE 6 ottobre 2015, causa C-362-

  1. nel quale si è affermato un importante passo per l’affermazione della sovranità digitale dell’UE. Il fatto ha origine dalla circostanza in cui ci si accorse che vi era un sistematico trasferimento dei dati digitali degli utenti europei di Facebook Ireland (stabilimento europeo di Facebook inc., situato negli USA). Questi dati venivano trattati in base ad un accordo internazionale denominato Safe Harbour. Qui siamo in un momento antecedente dal regolamento del 2016 e, dunque, eravamo ancora nell’ambito applicativo della direttiva madre del ’95, che stabiliva che gli Stati membri dovessero consentire siffatto trasferimento verso il paese terzo laddove questo garantisse “un livello di protezione adeguato” (art. 25 dir.). Tale adeguatezza fu accertata dalla Commissione europea nel 2000 rispetto ai Safe Harbour privacy Principles. Nonostante questo studio analitico della CE, a seguito di alcune rilevazioni è emerso che questi dati sì, venivano legittimamente trasferiti perché operava questo accordo internazionale, ma poi una volta trasferiti all’estero venivano raccolti e trattati dall’intelligence americana. Uno studente (Maximilian Shrems) dopo aver chiesto ripetutamente all’autorità irlandese di vietare a Facebook tale trasferimento,

poiché non aveva avuto riscontro adeguato, investì della questione la Corte di appello irlandese, la quale fece rinvio pregiudiziale alla CGUE. La Corte evidenziò che l’accertamento della Commissione non fosse preclusivo, cioè il fatto che ci fosse tale accertamento non precludeva la possibilità che un privato cittadino potesse porre in dubbio l’accordo stesso, ed anzi, la Corte si rese conto che un simile trasferimento fosse incompatibile con gli artt. 7 e 8 della Carta di Nizza (rispetto del riserbo, della vita privata, ecc.) poiché “ autorizzava in modo generale la conservazione e trasferimento di tutti i dati di tutte le persone senza alcuna limitazione o criterio oggettivo che consentisse di delimitare l’accesso alle autorità pubbliche” , dichiarandone dunque l’invalidità.

Principi generali applicabili al trattamento dei dati

La parte sui principi generali è contenuto al Capo II (art. da 5 a 11). Soltanto all’art. 5 sono indicati i principi che si applicano a qualunque tipologia di dato e che attengono anche alle modalità del trattamento. All’art. 6, invece, si individuano quelle che poi si chiameranno “condizioni di liceità o presupposti”. Dagli artt. 7 a 11 il legislatore si concentra su vari aspetti (consenso, consenso dei minori, categorie particolari di dati).  ART. 5:

_1. I dati personali sono: (C39) a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

  1. Il titolare del trattamento è competente per il rispetto del paragrafo 1 e in grado di comprovarlo («responsabilizzazione»). (C74)_ E’ dedicato alla determinazione dei principi applicabili al trattamento e alla liceità del trattamento. I principi sono concepiti attraverso l’elencazione di una serie di caratteristiche di dati personali suscettibili di rendere lecito il trattamento, cioè i principi attengono a modalità di esercizio del trattamento che condizionano lo svolgimento di questa attività. In altri termini, il titolare deve essere in grado di dimostrare che ha trattato i dati in maniera lecita, trasparente, con finalità predeterminate, li ha conservati per un determinato periodo, ecc. Tutti questi requisiti costituiscono un profilo di obbligatorietà : è dunque una regola di comportamento, il titolare obbligatoriamente deve attenersi al rispetto di ciascuno di questi principi e solo una volta che li ha rispettati il trattamento potrà dirsi effettivamente eseguibile. Nel definire le modalità di trattamento, si