

























































































Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
parla della riservatezza e privacy
Tipologia: Dispense
1 / 97
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!


























































































La nozione di riservatezza si è evoluta nel corso degli ultimi decenni in modo estremamente rapido proprio perché ha subito, ancor di più di altre situazioni giuridiche, l’effetto dell’avanzare esponenziale delle tecnologie. Se inizialmente il diritto alla riservatezza era concepito come un “diritto a riserbo” cioè il diritto ad essere lasciati “soli” o “indisturbati”, adesso non più: l’utilizzo delle tecnologie digitale ha fatto sì che la concezione di riservatezza sia intesa come la necessità che ciascun soggetto abbia il controllo sulla circolazione delle informazioni. Infatti, se facciamo caso, a differenza del passato siamo noi i primi a diffondere i nostri dati personali. Una volta che l’informazione è stata ceduta, tale informazione deve essere trattata in maniera lecita, cercando di mantenere il controllo su questa informazione: fare in modo che tale informazione non venga diffusa ulteriormente. Ciò con l’avvento di Internet è un compito molto arduo. Tutto lo studio che noi condurremo verte su questa evoluzione. Ma per capire come arrivare all’attuale assetto, che infatti non viene più definito “diritto alla riservatezza” ma diritto “alla protezione dei dati personali” – un quid pluris rispetto alla prima concezione – dobbiamo arrivare alle radici del problema; vedere come è stato fin’ora gestito il problema, sia a livello normativo che a livello giurisprudenziale. Possiamo distinguere 3 fasi che hanno caratterizzato generalmente l’azione del diritto alla riservatezza:
Nell’ordinamento italiano il concetto e la nozione stessa di riservatezza sono stati elaborati con grande ritardo rispetto ad altri stati nei quali la nozione era emersa in tutte le potenzialità già precedentemente. Da un punto di vista storica, ci sono due punti di riferimento da tenere a mente:
Un famoso articolo nel 1890 sulla “Harvard Law Review” ad opera di due scrittori statunitensi (Worren e Brandeys) che scrissero un articolo, una pietra miliare. Tale articolo prendeva spunto da una vicenda realmente avvenuta ad uno dei due, che sposò una signora spesso sotto l’occhio del mirino (presenze a feste, accompagnamenti da altri uomini ecc.). Tale esposizione mediatica faceva in modo che tale signora uscisse sempre sui giornali. I due autori riportarono per la prima volta la necessità di tutelare la sfera del riserbo, il diritto alla privacy, il diritto ad essere lasciati indisturbati, soli, rispetto alla difesa della propria sfera privata. Veniva descritta la privacy come un nuovo diritto soggettivo fondamentale, che poteva essere azionato dinanzi ad un giudice. Nei tempi a seguire (primi del 1900) negli USA non ci fu una risposta immediata sul fronte dottrinale, fu abbastanza sopito questo dialogo. A breve, però, questo articolo diede lo spunto per iniziare una elaborazione giurisprudenziale , la quale si basò sulla interpretazione del Bill of Rights americano (IV emendamento) per poter cominciare ad individuare il diritto ad avere una sfera di riserbo (varie sentenze sul tema). GERMANIA:
Diritti che attengono alla tutela della sfera della persona. Es. il diritto al nome, all’immagine, diritto alla vita. a) ASSOLUTEZZA: Il diritto di escludere gli altri da ingerenze nella propria sfera giuridica (ma da tenere distinto dal diritto alla proprietà). b) INTRASMISSIBILITA’: (una differenza con il diritto di proprietà) anche se ci sono delle deroghe come il diritto all’immagine, che può essere ceduto anche a fini commerciali. Ma altro è che un soggetto venga deturpato della propria immagine senza il proprio consenso, in questo caso si può adire il giudice. c) IRRINUNCIABILITA’ IN VIA DEFINITIVA: Una persona non può definitivamente pronunciarsi sulla rinunciabilità ad es. del diritto all’immagine. Si può rinunciare per periodi circoscritti, ma non definitivamente. Però, è anche vero che purtroppo quando un’immagine viene per una volta diffusa,
giustificate da interessi generali e pubblici di carattere preminente. Il diritto alla riservatezza, dunque, per la prima volta fu individuato come diritto autonomo rispetto al diritto all’immagine e, sempre per la prima volta, determinò il ripensamento di un altro diritto costituzionalmente garantito: il diritto alla manifestazione del pensiero (art. 21 Cost.) – a cui si correla il diritto di cronaca - che, in questo caso, fece un passo indietro rispetto al nuovo diritto riconosciuto. Nell’ambito dei delicati rapporti tra attività giornalistica e diritto alla riservatezza, anche di personaggi pubblici, occorre tenere a mente la circostanza che l’attività giornalistica possa essere effettuata, ma con delle limitazioni – anche di carattere deontologico – che impongono pre-caratteristiche che deve avere l’attività giornalistica per considerarsi lecita:
A livello internazionale e poi, in particolar modo, a livello ancora “non” europeo (la CEE nasce nel 1957) vengono emanate delle fonti di grande rilievo internazionale, capaci di esprimere una embrionale ma fondamentale idea di tutela della vita privata.
- La dichiarazione universale dei diritti dell’uomo (ONU – 1948) ART. 12: “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesione del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze”. Il fine è tutelare la persona da aggressioni in senso morale, che possano provenire dallo Stato o da altri soggetti e che attengono alla sfera della riservatezza (stesso fine delle norme costituzionali italiane – diritto all’identità, inviolabilità del domicilio e della corrispondenza). - La convenzione europea dei diritti dell’uomo e delle libertà fondamentali (1950) ART. 8 - Diritto al rispetto della vita privata e familiare
interpretativa ed evolutiva delle disposizioni (in primis dell’art. 8 della Conv. Europea), proprio facendo leva sul concetto di indeterminatezza di vita privata , che può significare molte cose, era un concetto ancora non chiaro e la Corte ha applicato questa norma in maniera evolutiva (l’interpretazione è evolutiva quando trascende la semplice norma per poter individuare altri principi ad essi connessi e poter dare un interpretazione che sia a passo con i tempi, non dunque una interpretazione letterale). Questo ha determinato un ampliamento delle posizioni giuridiche soggettive tutelate dall’art. 8. Il ruolo della C-EDU è stato particolarmente significativo perché la corte ha saputo cogliere sin da subito l’incidenza delle tecnologie sulla vita privata delle persone. Per cui, se in un primo momento si faceva riferimento al concetto di corrispondenza immaginando solo la corrispondenza cartacea, grazie all’interpretazione evolutiva la Corte ha saputo adattare la stessa norma in materia di comunicazione elettroniche e le sue possibili interferenze. In quel periodo cominciò anche ad evidenziarsi come dovessero essere trattati anche aspetti attinenti alla vita privata di personaggi pubblici (es. principessa Carolina di Monaco, la quale fu ritratta attraverso delle immagini fotografiche nel proprio domicilio. Sebbene la corte federale tedesca aveva affermato che quelle foto potevano essere tranquillamente diffuse perché non attinenti a momenti privati, la CEDU invece dall’analisi evolutiva dell’art. 8 ritenne che si trattò di interferenza illecita privata, evidenziando che “la nozione di vita privata comprende elementi che attengono all’identità dell’individuo, quali il nome o il diritto all’immagine. Inoltre la sfera della vita privata, come concepita dalla Corte, include l’integrità fisica e morale di un individuo; la garanzia offerta dall’art. 8 della Convenzione è principalmente destinata ad assicurare lo sviluppo, senza ingerenze esterne, dei rapporti di ciascuno nei rapporti con i propri simili” ). 1960: In questi anni, prima dunque dell’avvento di Internet, si manifesta questo grande passaggio dalla riservatezza come diritto al riserbo, ad una impostazione che consentisse di prendere spunto dalla pervasività delle tecnologie (iniziano ad essere introdotte le banche dati, attraverso le quali in poco tempo i dati possono essere visualizzate da più persone). Diventa davvero palese la deriva che queste situazioni possono determinare, laddove banche dati o raccolte di dati siano poste nelle mani di regimi autoritari che avevano caratterizzato la prima metà del secolo, dove si erano diffusi i primi trattamenti automatizzati, che consentivano in tempi rapidi la consultazione di dati relativi a singoli individui o nuclei familiari, oltre che ad un uso massivo di strumenti di intercettazione (ad es. la polizia tedesca conservando banche dati relative alle consultazione dei testi delle biblioteche, riuscì a risalire a persone interessate a determinati argomenti e, dunque, sovversive rispetto al regime). Nel corso degli anni 60 cominciò a metabolizzarsi l’idea per la quale la protezione dei propri dati potesse essere concepita come un diritto fondamentale e un pre-requisito per ogni forma di libertà e democrazia. Questo perché a seguito della deriva dei regimi autoritari i cittadini iniziarono a sentirsi in una sorta di bolla trasparente, come una sorta di boccia in cui risiede il pesce rosso, ove in ogni momento può essere visto nella propria sfera privata e nelle attività che svolge quotidianamente (la c.d. sindrome del pesce rosso ). Infatti, alcuni Stati proprio in quel periodo iniziarono ad adottare le prime normative in tema di privacy ( Datalagen svedese del 1973, il Bundesdatenschtzgesetz tedesco del 1977 e il Privacy Act nordamericano) 1970: Si manifestano ulteriori sviluppi tecnologici e la nascita di Internet, e dunque, nuove esigenze della tutela della persona. Si inizia a chiedere se ciascuno sia messo al corrente della esistenza di banche dati, delle modalità di funzionamento e della circostanza che i propri dati siano messi in circolazione. Proprio qui inizia
Il valore della Convenzione è quello di strumento di tutela avverso chi tratta informazioni, raccolte in banche dati, senza il rispetto delle garanzie. Essa è incentrata sul flusso transfrontaliero dei dati. Non si occupa, invece, di ciò di cui si occuperà il regolamento: non si occupa del problema di stabilire i diritti eventualmente degli interessati nella misura in cui ci sia una violazione specifica del loro diritto a mantenere il controllo sulla circolazione dei dati personali. Dunque, non si occupa del diritto degli interessati a controllare l’operatore dei gestori delle banche dati, né della possibilità di subordinare il trattamento dei dati al consenso dell’interessato. Iniziano, dunque ad affacciarsi altre esigenze: si vede che nonostante l’importanza della Convenzione di Strasburgo, essa non trattava tutta una serie di circostanze importanti per la protezione dei dati personali, una fra tutte il consenso. 1990: Per effetto di questa rinnovata esigenza che veniva avvertita da tutti gli Stati Europei, comincia a delinearsi quella che è la prima Direttiva (la c.d. “Direttiva madre in tema di privacy”) la Direttiva 95/46/CE , con lo specifico fine di armonizzare il livello di tutela dei diritti delle persone riguardo al trattamento dei dati personali. Infatti, mai come in questa occasione, parlare di mercato unico e di libera circolazione – in questo caso delle informazioni – significava tentare di creare un filo conduttore tra legislazioni tanto frammentate e tanto eterogenee. L’obiettivo della Direttiva madre era indurre gli Stati membri ad adottare regole comuni e condivisi in materia di trattamento dei dati personali e quindi assicurare un livello uniforme di tutela, eliminando barriere nazionali alla loro circolazione. Il limite della Direttiva, tuttavia, era la sua staticità: stabiliva una relazione poco dinamica tra il titolare del trattamento e il c.d. “interessato” (cioè colui che consente l’accesso ai propri dati), incentrata sul consenso (mentre nella Direttiva madre il consenso aveva un ruolo centrale, era la principale fonte che legittimava qualunque trattamento; attualmente il consenso ha perso centralità e si affianca ad altre basi giuridiche di trattamento. A sua volta, sempre a livello europeo, la Direttiva fu integrata con altri atti normativi:
telecomunicazioni.
Quadro di partenza Il General Data Protection Regulation (GDPR) è finalizzato a riordinare e razionalizzare la materia dei dati personali. Questo riordino è avvenuto anche recependo molti degli orientamenti della CGUE. Ancor più che in altre materia, qui si suole dire che la CGUE abbia svolto un ruolo di supplenza politica, anticipando con le sue decisioni quelli che sono stati poi gli orientamenti recepiti a livello di regole normative nel regolamento. L’esigenza è quella di assicurare una applicazione omogenea della normativa vigente, con la finalità di creare un clima di fiducia nello sviluppo economico degli ambienti online. Questo regolamento si colloca, come molti altri atti normativi europei, nell’ottica di migliorare in generale tutte le attività che vengono svolte nell’ambito del mercato unico, creando un clima di maggior fiducia ad es. nel campo dei consumatori, degli operatori, nell’ambito delle attività economiche. Infatti, un quadro giuridico incerto costituisce un freno nello sviluppo dell’economia, in particolare, in quella digitale. Differentemente dalle direttive, che richiedono un atto di recepimento, la scelta del regolamento consente armonizzazione ma, ancor di più, uniformazione del diritto degli stati europei, tentando di eliminare già in radice anche piccole differenze. C’è da dire, però, che anche il regolamento lascia dei piccoli spazi di manovra riservati ai vari stati membri: a) In determinate questioni: gli stati membri devono comunque conformarsi ai criteri direttivi fissati dal regolamento stesso, ma modellando alcune norme sulla base delle regole fissate nel proprio ordinamento (ad es. formazione del contratto, problematiche relative alla responsabilità civile, ecc.). b) Aspetti sanzionatori: ciascuno stato membro disciplina diversamente il regime sanzionatorio, ad es. preferendo misure amministrative piuttosto che misure penali, ecc. Con il regolamento, dunque, si intende rafforzare la fiducia nelle transazioni elettroniche del mercato interno assicurando la protezione dei dati personali e aumentando così l’efficacia dei servizi online pubblici e privati nell’UE. Il regolamento stabilisce dei principi guida e prevale in caso di conflitto di norme su una serie di altri atti normativi e tuttavia si coordina con altre fonti normative di rango europeo, tra queste rientra anche il Regolamento 910/2014 in materia di identificazione elettronica e servizi fiduciari delle transazioni elettroniche nel mercato interno e che abroga la direttiva 1999/93/CE. Questi due regolamenti indicano l’intento del legislatore europeo di creare un mercato unico digitale, rimovendo gli ostacoli giuridici costituiti dalla disomogeneità delle norme applicabili. Oltre a ciò emerge anche quello che è un tentativo molto spiccato – intrapreso dalla CGUE e poi chiarito dal regolamento – di cercare di conferire un approccio globale alla protezione dei dati personali, cioè un approccio che vada anche al di fuori dei meri confini dell’UE – laddove possibile – proprio in riferimento dei principi fondamentali stabiliti dalla Carta di Nizza e poi chiariti dal TUE. I “considerando” Come possiamo notare, come tutti i regolamenti europei, anche questo è preceduto da una serie di “ Considerando ”, ossia una serie di premesse. Essi non rappresentano in sé delle regole vincolanti, ma fanno parte integrante del regolamento e fungono da ausilio in termini interpretativi. Svolgono un ruolo particolarmente rilevante, poiché utili nella migliore comprensione delle norme giuridiche inserite nel regolamento. Accanto al titolo di ogni articolo sono indicati uno o più “considerando” che consentono una
migliore interpretazione, esemplificando ciò che viene espresso dalla norma giuridica. Fungono da premessa alla norma giuridica, dando idea della ratio che il legislatore ha voluto perseguire. Considerando 4: Indica un significativo mutamento di ratio del regolamento, esplicitando l’esigenza di contemperamento tra gli interessi in gioco rispetto all’attività del trattamento dei dati. Si pone l’accento sulla ineliminabile pervasività delle tecnologie informatiche nell’uso dei dati personali con cui la regolamentazione deve confrontarsi. Non si richiede più la semplice protezione del semplice riserbo, ma richiede un tentativo di tecniche di controllo della diffusione dei dati, che tuttavia vanno rapportate alla circostanza che la protezione dei dati personali non rappresenta un diritto prevalente rispetto ad altri ritenuti altrettanto fondamentali. Il trattamento dei dati personali dovrebbe essere al servizio dell'uomo. Il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta, sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, la protezione dei dati personali, la libertà di pensiero, di coscienza e di religione, la libertà di espressione e d'informazione, la libertà d'impresa, il diritto a un ricorso effettivo e a un giudice imparziale, nonché la diversità culturale, religiosa e linguistica. Questo considerando va letto in ottica europea e non in quella nazionale: già il riferimento alla “funzione sociale” per i civilisti italiani sembra un espressione un po’ strana, perché abituati ad indicare la funzione sociale soprattutto nell’istituto della proprietà, qui invece si vuole andare al di là di questa idea. Cioè quella di ricordare a tutti che la protezione dei dati personali comunque non rappresenta una prerogativa assoluta e va, dunque, bilanciata di volta in volta con altre libertà altrettanto ritenute frutto di principi fondamentali, come ad es. la libertà di pensiero (correlata all’attività giornalistica). Principio di Accountability Il GDPR ha introdotto il principio dell’ accountability , cioè ha trasferito in capo al titolare e al responsabile del trattamento i rischi derivanti dal trattamento dei dati personali nel contesto tecnologico odierno, ed i costi relativi al loro contenimento in funzione preventiva del danno a diritti e libertà fondamentali della persona. Secondo tale principio il titolare e il responsabile del trattamento devono mettere in atto e dimostrare di aver messo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio […] tenuto conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, della probabilità e della gravità dei rischi per i diritti e le libertà delle persone fisiche (art. 32 GDPR). Tali misure tecniche e organizzative adeguate al rischio cui sono esposti i dati trattati, dovranno essere adottati sin dal momento preparatorio e progettuale dell’attività di trattamento (c.d. privacy by design ). Il titolare è, altresì, tenuto ad adottare impostazioni predefinite idonee a limitare (quantitativamente e qualitativamente) il trattamento ai soli dati necessari, limitando al contempo gli accessi da parte di terzi ai suddetti dati nonché la durata di conservazione degli stessi ( privacy by default );
contempo strumento principe per la piena integrazione economica e il buon funzionamento del mercato interno, in particolare il commercio online. Art. 4 – Definizioni. Nozione di archivio Con la tecnica delle definizioni, tipicamente europea, è lo stesso articolo 4 a fornire la nozione ampissima di “archivio” come “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”. Il legislatore ha inteso considerare qualsiasi attività sistematica avente ad oggetto dati personali, inclusa anche la mera raccolta di essi, indipendentemente dall’impiego di strumenti automatizzati per il compimento di successive elaborazioni e indipendentemente anche dalla località in cui vengono conservati questi dati, prescindendo, dunque, dai limiti geografici. Difatti, il considerando n. 15 afferma che “ Al fine di evitare l'insorgere di gravi rischi di elusione, la protezione delle persone fisiche dovrebbe essere neutrale sotto il profilo tecnologico e non dovrebbe dipendere dalle tecniche impiegate. La protezione delle persone fisiche dovrebbe applicarsi sia al trattamento automatizzato che al trattamento manuale dei dati personali, se i dati personali sono contenuti o destinati a essere contenuti in un archivio […]”. Dunque, si afferma il principio di neutralità tecnologica: cioè, i mezzi materiali utilizzati non rilevano ai fini di un eventuale esclusione dall’ambito di applicazione materiale del regolamento. Ciò per evitare l’insorgere di rischi di elusione. Articolo 2 – Esclusioni (v. art. sopra) Nonostante l’ampiezza di definizione utilizzata dal legislatore quanto all’ambito materiale, lo stesso legislatore indica quali siano gli ambiti esclusi dal regolamento della protezione dei dati. Se è vero che non sono rilevanti i mezzi utilizzati, il legislatore europeo pone attenzione a due aspetti: a) Finalità del trattamento (lett. a) dell’art. 2, co. 2 ) ove vi sono una serie di ipotesi nelle quali il regolamento non trova applicazione, a garanzia di interessi diversi ed ulteriori rispetto alla tutela dei dati personali (es. trattamenti effettuati per attività che non rientrano nell’ambito di applicazione del diritto UE in ossequio al c.d. principio di attribuzione ). b) Qualificazione del soggetto che procede al trattamento: in quanto vengono in rilievo i trattamenti effettuati da persona fisica a carattere esclusivamente personale o domestico. Questi due criteri, alle volte, sono combinati tra loro: sono riferiti ad attività poste in essere dagli Stati in materia di politica estera, di sicurezza comune, prevenzione e perseguimento di reati. Dunque, non si applica il regolamento perché vi è un interesse comune maggiore rispetto all’interesse individuale alla protezione dei dati. Sempre sotto il profilo materiale il regolamento si interseca con ambiti tangenti, altre fonti normative che trattano sempre dell’ambito materiale:
Tra i vari atti normativi, il GPDR assume il ruolo di disciplina guida ai cui principi e norme devono adeguarsi tutti gli atti giuridici dell’UE applicabile al trattamento dei dati personali. Ad es. nella Direttiva sul Commercio Elettronico (dir. 2000/31/CE) (art. 12-15): al fine di dare impulso al settore del commercio elettronico, si è esimevano da responsabilità gli Internet Provider (ISP) , che offrono accesso alla rete, ovvero ne forniscono alcuni servizi fondamentali (e-mail, chat) con modalità c.d. di mere conduit (ossia di semplice trasporto delle informazioni caricate in rete da altri), coaching (memorizzazione temporanea delle informazioni caricate in rete da altri al fine di facilitare l’inoltro ad altri utenti) e hosting (memorizzazione e anche a lungo termine delle informazioni caricate dagli utenti) però, non in maniera generalizzata ma in base al tipo di attività che essi effettuavano: l’esenzione è valida sempre che i providers non intervengano attivamente nell’attività di circolazione e diffusione dei contenuti da altri incaricati (es. caso Google Spain). Dunque, i trattamenti esclusi ricalcano in larga parte le previsioni della dir. del 1995, talvolta presentando anche la medesima formulazione letterale, finendo per riproporre alcuni quesiti interpretativi. LETT. (A): il primo trattamento eccettuato è individuato in negativo e costituisce diretta applicazione del c.d. principio di attribuzione enunciato nell’art. 5, par. 2 TUE. Ciò significa che, la regola generale è che gli stati membri esercitano la loro sovranità in determinate materie nelle quali hanno competenza e realizzano degli obiettivi specifici. Ciò significa che, quando vi sono delle area di competenza esclusiva degli Stati membri l’UE non interviene; tuttavia, quando gli Stati non riescono a perseguire singolarmente degli obiettivi che sarebbero meglio perseguiti a livello europeo allora entra in gioco la normativa europea (in via esclusiva o in via concorrente). Fatta questa premessa, prima del Trattato di Lisbona queste competenze non erano state adeguatamente divise tra stati e UE, solo con questo Trattato vi è stata una indicazione di massima delle aree di competenze. In tale contesto la tutela dei dati personali viene espressamente prevista nell’art. 16 TFUE ove si dispone – in ossequio al principio di attribuzione – che il Parlamento Europeo e il Consiglio stabiliscono le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale da parte delle istituzioni, degli organi e degli organismi dell’UE, nonché da parte degli Stati membri nell’esercizio di attività che rientrano nel campo di applicazione del diritto dell’UE, e le norme relative alla libera circolazione dei dati personali. LETT. (B): il regolamento non si applica ai trattamenti effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito della c.d. azione esterna dell’UE (disposizioni specifiche in materia di politica estera e di sicurezza comune). LETT. (D) : il regolamento non si applica se sussistono “competenze riservate” in riferimento alle attività delle autorità ai fini di prevenzione, indagine, accertamento o perseguimento dei reati. L’esclusione sembra pensata in relazione ai trattamenti di dati volti al contrasto di attività di natura terroristica ed è probabile che sia il frutto di accordi con altre autorità internazionali, soprattutto statunitensi, finalizzato a consentire rapporti di collaborazione tra i diversi Stati. LETT. (C) UTILIZZO PERSONALE O DOMESTICO: Trattamento effettuato dalla persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico. E’ l’aspetto che ci interessa di più perché fa riferimento a rapporti interprivatistici. Qui ritroviamo il bilanciamento fra interessi contrapposti : tutela della riservatezza della persona e libertà di informarsi (compresa la libertà di raccogliere informazioni utili o necessarie alla vita di relazione) sempre
1. _Il presente regolamento si applica al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione. (C22)
ART. 4, n. 16 – Stabilimento principale : a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale; b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento; Il punto fondamentale, dunque, non è indicare soltanto dove sia collocata l’amministrazione centrale, perché se poi le decisioni sulle finalità, sui mezzi di trattamento, ecc. siano adottate in un altro stabilimento, questo deve essere considerato quello principale. Infatti: CONS. 36: “[…] Lo stabilimento principale di un titolare del trattamento nell'Unione dovrebbe essere determinato in base a criteri obiettivi e implicare l'effettivo e reale svolgimento di attività di gestione finalizzate alle principali decisioni sulle finalità e sui mezzi del trattamento nel quadro di un'organizzazione stabile”. Ai fini dell’individuazione del concetto di stabilimento può affermarsi che esso abbia collegamenti flessibili con la nozione di “controllo” (cioè chi effettivamente esercita il controllo su queste attività di individuazione delle finalità del trattamento) in quanto l’elemento descrittivo è dato dall’esercizio effettivo e reale dell’attività. (Es. in uno scenario in cui il responsabile del trattamento è stabilito in Austria, ma fa effettuare il trattamento ad un incaricato stabilito in Germania, il diritto applicabile deve essere individuato in quello che viene effettuato concretamente in Germania. Lo scenario, invece, in cui il responsabile del trattamento stabilito in Austria apre un ufficio di rappresentanza in Italia, che organizza tutti i contenuti italiani del sito Web e gestisce le richieste degli utenti Italiani, le attività di trattamento svolte dall’ufficio italiano sono effettuate nel effettuate nel contesto dello stabilimento italiano e, dunque, a quelle attività si applicherebbe il diritto italiano). A questi risultati è giunta la CGUE con alcune sue pronunce:
- Google Spain (CGUE 13 maggio 2014 C-131-12) sentenza principalmente nota per la consacrazione del diritto all’oblia, ma rilevante anche ai fini della nozione del concetto di stabilimento. Si pone il problema della qualificabilità come stabilimento della società Google Spain, aperta in Spagna da Google Inc. per la promozione della vendita di spazi pubblicitari proposti dal motore di ricerca agli abitanti di tale Stato membro. Google affermava che non si potesse parlare di stabilimento in senso tecnico poiché il trattamento dei dati veniva effettuato da Google Inc., senza alcun intervento da parte di Google Spain, la cui attività era limitata alla fornitura di un sostegno all’attività pubblicitaria del gruppo Google; attività sostanzialmente diversa dal servizio tipicamente offerto dal motore di ricerca e che potesse costituire un trattamento. Tuttavia, la Corte si discosta da questa presentazione, rilevando che il concetto di stabilimento non pretende che il trattamento dei dati sia effettuato proprio dallo stabilimento interessato, essendo invece sufficiente che venga attuato nel contesto dell’attività di quest’ultimo. Dunque “nel contesto delle attività di uno stabilimento” può ricondursi a “qualsiasi attività reale ed effettiva, anche minima, esercitata tramite un’organizzazione stabile”.
utilizzata nel paese terzo in cui il titolare del trattamento è stabilito sono insufficienti per accertare tale intenzione, fattori quali l'utilizzo di una lingua o di una moneta abitualmente utilizzata in uno o più Stati membri, con la possibilità di ordinare beni e servizi in tale altra lingua, o la menzione di clienti o utenti che si trovano nell'Unione possono evidenziare l'intenzione del titolare o del responsabile del trattamento di offrire beni o servizi agli interessati nell'Unione”. Oltre a ciò, c’è anche un intelligentissimo riferimento del legislatore ad una tematica importante, relativa alla non rilevanza dell’obbligatorietà del pagamento, includendo quindi quei trattamenti che non prevedono il riconoscimento di corrispettivi pecuniari in quanto la merce di scambio e rappresentata dalle informazioni e dati personali. E’ quello il corrispettivo che si paga, visto che i dati personali se trattati in massa hanno un valore immenso (preferenze commerciali, quanto sei disposto a pagare per un bene, ecc.). Quanto, invece, all’ipotesi b) monitoraggio dei comportamenti individuali , nella stessa logica pragmatica del legislatore europeo, questo evidenzia la consapevolezza delle modalità con le quali vengono raccolti ed elaborati i dati personali. In altri termini, si fa riferimento alla circostanza che l0utente nella misura in cui si appresta anche semplicemente ad acquistare un bene e, dunque, ancora prima che venga perfezionato l’acquisto, l’utente per lo stesso fatto della navigazione in Internet lascia delle tracce (c.d. web tracker ) e questo fa in modo di elaborare tali dati di comportamento ed utilizzarli per finalità di natura commerciale (e non solo) che spesso sfuggono anche allo stesso consenso inizialmente prestato. Per accertare la sussistenza di tale attività di controllo del comportamento dell’interessato è opportuno verificare se le persone fisiche sono tracciate anche in attività che consentono la profilazione della persona fisica, in particolare per adottare decisioni che lo riguardano o prevedere preferenze, comportamenti e posizioni personali. E’ da evidenziare, però, che sussistono comunque degli ambiti nei quali è necessario un bilanciamento : es. per i trattamenti svolti per finalità di prevenzione e repressione dei rischi per la sicurezza collettiva o dei fenomeni terroristici. Inoltre, occorre anche evidenziare che non è sempre agevole individuare con quali strumenti applicativi una normativa così rigida possa trovare applicazione rispetto a paesi terzi ove è evidentissimo il divario in termini regolamentari. Ci sono infatti chiaramente delle legislazioni che riescono in maniera illecita ad obliterare a tutte queste regole e, dunque, quando il dato transita in questi paesi il dato ormai è sfuggito al controllo. Si pone in evidenza, pertanto, il rischio che tale tutela sia vanificata dalla circostanza che i dati personali in questione vengano trasferiti presso tali paesi terzi in cui tale normativa più protettiva non trova applicazione. Importante è stato il ruolo, anche qui, della CGUE c.d. Caso Shrems (CGUE 6 ottobre 2015, causa C-362-
poiché non aveva avuto riscontro adeguato, investì della questione la Corte di appello irlandese, la quale fece rinvio pregiudiziale alla CGUE. La Corte evidenziò che l’accertamento della Commissione non fosse preclusivo, cioè il fatto che ci fosse tale accertamento non precludeva la possibilità che un privato cittadino potesse porre in dubbio l’accordo stesso, ed anzi, la Corte si rese conto che un simile trasferimento fosse incompatibile con gli artt. 7 e 8 della Carta di Nizza (rispetto del riserbo, della vita privata, ecc.) poiché “ autorizzava in modo generale la conservazione e trasferimento di tutti i dati di tutte le persone senza alcuna limitazione o criterio oggettivo che consentisse di delimitare l’accesso alle autorità pubbliche” , dichiarandone dunque l’invalidità.
La parte sui principi generali è contenuto al Capo II (art. da 5 a 11). Soltanto all’art. 5 sono indicati i principi che si applicano a qualunque tipologia di dato e che attengono anche alle modalità del trattamento. All’art. 6, invece, si individuano quelle che poi si chiameranno “condizioni di liceità o presupposti”. Dagli artt. 7 a 11 il legislatore si concentra su vari aspetti (consenso, consenso dei minori, categorie particolari di dati). ART. 5:
_1. I dati personali sono: (C39) a) trattati in modo lecito, corretto e trasparente nei confronti dell'interessato («liceità, correttezza e trasparenza»); b) raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all'articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali («limitazione della finalità»); c) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»); d) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»); e) conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell'interessato («limitazione della conservazione»); f) trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).