La normativa sulla privacy e la sicurezza informatica

Il diritto alla protezione dei dati personali consiste nel diritto del soggetto cui i dati si riferiscono, di esercitare un controllo, anche attivo, su detti dati, diritto che si estende dall’accesso alla rettifica[1].

Il diritto alla protezione dei dati personali è riconosciuto dalla Carta dei diritti fondamentali dell’Unione europea la quale, nell’affermare tale diritto, ribadisce alcuni principi contenuti nella dir. 95/46/CE.

All’art. 8 della Carta, infatti, significativamente fra i diritti di libertà, si afferma il diritto alla protezione dei dati personali, e precisamente che ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.

Ed ancora, i dati personali devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o ad un altro fondamento legittimo previsto dalla legge e che, ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Inoltre, il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.

Il diritto alla protezione dei dati personali ha un oggetto estremamente vasto, che è conseguenza della stessa definizione di dato personale[2].

Di talché, è dato personale qualunque informazione riferibile a qualsiasi soggetto, anche se costituita da suoni o immagini. Restano esclusi dall’ambito di applicazione della normativa i dati anonimi[3].

Il diritto alla protezione dei dati personali è anche noto come “information privacy“, “informational privacy“, “data privacy“, espressioni nelle quali si evidenzia che l’oggetto del diritto è l’informazione o il dato[4].

Il diritto alla protezione dei dati personali deve essere considerato distinto dalla libertà negativa di non subire interferenze nella propria vita privata, al cuore del diritto alla riservatezza, costituendo, invece, il fondamento della libertà positiva di esercitare un controllo sul flusso delle proprie informazioni.

Per questa ragione è frequente che il diritto alla protezione dei dati personali sia inteso come diritto all’autodeterminazione informativa, cioè alla scelta di ogni soggetto di autodefinirsi e determinarsi.

Il diritto alla riservatezza rappresenta il diritto di creazione giurisprudenziale consistente nell’escludere altri dalla conoscenza di vicende strettamente personali e familiari.

A differenza del diritto alla protezione dei dati personali è un diritto a contenuto negativo, quello di non fare conoscere e di mantenere riservate alcune informazioni, piuttosto che a contenuto positivo, quello cioè di esercitare un controllo sulle medesime.

Inoltre, a differenza del diritto alla protezione dei dati personali, non ha ad oggetto le informazioni, di qualunque natura esse siano, ma soltanto le vicende riservate.

In Italia, il diritto alla riservatezza è stato riconosciuto dalla Corte di Cassazione nel 1975[5].

Con la pronuncia del 1975, la Corte individua il fondamento del diritto alla riservatezza nelle norme ordinarie e costituzionali che tutelano aspetti peculiari della persona, nonché nelle disposizioni, rinvenibili in leggi speciali, che richiamano espressamente la vita privata della persona.

La legge sulla privacy fissa, innanzitutto, un principio che deve sempre essere seguito da colui che tratta dati personali altrui cd. titolare del trattamento, il principio di accountability o responsabilizzazione.

Secondo questo principio, la legge sulla privacy non fissa al titolare del trattamento una serie di misure da rispettare nella gestione dei dati, ma si limita a fissare i principi guida da seguire nel trattamento dei dati. E’, dunque, rimessa alla responsabilità del singolo titolare del trattamento l’individuazione delle misure più idonee per una effettiva tutela dei dati personali trattati.

In particolare, la legge sulla privacy regola i principi ispiratori a cui il titolare del trattamento deve attenersi.

E cioè: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti dell’interessato devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità; devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati; devono essere esatti e, se necessario, aggiornati.

Inoltre, devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati; devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati, in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate.

Il titolare del trattamento, in base al principio di accountability, deve essere in grado di dimostrare, in caso di verifiche ed ispezioni, che ha seguito questi principi nella gestione del dati personali e nell’adozione delle misure di sicurezza più idonee[6].

Uno dei principali obblighi gravanti sul titolare del trattamento è la consegna all’interessato dell’informativa privacy.

Il Gdpr, infatti, prevede che il soggetto, “proprietario” del dato, debba essere messo a conoscenza del fatto che il suo dato personale è oggetto di trattamento.

La legge pertanto, stabilisce che, l’informativa sulla privacy debba contenere le seguenti informazioni: l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; i dati di contatto del responsabile della protezione dei dati; le finalità del trattamento cui sono destinati i dati personali nonché, la base giuridica del trattamento; gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; l’eventuale intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione; il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; il diritto di proporre reclamo ad un’autorità di controllo.

Orbene, il GDPR nasce da precise esigenze, come indicato dalla stessa Commissione Ue, di certezza giuridica, armonizzazione e maggiore semplicità delle norme riguardanti il trasferimento di dati personali dall’Ue verso altre parti del mondo.

Le norme si applicano anche alle imprese situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato UE.

Tutte le aziende, ovunque stabilite, dovranno quindi rispettare le nuove regole. Imprese ed enti avranno più responsabilità e, in caso di inosservanza delle regole rischiano pesanti sanzioni[7].

Per risolvere eventuali difficoltà è stato introdotto lo sportello unico, che semplifica la gestione dei trattamenti e garantisce un approccio uniforme.

Le imprese che operano in più Stati Ue possono quindi rivolgersi al Garante Privacy del Paese dove hanno la loro sede principale.

Ed ancora, nel Regolamento viene introdotto il diritto alla “portabilità”, ovvero il diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i propri dati personali per trasferirli da un titolare del trattamento a un altro e, se tecnicamente fattibile, la trasmissione diretta dei propri dati.

Il diritto alla portabilità può essere esercitato quando il trattamento si basa sul consenso, su un contratto o sia effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento. La norma fa eccezione nei casi i cui si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafiche.

Per supportare le organizzazioni nella gestione di eventuali violazioni di dati personali, l’EDPB (European Data Protection Board) ha adottato il 14 gennaio 2021 la prima versione delle Linee Guida 01/2021 on Examples regarding Data Breach Notification. Queste Linee Guida forniscono esempi pratici di data breach[8] ed integrano le Linee Guida sulla notifica della violazione dei dati personali adottate a febbraio 2018 dall’ex WP29 (ora EDPB).

Il primo adempimento da porre in essere per le imprese italiane è senz’altro l’adozione del Registro dei trattamenti di dati personali[9], obbligatorio per le imprese che contano almeno o più di 250 dipendenti. Tale previsione non si applica, quindi, alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati o i dati personali relativi a condanne penali e a reati.

Si tratta di uno strumento fondamentale allo scopo di disporre di un quadro aggiornato dei trattamenti in essere all’interno di un’azienda o di un soggetto pubblico, indispensabile per ogni valutazione e analisi del rischio, da esibire su richiesta del Garante. Il registro deve avere forma scritta, anche elettronica.

Il Registro dei trattamenti è quindi un documento contenente le principali informazioni di cui all’art. 30 del GDPR relative alle operazioni di trattamento svolte sia dal Titolare del trattamento e, se nominato, dal Responsabile del trattamento[10].

Da ultimo, è prevista la figura del “Responsabile della protezione dei dati” (Data ProtectionOfficer o DPO), incaricato di sorvegliare l’osservanza delle disposizioni in materia di protezione dei dati personali nelle imprese e negli enti, individuato in funzione delle qualità professionali e della conoscenza specialistica della normativa e della prassi in materia di protezione dati.

[1] MEZZETTI L., Diritti e doveri, Giappichelli, 2013.

[2] In base alla definizioni fornite dal Gdpr, il dato personale è qualsiasi informazione riguardante una persona fisica identificata o identificabile, che viene definita “interessato”.

Si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

[3] Dato che in origine, o a seguito di trattamento, non può essere associato a un interessato identificato o identificabile

[4] RESTA G., ZENO – Zencovich V., La protezione transnazionale dei dati personali. Dai “safe harbour principles” al “privacy shield”, Roma TrE-Press, 2016.

[5] Il diritto alla riservatezza consiste nella tutela di quelle situazioni e vicende strettamente personali e familiari, le quali, anche se verificatesi fuori del domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente speculativi e senza offesa per l’onore, la reputazione o il decoro, non siano tuttavia giustificate da interessi pubblici preminenti. Esso non può essere negato ad alcune categorie di persone, solo in considerazione della loro notorietà, salvo che un reale interesse sociale all’informazione od altre esigenze pubbliche lo esigano. Tale diritto non solo trova implicito fondamento nel sistema, ma trova una serie di espliciti riferimenti nelle norme costituzionali e ordinarie e in molteplici deliberazioni di carattere internazionale.

[6] SAETTA B., Responsabilizzazione del titolare, in www.protezionedatipersonali.it, 2018

[7] MODAFFERI F., Lezioni di diritto alla protezione dei dati personali, alla riservatezza e alla identità personale, lulu.com, 2015.

[8] Con Data Breach si intende una qualsiasi violazione alla sicurezza (informatica) che comporta l’accesso, la perdita, la modifica o la divulgazione non autorizzata di dati personali o il furto di questi. In sostanza, è una violazione alla riservatezza, all’integrità e anche alla disponibilità di tali dati.

[9] Il paragrafo 2 dell’articolo 30 del GDPR prevede che anche i responsabili del trattamento debbano tenere un registro simile in relazione alle attività svolte per conto del titolare. Il contenuto deve essere il seguente:
il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati., le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento (es. hosting, manutenzione IT, invio di messaggi commerciali);  dove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate; dove possibile, una descrizione generale delle misure di sicurezza tecniche. Laddove i titolari siano troppi è consentito il rinvio a schede esterne che elenchino nominativamente i singoli titolari riportando i dati previsti dalle norme.

[10] PIZZETTI F., Intelligenza artificiale, protezione dei dati personali e regolazione, Giappichelli, 2018.