Internet of Things e l’evoluzione della normativa sulla privacy

Internet of Things e l’evoluzione della normativa sulla privacy

Sommario: Premessa – 1. L’influenza dell’innovazione nella società: concetti a confront – 2. Il quadro normativo generale in materia di privacy – 3. La privacy: gli strumenti di tutela – 4. La privacy e il diritto all’oblio – 5. Le origini dell’ Intelligenza artificiale: ricostruzione storica – 6. IOT: Definizione tecnica degli “Internet of Things” – 7. Segue…IOT: analisi dei dispositivi – 8. La cd. Valutazione di impatto – 9. L’index e l’indicizzazione dei dati

 

Premessa

L’evoluzione tecnologica degli ultimi decenni, con la sua prorompente avanzata, ha travolto la nostra vita quotidiana in tutti i suoi aspetti, compresi quelli del vivere sociale. In verità l’idea di una società “smart” è sempre stata ritenuta da molti il punto di svolta, per una migliore convivenza socio-economica tra gli individui, eliminando così le sperequazioni sociali e le disparità della società odierna. Attualmente la scelta di puntare una buona fetta del mercato sulle nuove tecnologie è stata stimolata prima di tutto dall’intenzione di migliorare la vita dei singoli individui, creando benessere e allo stesso tempo creando nuove e più interessanti opportunità di lavoro. Nella società attuale il mondo giuridico si miscela a quello sociologico, divenendo il primo scudo del secondo. I più “catastrofisti” parlano di sostituzione genetica dell’essere umano, che si protrae fino alla completa involuzione umana a fronte di un avanzamento della nano-robotica e della robotica.

In quest’ottica, l’inserimento veloce e repentino di queste nuove tecnologie, ha posto il legislatore in una posizione concretamente arretrata che, suo malgrado, non riesce a mantenere i ritmi di questa ondata.  Quest’ultima considerazione nasce dalla circostanza che vede il complesso normativo generale in materia, ancora improntato su di una concezione di lavoro manuale o para-manuale oltre alle ripercussioni che può avere sul versante della tutela della privacy, l’avvenuto inserimento di questi dispositivi sulla rete internet.  Nell’ottica della nostra Costituzione, il legislatore è colui che traduce in termini giuridici la vita quotidiana, ricavando da essa norme giuridicamente vincolanti per garantire un vivere civile nel pieno rispetto delle posizioni giuridiche soggettive individuali e collettive dei cittadini. Nonostante quest’ultima concezione possa sembrare obsoleta, ormai per l’inserimento di fonti di diritto internazionale ed Europeo, essa rappresenta un punto di partenza per tener sempre presente “cosa andrebbe fatto e in che modalità”. Il deficit normativo dell’intero impianto legislativo è stato sorretto negli ultimi anni dalle fonti di derivazione Europea, ma non solo! Essa ha trovato una grande alleata nella suprema Corte di Cassazione che più volte, insieme ad alcune autorità amministrative indipendenti (in particolare il Garante per la protezione dei dati personali), è intervenuta a colmare i vuoti lasciati dalla mancanza di norme in materia o a chiarire l’oscurità letterale e semantica delle stesse, nel pieno rispetto del principio del “no liquet”.

1. L’influenza dell’innovazione nella società: concetti a confronto

Prima di proseguire, bisogna prima di tutto, distinguere l’innovazione tecnologica da quella sociale. Con la prima si intende un processo scientifico di ideazione, creazione e produzione di nuovi dispositivi o manufatti che portano ad inserire nel mercato e nella società, un prodotto che prima non esisteva. Con la seconda, viceversa, si intende un processo di ideazione, analisi e conduzione di progetti, che sono volti a migliorare procedimenti e prodotti già esistenti attraverso l’accoppiamento/fusione o la cd “applicazione”. La questione che lega comunque i due concetti sono i casi in cui potrebbero porsi problemi di normazione, in quanto gli stessi rappresentano comunque un qualcosa che, se da un lato migliorano il settore dove operano, dall’altro, creano enormi problemi, in particolare sul versante della privacy[1]. Per questo dal 2013 si è incominciato a parlare di “IoE – Internet of Everything” quale concretizzazione del “PET – Privacy Enhancing Technologies”  (progetto promosso dall’UE nel 2007[2]).

2. Il quadro normativo generale in materia di privacy

Il codice della privacy figlio dei tempi che furono, riassunto concettuale stratificato nel tempo sin dal 1975 è oggi strumento indispensabile per la tutela dei singoli individui. Va premesso che in chiave storica, la privacy ha attraversato le epoche, nascendo quale semplice diritto ricavato dalla lettura illuminata di alcuni giuristi sino ad evolversi nel concetto così come lo conosciamo tutti. Partendo dalla Dichiarazione Universale dei diritti umani fino alla Convenzione Europea dei Diritti dell’Uomo (C.E.D.U.) del 1950 e in seguito al Patto internazionale sui diritti politici e sociali del 1966, la privacy, specialmente nel continente Europeo ha avuto uno sviluppo pressoché tardivo trovando come prima nazione di approdo, aperta a tale novità, la Svezia nel 1973  coinvolgendo poi in sequenza la Germania nel 1977, la Francia, la Danimarca e la Norvegia nel 1978, il Lussemburgo nel 1979 fino ad arrivare ad una prima risposta collettiva da parte della Comunità Economica Europea sia con la risoluzione del Comitato dei ministri del Consiglio d’Europa del 26 settembre 1973 “sulla protezione della vita privata delle persone fisiche rispetto alle banche dati elettroniche nel settore privato” sia con la risoluzione del 29 settembre 1974 riferita alle banche dati nel settore pubblico[3]. Nel nostro ordinamento questa novità ha tardato ad arrivare, sia perché tale concetto provenendo da sistemi di Common Law non rientrava nel nostro bagaglio culturale oppure perché vi erano motivi collegati ad stratificazione giuridica di matrice romanistica che non concepiva tale dimensione di “vita privata”. Fatto sta che il legislatore, in netto ritardo, si ostinava a non intervenire, facendo risultare l’ordinamento sprovvisto di tale tutela dell’individuo. Questa mancanza assumeva una particolare dimensione internazionale in quanto, il nostro ordinamento aveva aderito sia al Patto internazionale sui diritti politici e sociali sia alla C.E.D.U. che ne facevano menzione e che imponevano agli Stati aderenti l’adozione di una serie di strumenti per la tutela dei diritti in esse contenute. Si può, quindi, individuare l’anno zero del cd. “diritto alla riservatezza”, il 1975. In particolare, il 27 maggio 1975[4], in cui per la prima volta la Suprema Corte di Cassazione, dopo un pregresso orientamento volto ad escludere l’esistenza e la presenza di una tutela autonoma della riservatezza, addiviene ad una decisa inversione di rotta. Questa sentenza, a livello giuridico ebbe due diverse ripercussioni, da un lato ammise il riconoscimento della riservatezza quale diritto autonomo ivi compresa una sua tutela, dall’altro, affermò l’esistenza attraverso la lettura sistematica di alcune norme facenti parte del nucleo duro del corpo Costituzionale di una base giuridica in essa. A livello sociale tale sentenza creò non poche perplessità in quanto formò oggetto di discussione in quanto il diritto alla riservatezza  in gioco era quello della ex-imperatrice Soraya ripresa e fotografata in atteggiamenti intimi con un famoso regista Italiano. La ricorrente lamentava tale violazione in quanto il materiale era stato reperito all’interno dell’abitazione della stessa senza autorizzazione. Tralasciando i fatti alla sua base, ciò che è rilevante giuridicamente sono gli effetti che si sono esplicati dopo tale pronuncia, in quanto, incomincia ad insediarsi all’interno del nostro ordinamento il concetto di riservatezza che, in seguito, sull’onda del diritto internazionale ed Europeo verrà a configurarsi nel cd “diritto alla privacy”. Successivamente a tale pronuncia incominciò a stratificarsi, intervento su intervento, legislativo e non, il concetto di riservatezza e degli strumenti per la sua tutela. Un primo intervento a livello europeo fu la direttiva comunitaria 1995/46/CE nella quale per la prima volta si sancì il diritto alla privacy quale diritto inviolabile di tutti cittadini Comunitari, facente parte del più alto “diritto all’autodeterminazione individuale”. Dopo tale intervento si definì quale diritto alla privacy, l’interesse di ciascun soggetto a mantenere la sfera della propria vita privata e intima al riparo da indiscrezioni o ingerenze altrui tali da ledere la dignità, la reputazione propria e dei propri familiari. Tale direttiva recepita nel nostro ordinamento con la legge 675/1996 comportò la contestuale emanazione della legge 676/1996 con la quale il Parlamento delegava il governo a redigere, strutturare ed emanare un corpo normativo di settore e di adeguamento legislativo sulla base del diritto alla “privacy”. Nonostante tale intervento, rappresentò un innovazione all’interno del nostro ordinamento, tale corpo normativo si prestò sin da subito ad innumerevoli critiche. Tali critiche si focalizzarono in primis, sulla troppa celerità con la quale l’ordinamento Italiano recepì la direttiva e, in secundis, sul discutibile modo in cui furono scritte le norme dimenticando di applicare un processo di armonizzazione del contenuto alla disciplina previgente. Al fine di correggere tali errori, anche sul piano Europeo incominciò a muoversi qualcosa, riconoscendo l’inadeguatezza di quanto precedentemente emanato. Tale confronto giuridico, si concretizzò nella direttiva 2002/58/CE che fu trasposta dal nostro ordinamento con il d.lgs 196/2003. Il nuovo testo normativo, suddiviso in tre parti fondamentali e otto allegati, nella prima e terza parte raccoglie le norme già presenti nella preveggente normativa in materia, mentre la seconda parte contiene la regolamentazione puntuale dei diversi settori, ponendo un correttivo importante a quanto tralasciato e trascurato dalla precedente direttiva. Dalla lettura del codice si evince che tale corpo normativo, trova fondamento su due principi essenziali, il primo rappresentato dalla dignità della persona e il secondo rappresentato dal trattamento necessario dei dati personali. Il primo va inteso come mentre il secondo va inteso quale principio secondo il quale chiunque tratti dati di uno o più soggetti deve compiere su di essi solo ed esclusivamente le operazioni strettamente necessari al perseguimento del fine prefissato è preannunciato dall’interessato Un ulteriore correttivo rispetto alle precedenti statuizione sono la distinzione dei diversi dati, oggetto di trattamento e protetti dal codice. I dati protetti si distinguono in dati: 1) personali intese quali informazioni relative a persone fisiche, persone giuridiche, enti od associazioni, identificati o identificabili, anche indirettamente, mediante riferimenti a qualsiasi altra informazione, ivi compresi i numeri di identificazione personale; 2) sensibili intese quali dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazione ad organizzazioni a carattere religioso, filosofico, politico, sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale; 3) giudiziari intese quali dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato. Bisogna precisare che fino al 2011, il codice della privacy si applicava qualsiasi dato riferito a persona fisica o giuridica trattato da un soggetto stabilito in Italia salvo i dati contenuti nel proprio cellulare o nella sua rubrica. Con il decreto legge 70/2001[5]  furono modificati i principi territoriali alla base del codice della privacy prevedendo che il trattamento dei dati personali relativi a persone giuridiche a prescindere dalla lettura dei dati stessi effettuati nei rapporti intercorrenti esclusivamente tra i medesimi soggetti per finalità amministrativo-contabili o in merito a scopi connessi allo svolgimento delle attività di natura organizzativa, amministrativa, finanziare e contabile della stessa non soggiacessero alle disposizioni del codice. La nostra disciplina rispetto a quella degli altri paesi europei si presenta diversa in alcuni punti e convergente in altri. Ad esempio la Gran Bretagna, ha adottato, rispetto all’Italia che ha adottato un sistema di opt in[6], un sistema basato sull’opt-out dove l’interessato quando riceve una comunicazione, riceve altresì contestualmente anche un’informativa alla quale dovrà essere prestato o meno il consenso. Il codice del 2003 inoltre rispetto alla previgente disciplina individua in modo preciso le tre figure principali del sistema di smistamento e trattamento dei dati e cioè il titolare intesa quale persona fisica o giuridica a cui competono le decisioni in tema di scopi, modalità di trattamento e profili di sicurezza; il responsabile inteso quale soggetto, interno o esterno all’ente, preposto dal titolare alle operazioni di trattamento; e infine l’incaricato inteso quale persona fisica nominata cura del titolare o del responsabile mediante designazione individuale in forma scritta che gestisce effettivamente dati ed effettua e attua le norme di sicurezza del codice. Per controbilanciare gli interessi in gioco l’art.7 del codice prevede che l’interessato possa esercitare il diritto di accedere ai propri dati personali ed ottenere l’eventuale conferma dell’esistenza degli stessi oltre a riconoscere allo stesso il diritto ad indagare ed essere edotto sulle origini degli stessi dati. In un sistema così strutturato il tutto funziona solo laddove le tre figure e gli interessati collaborino fra loro. L’art. 8 sembra appunto ricalcare tale affermazione prevedendo che tali richieste possano essere fatte ai soggetti del trattamento senza particolari formalità.

3. La privacy: gli strumenti di tutela

L’intelaiatura del codice della privacy, così come strutturata dal 2003 e s.s.m.m., si presenta come un sistema complesso governato dai soggetti preposti alla gestione dei dati. Tale sistema funziona solo se le regole al suo interno vengono rispettate in ogni suo punto con l’ausilio operativo delle linee guida dell’autorità garante preposta. Un sistema così complesso è facile che sviluppi punti critici, o meglio, veri e propri bag (anomalie o inceppi), specialmente se rapportiamo il loro utilizzo alle nuove frontiere della tecnologia e innovazione moderna. Partendo da Internet arrivando agli Internet of things (cd IoT) il sistema normativo si è dovuto presentare pronto anche se l’evoluzione normativa non lo era. In tale ottica, è giusto rammentare il sistema così congeniato dal codice del 2003, prima dell’avvento del nuovo regolamento 679/2016 il quale ha integrato la disciplina in materia. Come affermato dalla Corte Costituzionale più volte, un diritto non può ritenersi esistente senza una corrispondente tutela giudiziaria o adeguata tutela stragiudiziale. Partendo da questa massima possiamo analizzare la disciplina in materia di tutela dell’interessato insita nell’art.15 del codice privacy (D.lgs 196/2003). Secondo quest’ultimo “chiunque cagioni un danno per effetto del trattamento dei dati è tenuto al risarcimento ai sensi dell’art.2050[7] cc”.

Quindi nella mentalità del legislatore vi era una vera e propria intenzione di intersecare il codice civile con il codice privacy cercando di armonizzare un sistema di nuovo innesto con un sistema di tutele preesistenti. Tale operazione non è stata di facile applicazione e non ha di certo reso il legislatore immune da critiche e da problemi di “simbiosi sistematica”. Con quest’ultimo termine voglio intendere la capacità di coesistenza che deve sussistere in un sistema normativo complesso, stratificato nel tempo, organizzato formalmente in compartimenti stagni, distribuito sostanzialmente sulla base di materie autonome e indipendenti che convergono l’una all’altra, al fine di garantire la completezza e la coerenza di sistema. Questo compito così arduo spetta in prima battuta al legislatore e in seconda battuta ma, solo in via sussidiaria e alternativa, alla giurisprudenza. Si può dire che essenzialmente questo è stato il primo vero problema nel trapianto della disciplina “privacy” nel nostro ordinamento ed è proprio per questo che il legislatore non è stato possibile esimersi dal richiamare le norme già presenti nel sistema. Le scelte di sistema e la ratio sottesa alle scelte del legislatore sono di difficile decriptazione e la loro lettura in un senso piuttosto che in un altro può essere più o meno condivisibile. Ritornando alla lettura dell’art. 15 del codice, possiamo innanzitutto analizzarlo sul piano probatorio. Dalla norma si evince che l’interessato ha il dovere di dimostrare unicamente l’avvenuta violazione delle norme del codice, mentre spetterà al titolare del trattamento dimostrare di aver adottato tutte le misure di sicurezza idonee ad evitare il danno. In questo caso, parte della dottrina[8], riconosce una forma di responsabilità aggravata tale da causare un’inversione dell’onere probatorio. Tale inversione si concretizza nella dimostrazione da parte del titolare di aver adottato tutte le precauzioni contro i danni prevedibili[9]. Sotto questo punto di vista ai fini dell’esonero della responsabilità civile ciò non è sufficiente, in quanto occorre dimostrare ed esibire i documenti che certifichino l’adozione di tutte quelle misure volte a ridurre al minimo i rischi. In tale disciplina entra a gamba tesa l’art. 31 del codice della privacy, il quale dispone che i dati personali oggetto del trattamento siano custoditi e controllati dal titolare e dal responsabile. Tale norma va letta in combinato disposto con l’art. 32 il quale dispone un controllo ancora più stringente imponendo ai fornitori di servizi di comunicazione elettronica accessibili al pubblico, una serie di misure di sicurezza specificamente elencate. Un esempio ci è dato dall’articolo 34 il quale indica specificamente le misure minime di sicurezza da rispettare per il trattamento elettronico dei dati come: a) Autenticazione informatica oltre riconoscimento dei soggetti legittimati; b) Adozione di procedure adeguate di gestione delle credenziali di autenticazione; c) Utilizzazione di un sistema di autorizzazione; d) Aggiornamento periodico dei soggetti incaricati al trattamento dei dati conferiti in loro gestione; e) Protezione degli strumenti elettronici e dei dati rispetto ai trattamenti illeciti; f) Adozione di procedure per la custodia di copie di sicurezza per il ripristino; g) adozione del cd Documento Programmatico sulla Sicurezza (DPS) [ormai obsoleto e superato con il GDPR 2016/679]; h) Adozione di tecniche di cifratura o codici identificativi. Nonostante tale elenco risultasse esaustivo sotto diversi punti di vista, fra i quali quello della gestione dei dati aziendali, il legislatore intervenne successivamente per implementare l’art. 34 del codice in quanto tale norma aveva ulteriormente appesantito la gestione di tali dati. Con il DL 112/2008  fu introdotto un ulteriore comma che prevedeva delle misure minime di sicurezza cd semplificate per i soggetti che utilizzano dati personali non sensibili o dati sensibili riferiti ai propri dipendenti. Tali semplificazioni rispetto alla previgente disposizione, si concretizzavano in: a) Istruzioni, con appositi corsi base, agli incaricati del trattamento; b) I sistemi di autenticazione devono essere costituiti da una semplice password correlata ad un solo username; c) Aggiornamento degli antivirus, ogni 12 mesi per i computer connessi e ogni 24 mesi per i computer senza connessione; d) Obbligo di custodia e tenuta dei documenti programmatici sulla sicurezza per l’autocertificazione. Da questa disamina si evince di come il legislatore, sempre “work in progress” in materia, cerca di equilibrare gli interessi in gioco specialmente se di pari dignità costituzionale. Tornando alle misure e alle tutele previste dal codice, l’art. 35 si occupa invece di stabilire le misure minime di sicurezza con riferimento alle operazioni di trattamento effettuate con strumenti non elettronici con un espresso rinvio all’art. 36 che a sua volta rinvia ad un documento allegato che viene aggiornato annualmente dal ministero della giustizia e dal ministero per l’innovazione e le tecnologia. Questa statuizione viene tuttavia a mutare quando si tratta di dati inerenti al traffico telefonico e telematico specialmente se sono conservati per esclusive finalità di accertamento e repressione dei reati. In questo caso, il provvedimento impone al titolare del trattamento l’utilizzo di tecniche di strong authentication, consistenti nell’uso contestuale di almeno due differenti tecnologie di autenticazione (doppio fattore) basate sull’elaborazione di caratteristiche biometriche in modo da assicurare la presenza fisica del soggetto. Allo scadere dei termini previsti dalla legge, pari a sei mesi, salvo prolungamento a 24 in caso di conservazione dei dati di traffico telefonico o, a 12 per il traffico telematico per la repressione dei reati, il fornitore provvederà a cancellare e rendere anonimi i dati di traffico. Su questa tema è intervenuta l’autorità garante per la privacy la quale nel 2009 ha imposto agli amministratori di sistema[10] nel provvedimento, considerando gli amministratori di sistema responsabili di specifiche fasi, rendendo operative delle regole precise per la protezione di quest’ultimi: I) Attribuzione agli amministratori di sistema della qualifica ex legge di responsabili del trattamento; II) Obbligo di designazione individuale dell’amministratore di sistema a cui deve accompagnarsi l’elencazione analitica degli ambiti di operatività; III) Obbligo di trasparenza attraverso la pubblicazione del nominativo dell’amministratore che svolge trattamenti che coinvolgono i lavoratori; IV) Obbligo di verifica periodica delle competenze (con cadenza annuale); V) Obbligo di registrazione degli accessi effettuati al sistema. Le successive modifiche in tal senso del codice, sono state concentrate per la tutela dei dati personali e sensibili gestiti e smistati da sistemi telematici ed elettronici[11]. In tale ottica la L. 166/2009 ha introdotto nell’art. 130 il comma 3-bis con il quale è stato disposto che i dati contenuti negli elenchi telefonici possono essere smistati e trattati per esclusivo uso telefonico[12] per le sole finalità pubblicitarie e commerciali salvo la manifesta dichiarazione dell’interessato a non ricevere tali telefonate. Per quest’ultimo punto il legislatore è intervenuto con il D.P.R. 178/2010 che ha istituito a tutela di tali interessati il Registro Pubblico delle Opposizioni garantendo così la possibilità, per coloro che ritengono tali contatti telefonici particolarmente pregiudizievoli della sfera giuridica personale o insistenti, di non riceverne più con la semplice iscrizione a tale registro. Successivamente a tale intervento, gli unici interventi meritevoli di menzione precedenti al reg. 679/2016, sono avvenuti nel 2012 con la regolamentazione sulla gestione della privacy per le pubblicazioni di dati sul sito degli enti locali e per quanto riguarda le attività svolte dai revisori dei conti[13]. In particolare per quanto concerne il regime di responsabilità il reg 2016/679 all’art. 82 prevede il diritto al risarcimento dell’utente che si ritiene leso nei diritti garantiti dallo stesso ed in specie prevede afferma che “1.Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 2. Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento. 3. Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.”. Dal tenore letterale delle norme su menzionate, prima face, sembrerebbe riaffermare il regime di responsabilità precedente inserito dal nostro ordinamento con il d.lgs 196/2003. Nonostante si ritenga che il nuovo regolamento in materia di privacy non sostituisca il precedente regime bensì lo integri, in specie, per quel che concerne i regimi di responsabilità il nuovo regolamento partendo da una ragione di sistematica logica giuridica ridefinendo i ruoli dei diversi attori del trattamento dei dati ne ridefinisce anche le loro responsabilità.

4. La privacy e il diritto all’oblio

Il diritto all’oblio o nella sua accezione giuridica anglosassone “right to be let alone” ( diritto ad essere dimenticati) è un diritto di nuova generazione. Questa nuova forma di riservatezza nasce dall’esigenza sempre più impellente per il cittadino medio di difendere quanto ha di più prezioso e cioè i propri dati. Dalla nascita di internet ai giorni nostri, il sistema così strutturato ha causato un numero, oserei dire indefinibile di vittime, più o meno gravi, più o meno consapevoli. Tali ripercussioni negative si sono concretizzate nella peggiore delle ipotesi in suicidi o tentati suicidi e nella migliore in problemi psichici e disturbi del comportamento. Come ormai risaputo, ogni azione, comportamento o condivisione sulla rete lascia uno strascico di informazioni tale da sembrare lo strascico di uno lumaca. Le nostre informazioni composte per lo più di bit e big data, si frammentano nella “home internet” come montagne soggette all’erosione lasciando informazioni, più o meno sensibili e protette, a disposizione della collettività o di speculatori. Questo fenomeno ha portato nel corso degli ultimi anni a riconoscere una tutela vera e propria all’utente, il quale attraverso strumenti tipici previsti dalla disciplina sulla privacy, possono chiedere al sistema la criptazione delle informazioni o l’eliminazione completa dei dati anche quelli frammentati. In quest’ultima ipotesi si parla di “diritto all’oblio”. Nel nostro ordinamento i primi casi si sono disvelati essere ricollegati alla grande piattaforma social di “facebook”. Il quantitativo abnorme di informazioni che volontariamente l’utente medio versa e condivide in quella piattaforma ha creato enormi problemi di privacy specialmente nei paesi Europei. La prima ad occuparsi di tale diritto è stata la Suprema Corte di Cassazione che ha riconosciuto e affermato “ viene in considerazione un nuovo profilo del diritto di riservatezza recentemente definito anche come diritto all’oblio, inteso come giusto interesse di ogni persona a non restare indeterminatamente esposta ai danni ulteriori che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata[14]. Con tale affermazione di principio, la Suprema Corte oltre a riconoscere tale diritto non ancora codificato, imposta le condizioni sottese all’esercizio di tale prerogativa. In particolare, si può ricavare: in primo luogo, che la legittimità oggettiva di un informazione o di una notizia vige temporaneamente e che la sua prolungata permanenza nel “word internet” non è (o non può) essere giustificata dal diritto all’informazione; in secondo luogo, che la legittimità soggettiva alla permanenza di tale informazione o dato o/e notizia, resta finchè il soggetto non si adoperi per la cancellazione e il ripristino della situazione quo ante. Tale statuizione di diritto è stata ulteriormente ampliata e sostenuta dalla grande sezione della corte di giustizia dell’Unione Europea la quale il 13 maggio 2014 (C 131/2012)  ha definito tale diritto come “ un diritto supremo dell’Unione Europea nel sistema informatico, inteso quale diritto alla deindicizzazione del dato personale dal motore di ricerca”[15]. Tale pronuncia collega a doppio filo il mondo degli IoT e la privacy, in quanto attraverso l’indicizzazione dei dati gli IoT esercitano le attività che dalla casa produttrice sono destinati ad espletare, ma tali dati possono formare oggetto di tale diritto una volta posti fuori uso i dispositivi? Oppure, una volta che l’utente decida di sostituire il dispositivo traslando tutte le informazioni sul nuovo dispositivo IoT è sicuro che nel precedente dispositivo non vi sia più traccia di tali dati o deve esercitare tale diritto ex art 17 GPDR? Ed è anche a questi quesiti che cercherò di dare risposta nel corso dell’analisi. Ritornando alla ricostruzione, a seguito di tale pronuncia L’unione Europea attraverso l’Autorità Garante ha pubblicato il 14 novembre 2014 le linee guida e di ampliamento della pronuncia. L’ultima e definitiva affermazione si è avuta con il regolamento 679/2016 il quale all’art.17 parla di “diritto alla cancellazione” individuando definitivamente i soggetti preposti alla cancellazione, gli strumenti e infine i criteri di legittimazione e gestione dei dati[16]. Adesso bisogna soltanto attendere la sua applicazione concreta nel nostro ordinamento, comprendendo così la sua efficacia e l’adempimento delle sue finalità garantiste.

5. Le origini dell’ Intelligenza artificiale: ricostruzione storica

L’intelligenza artificiale è stata sempre vista come l’obiettivo assoluto da raggiungere, prefissato nella mente dell’uomo, in data che sembrava non poter essere mai segnata sul calendario. Oggi, guardandoci intorno notiamo che questo futuro non è così lontano, quello che un tempo sembrava irraggiungibile oggi è una realtà concreta e attuale. L’espressione intelligenza artificiale nasce per la prima volta nel 1956 all’università di Princeton in merito ad un convegno in materia di scienza cognitiva. L’avvento della nuova industria negli anni 60 con l’inserimento e l’avanzamento sempre maggiore di macchine volte a sostituire le attività umane, ha portato sempre di più il progresso dell’intelligenza artificiale prima tra le mura delle aziende poi nelle nostre case. In verità si può parlare di vera e propria intelligenza artificiale applicata solo in merito all’evoluzione del personal computer, anche se alcuni ritengono che l’asticella cronologica vada spostata alle macchine calcolatrici. L’applicazione più diffusa dell’intelligenza artificiale, perlomeno in via sperimentale, è stata indirizzata nel settore delle traduzioni, dei calcoli matematici complessi, della gestione e organizzazione delle attività industriali. Oggi invece l’intelligenza artificiale rappresenta lo strumento attraverso il quale il singolo individuo si interfaccia con il resto del mondo, ritrovando l’importanza di quel tempo libero di neoclassica memoria, delegando la maggior parte delle attività giornaliere e lavorative alle macchine. La sostituzione graduale delle macchine all’uomo e visto da alcuni come un vero e proprio complotto ai danni dell’evoluzione naturale umana fino ad ipotizzare l’autodistruzione come extrema ratio. Per altro verso, la maggior parte della popolazione, colta o meno, ritiene l’intelligenza artificiale e le sue applicazioni pratiche un’innovazione da sfruttare e da migliorare in quanto la semplice natura umana non permette allo stesso di raggiungere alcune determinate soglie che prima erano ritenute limiti ovvero di poter riuscire a fare più cose contemporaneamente specialmente se riferite a sistemi di particolare complessità. Quello che oggi riteniamo strumenti indispensabili per la nostra sopravvivenza, un tempo erano disegni e modelli utopistici di innovazione, come lo è lo “smartphone”. Quello che oggi noi utilizziamo con disinvoltura è frutto di un lavoro graduale di innovazione tecnologica. Partendo dal personal computer fino ad arrivare allo smartphone e oltre, ritroviamo un unico filo conduttore rappresentato dall’applicazione dell’algoritmo alle macchine di uso comune. Fino al secolo precedente le applicazioni dell’intelligenza artificiale si concretizzavano in sistemi di analisi volti a far corrispondere le parole scritte a quelle parlate, a sistemi di supporto alla ricerca che attraverso l’algoritmo incrociavano le informazioni all’interno delle banche dati permettendo la fuoriuscita delle informazioni attraverso un filtro semiotico oppure attraverso software per il riconoscimento vocale utilizzato prevalentemente nell’industria della sicurezza personale e immobiliare. Tutti questi passi in avanti, sono basati sui primi lavori di Ross Quillian il quale ipotizzò modello per garantire l’organizzazione dei significati attraverso un processo associativo di parola a significato. Nonostante l’innovazione di questo sistema esso presentava una serie di difficoltà che dovevano essere superate attraverso dei correttivi. I correttivi furono ideati da Marvin Minsky il quale elaborò i “frame” intesi quale struttura per raccogliere riorganizzare secondo vari livelli di obbligatorietà tutte le informazioni che sembrano potenzialmente o direttamente corrispondere ad un determinato concetto. Tale strumento ha permesso di risolvere attraverso sistemi complessi, problemi di qualsiasi entità e struttura. Questi sistemi nonostante l’evoluzione tecnologica sono ancora allo stato attuale la base dei nuovi strumenti di intelligenza artificiale ivi compresi gli “Internet of things”.

6. IOT: definizione tecnica degli “Internet of Things”

L’unione di innovazione tecnologica e sociale la possiamo rinvenire nei cd “IoT – Internet of Things”, i quali rappresentano una nuova concezione di infrastrutture e dispositivi comunicanti fra loro, per l’appunto “smart”, attraverso la rete internet, fibra, wireless o cavi elettrici. I dispositivi collegati possono essere sia mobili che piattaforme fisse che collaborano tra di loro per il coordinamento e lo sviluppo di determinate attività, oltreché alla produzione di determinati prodotti di consumo come avviene nelle imprese 4.0. La struttura elettrica oltreché tecnica degli stessi ha sempre bisogno del controllo e gestione dell’essere umano il quale provvede a dare disposizioni attraverso l’inserimento di informazioni e dati che vengono tradotti dallo stesso dispositivo in “big-data”. Quest’ultimo traguardo è stato possibile attraverso l’espansione virtuale dello spazio di massa a disposizione con conseguente riduzione delle dimensioni fisiche del supporto, garantendo così un assimilazione, consultazione e flusso di dati e big-data. In soldoni, ad un innovazione tecnologica se ne accompagna sempre un’altra, divenendo così innovazione sociale. In merito, nell’ultimo ventennio sono entrati a far parte degli IoT non solo gli smartphone che ne hanno dato l’avvio, bensì anche dispositivi domestici come lavatrici, frizer e televisori. Attraverso l’inserimento di questi particolari dispositivi, si vuole arrivare anche alla creazione di una “smart-house”. La rivoluzione degli IoT è arrivata persino alle automobili che, sempre di più, sono smart con l’intento di garantire la sicurezza del conducente e la tutela della collettività. Bisogna aggiungere che l’avanzamento dei dispositivi IoT si è spinta sino alla creazione di particolari piattaforme cd “assistent” che connessi alla rete locale dell’abitazione si coordina con gli altri dispositivi comunicando e scambiandosi dati (prodotti dalla Amazon o da Google). Questa particolare interazione fra i dispositivi è basata su “Api – Application programming Interface”, che permette non solo l’interazione fra utenti ma anche tra programmi. Questo sistema purtroppo non è  simbolo di garanzia in materia di dati, specialmente per le falle di sistema che potrebbero crearsi durante il loro utilizzo disvelando la posizione dell’utente attraverso Gps/Gprs o i dati delle smart card.

7. Segue…IOT: analisi dei dispositivi

L’importanza e l’utilizzo degli IoT rappresentano il motivo principale per cui l’UE investe tantissimo nella ricerca e innovazione di questi sistemi. In particolare la ricerca è focalizzata nella messa in sicurezza dei loro dati e comunicazioni. Al fine di garantire la loro comunicazione, i produttori dei dispositivi IoT si sono adoperati per munire gli stessi di un codice univoco di riconoscimento al fine di proteggere il flusso di dati fra gli stessi oltre a tutelare le informazioni già raccolte e riposte in memoria. In tale ottica, tali dispositivi sono preordinati al monitoraggio di tutti gli altri dispositivi che vi entrano in contatto raccogliendo e profilando i dati di ognuno. Questo particolare profilo è stato quello al centro del dibattito giuridico, in quanto si ritiene non conciliabile la tutela della privacy con le libertà concesse dai dispositivi IoT. In particolare per quel che riguarda l’utilizzo ai soli fini commerciale, motivo per cui c’è così tanto interesse economico ad investire su di esse, e giuridico sul capire e normare il fenomeno. Le profilazioni in particolare sono riserva di valore e creano capitale indotto. A tal proposito, è previsto al momento dell’acquisto, l’obbligo di consegnare al cliente un’informativa che dovrà contenere tutti i dati oltre le motivazioni dietro le quali l’azienda offre un servizio munito di dispositivo IoT. In particolare, a mio avviso, la vendita di questi dispositivi su altre piattaforme non convenzionali, non esonera l’imprenditore/produttore o il distributore dal rilasciare l’informativa. Alcuni studiosi hanno sollevato critiche in merito alle modalità di accettazione e consultazione dell’informativa, in quanto secondo questi ultimi, non c’è modo di sapere se l’utente abbia effettivamente letto il documento. Un ulteriore problema si è posto in merito all’adozione della modalità “flag”, in quanto la stessa, rispetto al passato, non può essere impostata nello stesso modo. Si potrebbe ipotizzare, in tal senso, per una maggiore sicurezza, di accompagnare l’informativa ad una chiave inviata allo smartphone per garantire la consapevole visione da parte dell’utente.

La commercializzazione dei dati e delle profilazioni degli utenti sono state oggetto di discussione già dal 2003 nei termini di cui al D.Lgs 196 . In particolare il garante per la privacy attraverso diversi provvedimenti è dovuto intervenire al fine di dissipare rischi enormi alla diffusione incontrollata e illecita dei dati degli utenti a loro insaputa. In particolare alla ribalta della cronaca sono emerse le profilazioni di facebook oppure di twitter come anche il furto di dati dai “database”. La presenza di questi attacchi e perdite spinge i tecnici a correre ai ripari attraverso la prevenzione, proprio per questo si è passati dalla ormai obsoleta “SIEM – Security Incidentand Event Management” ai “big data style analytics”.

Nuovi fenomeni che si sono sempre di più affermati, che si sono succeduti l’uno all’altro, passando dai “big data analytics” fino ad arrivare ai “business analytics”, sono i sistemi di gestioni dei dati ai fini commerciali che profilano gli utenti sui gusti, le scelte e i desideri, sulla base di un algoritmo che riesce a mettere insieme i dati raccolti dai diversi dispositivi, il più delle volte IoT sia “wearable” che “home automation”. L’insieme di queste circostanze ha condotto l’Unione Europea ad approvare il regolamento n° 2016/679 al fine di aumentare la soglia di sicurezza e di tutela della privacy. Questo intervento ha la funzione di sopperire alle mancanze dei legislatori nazionali in materia e oltre ad adeguare il trattamento dei dati sensibili alle nuove tecnologie compresi i dispositivi IoT.  Il regolamento UE sulla privacy è interessante sotto diversi aspetti, in particolare, ha riformato il ruolo del responsabile del trattamento oltre ad inserire nuovi limiti ed obblighi più stringenti, con riguardo specialmente al settore commerciale e a tutela dei consumatori.

8. La cd. Valutazione di impatto

Una novità che rappresenta un obbligo e allo stesso tempo uno strumento di tutela per il consumatore, è la cd “valutazione di impatto” regolata dall’art. 35 reg. UE 679/2016[17]. In particolare l’art. 35 dispone testualmente:

“Quando un tipo di trattamento, allorché prevede in particolare l’uso di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali. Una singola valutazione può esaminare un insieme di trattamenti simili che presentano rischi elevati analoghi.”

Dalla lettura della norma, si evince un vero e proprio vincolo a carico dei produttori e distributori dei dispositivi IoT o equipollenti. Quest’obbligo si può ritenere posto a tutela del consumatore, il quale ignaro entra in un servizio e cede dati personali. Per valutazione di impatto si intende quel particolare processo di analisi, accertamento e verifica dell’adeguatezza degli strumenti di conservazione e gestione oltreché di sicurezza dei dati degli utenti utilizzati dai titolari del trattamento. In quest’ottica il titolare è obbligato ad osservare il regolamento e le sue disposizioni attuative, a dimostrare l’adeguatezza attraverso un analisi dei rischi (valutazione di impatto) oltre a garantirne il rispetto ai soggetti sotto la propria responsabilità. Bisogna precisare che il regolamento rinvia espressamente alle autorità garanti nazionali il compito di valutare in quali casi sia opportuno eseguire la valutazione e in quali casi risulti invece facoltativa. Nel pieno rispetto di questo dettato, l’autorità garante per la protezione dei dati sensibili nazionale, ha redatto le linee guida il 25 maggio 2018[18]. Successivamente alla sua pubblicazione, essa è stata sottoposta alla “EDPB – European date Protection board”[19] che, ha optato per l’integrazione delle suddette linee guida, perché non soddisfacenti ai sensi dell’art. 35 del regolamento UE 679/2016[20]. Quindi la valutazione di impatto dev’essere eseguita obbligatoriamente quando il trattamento dei dati possa comportare un rischio di rilevante entità ai dati stessi. Il regolamento generale sulla protezione dei dati non richiede la realizzazione di una valutazione d’impatto sulla protezione dei dati, se questo trattamento non presenti rischi per i diritti e le libertà delle persone fisiche. Da ciò si evince che, la realizzazione di una valutazione di iimpatto sulla protezione dei dati è obbligatoria soltanto qualora il trattamento “possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche”[21]. In quest’ottica la valutazione di impatto è fondamentale quando viene introdotta una nuova tecnologia di trattamento dei dati[22]. In particolare il paragrafo 3 dell’art. 35 impone una valutazione d’impatto sulla protezione dei dati quando il trattamento “possa presentare rischi elevati”[23]: a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche[24]; b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9[25], paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10[26]; o c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico”[27].

Questi paletti, inseriti e predisposti dalla norma, si accompagnano a quelli individuati ed inseriti nel circuito dalle autorità garanti nazionali[28]. Quindi si può affermare che tali disposizioni inserite nel cd “GDrP” si accompagnano e vanno sistematicamente coordinate con le disposizione già esistenti all’interno degli ordinamenti degli stati membri. Questa considerazione ci porta a dire che le norme del GDrP sul piano nazionale e in base al settore di sua applicazione, riceveranno un contributo più o meno influente dalla legislazione preesistente, al fine di garantire il rispetto delle libertà stabilite dalla costituzione. La disposizione inserita nel paragrafo 4 dell’art 35 del GDrP stabilisce il principio di trasparenza delle linee guida, che dovranno essere rese pubbliche nelle modalità stabilite dall’art. 50 del d.lgs. 82/2005[29]. In tale ottica dal d.lgs. 82/2005 possiamo ricavare un ulteriore principio che dev’essere rispettato, cioè il principio di disponibilità e sicurezza dei dati forniti alla P.A., disposto dall’art 51[30], il quale conferisce all’ AgID (agenzia per l’Italia Digitale) il compito di monitorare, controllare e innovare il flusso di dati fra le pubbliche amministrazioni e tra amministrazioni e cittadino anche attraverso i dispositivi IoT. In tal senso, le maggiori criticità sono state sollevate in merito al flusso di dati, non solo nella P.A. ma anche nel mercato, riferiti ad abitudini, comportamenti, gusti e desideri e alla loro manipolabilità. Per eliminare tali rischi, il responsabile del trattamento dei dati ha una serie di obblighi ulteriori oltre alla valutazione di impatto come la consultazione preventiva regolata dall’art. 36 del reg. 679/2016. Quest’ultimo dispone che laddove dalla valutazione di impatto si evinca un elevato rischio derivante dalla mancata adozione di misure volte ad attenuarne gli effetti, il responsabile del trattamento deve consultare l’autorità di controllo (EDPB) prima che il trattamento abbia inizio. L’autorità di controllo investita della consultazione, laddove verificasse l’assenza di misure preventive o la mancata identificazione del problema, provvede entro 8 settimane (prorogabili di altre 6 settimane per la particolare complessità) dalla richiesta con parere. Questo strumento dovrebbe, almeno in teoria scongiurare il pericolo di utilizzo illecito dei dati. A questo proposito, l’ultimo paragrafo dello stesso rinvia agli stati membri, la facoltà di adottare la consultazione preventiva obbligatoria quando oggetto del trattamento sono dati di interesse pubblico come “protezione sociale e sanità pubblica”. Questo ci fa capire, ancor di più, che la sola valutazione di impatto non basta a scongiurare i pericoli celati dall’utilizzo e lo scambio snodato di dati attraverso le piattaforme informatiche, smartphone e dispositivi IoT, ma la stessa dev’essere accompagnata da strumenti ulteriore i quali fungono da supporto di intensificazione della sicurezza virtuale dei nostri dati.

9. L’index e l’indicizzazione dei dati

Nel mercato attuale hanno acquisito particolare importanza i dati, in quanto dagli stessi è possibile trarre le cd “profilazioni”. Tali profili aiutano le aziende a carpire i gusti, i desideri, gli orientamenti politici e sessuali e infine la capacità patrimoniale e finanziaria dei consumatori. Uno strumento di profilazione è rappresentato dal web che attraverso i browser con il suo know-how a individuare i consumatori e a metterli davanti ai loro desideri. Altro strumento di profilazione sono per l’appunto i IoT che raccolgono dati per le grandi catane di distribuzione e produzione dei dispositivi data la loro connettività continua.  Banche dati e siti Internet contengono un’infinità di documenti a cui si può pervenire attraverso programmi di information retrieval e motore di ricerca che adottano sistemi di indicizzazione e tecniche di recupero dei dati pressoché analoghe. In genere tutte le risorse presenti in Internet si acquisiscono inserendo in fase di ricerca almeno un dato, sia essa una parola un numero, che si ritengono presenti all’interno di un documento di un computer, questo sistema prende appunto il nome di indicizzazione. Le informazioni di cui si deve tener conto hanno di regola natura testuale o fotografica consistenti cioè rappresentazioni di atti quali essi articoli di giornale leggi post o foto. Ed è proprio in questo momento che interviene il processo di indicizzazione che permetterà al computer di confrontare i dati immessi in fase di ricerca con quelli presenti negli indici utilizzati ed estrapolare dalla banca dati quei documenti che li contengono tutti. La tecnica utilizzata in fase di indicizzazione è la tecnica del combacia mento in quanto attraverso un sistema associativo di significato a parola oppure di dato a big data permette di estrapolare solo le informazioni richieste. Il problema essenziale dell’indicizzazione e che nell’ultimo ventennio è stato utilizzato per garantire ai grandi motori di ricerca di profilare l’utente medio che allo stesso tempo consumatore. Questa nuova ondata di marketing informatico ha comportato l’incremento della domanda pubblicitaria da parte di grandi aziende nei confronti dei produttori e erogatori di servizi informatici tra i quali i motori di ricerca. Quest’ultimi garantiscono una facile accessibilità all’utente medio alle informazioni richieste attraverso degli stretti intermedi di immissione di dati pubblicitari come spot o annunci che permetteranno al sistema di capire se tali informazioni sono di interesse dell’utente o meno. Laddove a tale richiesta l’utente risponda positivamente, il motore di ricerca indicizzerà le informazioni permettendone la profilazione con la conseguente rappresentazione del prodotto attraverso post sui social network, abstract o annunci in giornali o attraverso i risultati del motore di ricerca. A questo punto la domanda da porsi e se l’indicizzazione può essere ritenuta come un’acquisizione fraudolenta di informazioni ovvero come semplice rielaborazione di dati immessi volontariamente dall’utente. Valutando l’ipotesi positiva, si presuppone quindi la conseguente eliminazione dei dati elaborati ovvero la temporaneità di tali dati all’interno delle banche dati del motore di ricerca configurandoli come big data transitori. Valutando invece l’ipotesi negativa, si evidenzia che ebbero problemi importanti in materia di privacy specialmente tenuto conto delle nuove norme in materia. Non può trascurarsi inoltre il problema applicativo che si creerebbe dall’applicazione di tali elaborazioni nei sistemi e prodotti IoT. Per esemplificare il tutto, si pensi ad una lavatrice intelligente, al fine di poter delegare le attività la stessa l’utente dovrà obbligatoriamente immettere una serie di dati per garantire il giusto programma di lavaggio e la giusta temperatura in base al tessuto del tipo di capo. Ipotizzando che questa possa essere già configurata come una prima indicizzazione e profilazione, se è vero che i IoT comunicano fra loro, si può anche ipotizzare che questi dati transitino verso altro macchinario intelligente il quale connesso alla rete, gestita chiaramente dal suo distributore o produttore, possano ulteriormente essere carpiti dalla rete o ceduti per finalità di marketing. Questa modalità operativa crea non pochi problemi specialmente se la privacy va intesa quale diritto alla riservatezza assoluta valutando inoltre anche la superficialità con cui si acconsentano tali elaborazioni da parte dell’utente.

 

 

 

 


[1] Commissione Europea, delibera del 13/10/2015 che autorizza l’investimento di 16 miliardi – su https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32015R2120&from=EL ultima consultazione;
[2]Promozione della protezione dei dati mediante il rafforzamento della tutela della vita privata, commissione Europe02/05/2007https://ec.europa.eu/transparency/regdoc/?fuseaction=list&coteId=1&year=2007&number=228&language=it  ultima consultazione (PET) (COM/2007/228);
[3] Per approfondimenti vedi: RUFFINI – GANDOLFI, Il diritto alla riservatezza, in Dig. disc. priv., UTET Torino 1990, pag. 71 e ss.; R. PARDOLESI, Diritto alla riservatezza e circolazione dei dati personali, Giuffrè Editore Milano, 2003; B. PONTI, Il regime dei dati pubblici. Esperienze europee e ordinamento nazionale, MAGGIOLI EDITORE, 2008;
[4]  v. Cfr Cass. Sez. I, 27 maggio 1975 n° 2129 in Foro.it, 1976, I, c. 2895 ;
[5] Anche definito “decreto sviluppo” convertito con legge 106/2011;
[6] sistema di consenso preventivo nel quale il trattamento dei dati è lecito solo previa dichiarazione positiva del titolare o meglio è l’opzione attraverso la quale l’utente esprime il proprio consenso ad essere inserito in una mailing list per ricevere comunicazioni di natura informativa e/o commerciale; tipicamente, all’utente viene richiesto di fornire il proprio indirizzo e-mail e di confermare la volontà di aderire al servizio su https://www.glossariomarketing.it/significato/opt-in/ da ultima consultazione;
[7] Per completezza l’art. 2050 cc: “Chiunque cagiona un danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati , è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”;
[8] Per approfondimenti vedi F. CARDARELLI, S. SICA, V. ZENO-ZENCOVICH, Il codice dei dati personali. Temi e problemi, GIUFFRE MILANO, 2004;
[9] In tal senso, il titolare deve adottare quell’insieme di misure di sicurezza, che sono state configurate dalla giurisprudenza e dall’autorità garante “ minime” per poter garantire un livello standard di sicurezza (v.di Provvedimento dell’Autorità Garante del 22 Novembre 2005; Raccomandazione AEU n. 2/2001; provvedimento del Garante del 2 marzo 2011; Linee guida 2 marzo 2011 in “materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web”) da ultima consultazione https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/47983;
[10] Soggetto definito dal Provvedimento del Garante del 27 novembre 2008 come “una figura professionale dedicata alla gestione e alla manutenzione di impianti di elaborazione con cui vengano effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i sistemi software complessi quali i sistemi ERP (Enterprise resource planning) utilizzati in grandi aziende e organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali”. Termine con il quale si indicano le figure professionali preposte alla gestione ed alla manutenzione di un impianto di elaborazione o di sue componenti, o comunque i soggetti che gestiscono banche dati, reti, sistemi software complessi che trattano i dati e gestiscono i profili di accesso degli stessi dati su https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499 da ultima consultazione;
[11] vedi AGCOM – Deliberazione 26/11/2008: Regolamento per l’organizzazione e la tenuta del Registro degli operatori di comunicazione su https://www.agcom.it/documents/10179/1/document/d34577b4-8434-41fc-8487-36f5d794a2a1 da ultima consultazione;
[12] Comunicazione estesa anche alla posta elettronica con la L.106/2011;
[13]  vedi DPCM del 10 luglio 2012: Criteri e modalità per la pubblicazione, sul sito del comune, dei dati aggregati relativi alle dichiarazioni dei redditi e per la messa a disposizione di ulteriori dati al fine di favorire la partecipazione all’attività di accertamento nonché’ le modalità di trasmissione idonee a garantire la necessaria riservatezza; D.M. 28/12/2012, n. 257; Regolamento integrativo al DM 29 novembre 2007, n. 255, per il trattamento dei dati personali nella gestione del Registro dei revisori legali e del relativo Registro del tirocinio;
[14] v. Cfr Cass. 09.04.1998, n° 3679, in Foro.it, 1998, I, pag. 834;
[15] CGUE sentenza Google Spain c/o Agencia Espanola de Protecciòn de Datos (AEPD) e Costeja Gonzàlez (C 131/2012) su http://curia.europa.eu/juris/document/document.jsf?docid=152065&doclang=IT da ultima consultazione;
[16] GDPR 2016/679 in particolare art. 17 comma 1 ”L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”;
[17]Reg. (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, su www.eur-lex.europa.eu/legal-content/it/TXT/?uri=celex:32016R0679 da ultima consultazione ;
[18] Autorità garante per la protezione dei dati sensibili, provvedimento del 28 maggio 2018 deliberative delle  “linee-guida del WP29” adeguate sul d.lgs 231/2001, su https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8423810 da ultima consultazione;
[19] European date Protection board (Comitato europeo per la protezione dei dati – EDPB): è un organo europeo indipendente, che contribuisce all’applicazione coerente delle norme sulla protezione dei dati in tutta l’Unione europea e promuove la cooperazione tra le autorità competenti per la protezione dei dati dell’UE. Il Comitato è composto dalle figure di vertice delle autorità di controllo e dal Garante europeo della protezione dei dati (GEPD) o dai rispettivi rappresentanti. Definito e organizzato dalla Direttiva UE – 2016/680 del parlamento europeo e del consiglio del 27 aprile 2016, su https://eur-lex.europa.eu/legal-content/IT/TXT/PDF/?uri=CELEX:32016L0680&from=EN da ultima consultazione;
[20] Per approfondire tale profilo vedi EDPB – European date Protection board – Opinion 12/2018 on the draft list of the competent supervisory authority of Italy regarding the processing operations subject to the requirement of a data protection impact assessment (Article 35.4 GDPR) del 25 settembre 2018 su https://edpb.europa.eu/our-work-tools/consistency-findings/opinions_it da ultima consultazione;
[21] Reg. 2016/679 all’articolo 35, paragrafo 1 – illustrato dall’articolo 35, paragrafo 3 e integrato dall’articolo 35, paragrafo 4, su https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679 da ultima consultazione;
[22] Cfr. i considerando 89 e 91 e l’articolo 35, paragrafi 1 e 3, del Reg. 2016/679 per ulteriori esempi su https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679 da ultima consultazione.
[23] Linee guida P49 – autorità garante per la privacy : “Come indicato dalle parole “in particolare” nella frase introduttiva dell’articolo 35, paragrafo 3;
[24] Cfr. considerando 71 del Reg. 2016/679: “in particolare mediante l’analisi o la previsione di aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti, al fine di creare o utilizzare profili personali” ” su https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679 da ultima consultazione.
[25]Reg. UE 679/2016 – art 9 par. 1: “ È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona” su https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679 da ultima consultazione;
[26]Reg. UE 679/2016 – art 10: “ Il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati.
Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.” su https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679 da ultima consultazione;
[27] Cfr. considerando 75 del Reg. 2016/679: “se sono trattati dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, dati relativi alla salute o i dati relativi alla vita sessuale o a condanne penali e a reati o alle relative misure di sicurezza” su https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32016R0679 da ultima consultazione;
[28] Reg. UE 679/2016 – art 35 par 4: “L’autorità di controllo redige e rende pubblico un elenco delle tipologie di trattamenti soggetti al requisito di una valutazione d’impatto sulla protezione dei dati ai sensi del paragrafo 1. L’autorità di controllo comunica tali elenchi al comitato di cui all’articolo 68.”;
[29] d.lgs 7 marzo 2005, n. 82 – Codice dell’amministrazione digitale. (GU n.112 del 16-5-2005 – Suppl. Ordinario n. 93 ), all’art. 50 comma 1: “I dati delle pubbliche amministrazioni sono formati, raccolti, conservati, resi disponibili e accessibili con l’uso delle tecnologie dell’informazione e della comunicazione che ne consentano la fruizione e riutilizzazione, alle condizioni fissate dall’ordinamento, da parte delle altre pubbliche amministrazioni e dai privati; restano salvi i limiti alla conoscibilita’ dei dati previsti dalle leggi e dai regolamenti, le norme in materia di protezione dei dati personali ed il rispetto della normativa comunitaria in materia di riutilizzo delle informazioni del settore pubblico.” su https://www.normattiva.it/atto/caricaDettaglioAtto?atto.dataPubblicazioneGazzetta=2005-05-16&atto.codiceRedazionale=005G0104&queryString=%3FmeseProvvedimento%3D%26formType%3Dricerca_semplice%26numeroArticolo%3D50%26numeroProvvedimento%3D82%26testo%3D%26giornoProvvedimento%3D%26annoProvvedimento%3D2005&currentPage=1 da ultima consultazione;
[30] d.lgs n°82 del 2005, art. 51 commi 1 e 2: “Con le Linee guida sono individuate le soluzioni tecniche idonee a garantire la protezione, la disponibilita’, l’accessibilita’, l’integrita’ e la riservatezza dei dati e la continuita’ operativa dei sistemi e delle infrastrutture. su https://www.normattiva.it/atto/caricaDettaglioAtto? atto.dataPubblicazioneGazzetta=2005-05-16&atto.codiceRedazionale=005G0104&queryString=%3FmeseProvvedimento%3D%26formType%3Dricerca_semplice%26numeroArticolo%3D50%26numeroProvvedimento%3D82%26testo%3D%26giornoProvvedimento%3D%26annoProvvedimento%3D2005&currentPage=1 da ultima consultazione;

Salvis Juribus – Rivista di informazione giuridica
Direttore responsabile Avv. Giacomo Romano
Listed in ROAD, con patrocinio UNESCO
Copyrights © 2015 - ISSN 2464-9775
Ufficio Redazione: redazione@salvisjuribus.it
Ufficio Risorse Umane: recruitment@salvisjuribus.it
Ufficio Commerciale: info@salvisjuribus.it
***
Metti una stella e seguici anche su Google News

Articoli inerenti