Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Recentemente la Corte di Cassazione si è trovata ad affrontare il tema della qualificazione della causale di bonifico come dato sensibile ove indichi indennizzi elargiti per malattia o invalidità, esplicitati della dicitura “assegno ex l. 210/1992”, legge che riconosce le indennità a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di sangue o, in caso di decesso, in favore dei congiunti delle vittime.

Sul punto i giudici della Suprema Corte si sono espressi a più riprese con orientamenti contrastanti. In tutti i casi esaminati la questione concerneva i rapporti tra la Regione, erogatrice dell’indennizzo e ordinatrice del bonifico, e la banca del soggetto menomato o contagiato, ricevente il bonifico per conto del suo correntista.

Nella prima pronuncia risalente al 2014 (sentenza del 19 maggio 2014, n. 10947), la Corte ha ritenuto la causale di bonifico recante i menzionati riferimenti legislativi alla stregua di un dato sensibile, evidenziando l’illecito trattamento dei dati da parte della Regione e della banca posto che nel diffondere e conservare tali dati non avevano adottato idonee tecniche di cifratura o numeri di codici non identificabili, come prescritto dall’art. 22, 6° comma del Codice in materia di protezione dei dati personali.

Nella seconda pronuncia – più articolata della precedente – (sentenza del 20 maggio 2015, n. 10280) i giudici supremi hanno ribaltato l’orientamento seguendo un iter decisionale del tutto opposto. In primo luogo, hanno negato alla causale di bonifico così compilata la natura di dato sensibile, rilevando come la legge a cui si faceva riferimento prevedeva che beneficiari dell’indennizzo potessero essere, alternativamente, i soggetti direttamente colpiti o anche i loro familiari. Dal momento che l’elargizione dell’assegno non dipendeva dalla malattia del soggetto che materialmente riceveva il bonifico, i giudici concludevano che l’informazione non fosse sufficiente a rivelare lo stato di salute del beneficiario e, dunque, non fosse dato sensibile.

In secondo luogo, secondo la Corte di Cassazione, non poteva parlarsi di “diffusione” di dati da parte della Regione alla banca giacché tale – a norma dell’art. 4, lett. m) del Codice – può considerarsi solo la comunicazione a soggetti indeterminati, mentre nel caso di specie la comunicazione avveniva solo nei confronti della banca del correntista beneficiario dell’indennizzo.

I giudici hanno poi rilevato che il riferimento all’art. 22, 6° comma del Codice Privacy era privo di fondamento posto che, come correttamente riportato, l’adozione di tecniche di cifratura risulta applicabile solo a casi specifici ove i dati provengano da elenchi o registri e la finalità sia quella di gestione ed interrogazione degli stessi. Neppure la banca poteva essere considerata onerata dell’adozione di tali misure per tre ragioni: la disposizione in oggetto si applicava ai soli soggetti pubblici; in capo ai soggetti privati sorgeva l’obbligo di cifratura solo per i dati idonei a rivelare lo stato di salute e se trattati con strumenti elettronici, condizioni entrambi assenti nel caso di specie; la comunicazione al proprio cliente di dati personali riguardanti esso stesso non costituiva trattamento.

Secondo la Cassazione, infine, la banca operava come rappresentante del correntista che riceveva il pagamento della Regione per conto di quest’ultimo: l’imputazione del pagamento dunque valeva come compiuta dal debitore (Regione) direttamente al creditore (beneficiario dell’assegno).

La Suprema Corte ha così ritenuto legittime le condotte della Regione e della banca, non ravvisando alcun trattamento illecito di dati personali.

Il tema è tornato recentemente all’attenzione della Prima sezione civile della Corte di Cassazione, la quale con due ordinanze interlocutorie (rispettivamente nn. 3455 e 3456 depositate il 9 febbraio 2017) ha demandato alle Sezioni Unite il compito di sanare il contrasto giurisprudenziale in oggetto. In tale occasione, senza aderire all’uno o all’altro orientamento, la Cassazione si è solo espressa circa la qualificazione dell’indicazione dei riferimenti normativi nella causale del bonifico come “dato sensibile”, precisando che, sebbene il pagamento possa avvenire tanto nei confronti dei congiunti quanto del soggetto contagiato o menomato, solo verso quest’ultimo il pagamento sarebbe corrisposto in rate (mentre ai congiunti sarebbe corrisposta una somma una tantum). Tale forma di pagamento sarebbe dunque idonea a identificare inequivocabilmente il soggetto destinatario del pagamento come vittima di contagio o menomazione e, per tale motivo, l’indicazione del pagamento dei ratei costituirebbe dato sensibile.

Si rimane dunque in attesa di conoscere come le Sezioni Unite risolveranno il contrasto giurisprudenziale appena descritto e, in particolare, se daranno un’interpretazione estensiva o restrittiva al concetto di dato sensibile.

Si discute nuovamente di Privacy Shield, l’accordo regolatore dei flussi transfrontalieri di dati tra Unione europea e Stati Uniti che di recente ha sostituito il previgente Safe Harbor.

A distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è chiamata a decidere sull’adeguatezza della tutela assicurata dal Privacy Shield.

Alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero (tra cui l’ormai nota Digital Rights Ireland Ltd.) sostengono infatti che il Privacy Shield non offra un adeguato livello di protezione, a differenza di quanto ritenuto dalla Commissione europea che il 12 luglio 2016 ha adottato la decisione di adeguatezza rendendo legittimi i trasferimenti di dati verso gli Stati Uniti e le organizzazioni americane aderenti al nuovo accordo.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta altresì che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea.

In ragione di tali motivi i ricorrenti hanno impugnato la decisione di adeguatezza della Commissione ai sensi dell’art. 263 TFUE che prevede la possibilità per i soggetti interessati di impugnare ed ottenere l’annullamento degli atti della Commissione entro due mesi dalla loro entrata in vigore o dalla loro pubblicazione.

Giova ricordare a questo punto che il Gruppo di lavoro Art. 29 aveva già espresso le proprie remore relativamente ad alcuni aspetti dell’accordo che non erano stati modificati nonostante le reiterate richieste di revisione. Nello statement del 26 luglio 2016, immediatamente successivo all’adozione del Privacy Shield, il Gruppo dei Garanti europei rilevava che non fossero state disposte concrete misure di sicurezza per evitare la raccolta generalizzata di dati e che non fosse stata assicurata l’indipendenza di ruolo e di poteri di importanti organismi di ricorso (come l’Ombudsperson).

Pare dunque che il nuovo regime non abbia portato all’instaurazione di un clima di certezza del quadro regolatore dei flussi transfrontalieri di dati verso gli Stati Uniti, Paese che evidentemente non riceve ancora fiducia da parte degli operatori europei. Si attende ora la decisione della Corte di Giustizia che potrebbe ritenere inammissibili i ricorsi per difetto di legittimazione o infondatezza di motivi oppure potrebbe decidere di accogliere l’impugnazione.

whatsappIl Garante per la protezione dei dati personali ha avviato un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto.

La nuova informativa privacy di Whatsapp non sfugge al vaglio dell’Autorità Garante. A seguito dell’acquisizione della società di messaggistica da parte di Facebook, è stata infatti disposta la condivisione dei dati personali degli utenti con il noto social network per finalità presumibilmente di marketing.

Il problema non risiede nello scambio di dati tra le due società appartenenti al medesimo gruppo imprenditoriale, possibilità tra l’altro prevista sia dalla direttiva 96/46/CE in materia di protezione dei dati personali sia dal recente Regolamento generale europeo n. 679/2016 ove vengono espressamente definiti le regole e i limiti per il trasferimento di dati infragruppo.

Ciò che preoccupa il Garante è la profilazione che scaturirebbe dall’associazione dei dati degli utenti di Whatsapp (come ad esempio il numero di telefono) con quelli di Facebook. Una tale correlazione permetterebbe infatti non solo di inviare pubblicità e annunci mirati in relazione agli interessi degli utenti, ma anche di individuare più facilmente gli utenti stessi e la rispettiva cerchia di contatti. Sotto il profilo strettamente operativo, l’effetto di tale associazione di dati potrebbe essere quello di rendere vane talune misure volte a garantire ad esempio la non rintracciabilità dei soggetti, come l’uso di pseudonimi ovvero la scelta di non rendere visibile il proprio profilo.

A ciò si aggiunge la vaghezza dell’informativa – rilevata dal Garante – che non risulta evidenziare in modo chiaro quale siano le finalità del trattamento e la tipologia di dati comunicati. Inoltre, il Garante si riserva di esaminare le modalità di acquisizione del consenso degli utenti alla comunicazione dei dati dal momento che attualmente Whatsapp propone solo una scelta preselezionata di accettazione delle nuove condizioni.

Oggetto dell’istruttoria del Garante saranno, infine, anche le misure volte a garantire l’esercizio dei diritti degli utenti, considerato che – come si legge nel comunicato stampa dell’Autorità – “dall’avviso inviato sui singoli device la revoca del consenso e il diritto di opposizione sembrano poter essere esercitati in un arco di tempo limitato”.

freewifiRecentemente la Corte di Giustizia europea è stata chiamata a giudicare l’utilizzo di Internet e, in particolare, delle reti wi-fi c.d. libere (cioè non protette da password), impiegate sovente da utenti che, approfittando dell’anonimia assicurata dalla Rete, violano le prerogative del diritto d’autore.

Con sentenza del 15 settembre 2016 relativa alla causa C-484/14, la Corte di Giustizia si è pronunciata a favore dell’assoluzione del gestore di una rete locale senza fili ad uso gratuito e accessibile senza autorizzazione che era stata impiegata da un utente per la diffusione di un’opera musicale on line senza il consenso dei titolari dei relativi diritti.

Riconoscendo il servizio di accesso a Internet come un servizio della società dell’informazione consistente nella mera fornitura di accesso a una rete di comunicazione, i giudici di Lussemburgo hanno ritenuto esente da ogni responsabilità il gestore della rete wi-fi ai sensi della direttiva 2000/31/CE. Quest’ultimo, come del resto i fornitori dei servizi di hosting, non ha infatti l’onere (né la materiale possibilità) di conoscere o controllare le informazioni trasmesse tramite la propria rete.

Tuttavia, operando un necessario equilibrio tra diritti fondamentali (nel caso di specie, libertà di impresa e diritto d’autore), la Corte ha aggiunto che l’autorità giudiziaria nazionale può esigere che un prestatore di servizi ponga fine ad una violazione dei diritti d’autore o che la prevenga, purché le misure tecniche a ciò finalizzate non restringano eccessivamente la libertà d’impresa del prestatore. Secondo la Corte di Giustizia, proteggere la rete wi-fi con una password rappresenta una misura tecnica che “non arreca pregiudizio al contenuto essenziale dei diritti” dei fornitori di servizi di accesso e, allo stesso tempo, è idonea a tutelare il diritto d’autore “nei limiti in cui gli utenti di detta rete siano obbligati a rivelare la loro identità e non possano quindi agire anonimamente”.

L’atteso decreto legislativo 26 agosto 2016, n. 179, “Modifiche ed integrazioni al Codice dell’Amministrazione digitale” (“CAD”) è stato pubblicato nella Gazzetta Ufficiale del 13 settembre 2016.

Tra le novità più importanti va segnalata l’introduzione dei concetti di domicilio digitale ed identità digitale, di interoperabilità e di prestatore di servizi fiduciari (figura che va a sostituire quella più familiare del “certificatore”). In materia di documento informatico e firme elettroniche, inoltre, muta il valore giuridico del documento informatico sottoscritto con firma elettronica semplice il quale ora soddisfa il requisito della forma scritta, fermo restando che sotto il profilo probatorio il documento rimane liberamente valutabile in giudizio.

Nuova anche la figura del Commissario straordinario per l’attuazione dell’Agenda digitale, avente funzioni di coordinamento operativo dei soggetti pubblici, mentre vengono ridefiniti i contorni del ruolo e dei poteri del difensore civico, preposto in ogni amministrazione alla tutela del cittadino.

L’esigenza di un adeguamento della normativa è derivata tanto dai costanti sviluppi tecnologici che hanno inevitabilmente influenzato la materia, quanto dall’emanazione dell’ormai noto Regolamento eIDAS in materia di identificazione elettronica e servizi fiduciari. Attraverso tali aggiustamenti il legislatore italiano ha inteso allinearsi al quadro europeo in materia: in quest’ottica sono state infatti soppresse alcune delle definizioni contenute nel vecchio CAD, mentre è stato introdotto un espresso richiamo alle definizioni del Regolamento europeo.

posted by Laura Greco on luglio 1, 2016

Professione forense

(No comments)

calendarUn’interessante questione tecnico giuridica è al vaglio della Corte di Giustizia europea: da quando decorrono gli effetti dell’annullamento di una decisione amministrativa?

La Corte di Giustizia europea è stata interpellata dai giudici polacchi in merito all’efficacia dei meccanismi di ricorso avverso le decisioni dell’Autorità nazionale di regolamentazione in materia di comunicazioni elettroniche.

La direttiva 2002/21/CE riconosce a chiunque il diritto di ricorrere contro una decisione delle suddette Autorità avvalendosi di un organismo indipendente dalle parti in causa, come un tribunale (art. 4, 1° comma). Alla luce di tale disposizione viene chiesto alla Corte di Giustizia se la sentenza di annullamento della decisione amministrativa esplichi i propri effetti ex tunc (quindi, dal momento in cui la decisione era stata adottata) ovvero ex nunc (ossia dalla data della sentenza di annullamento).

L’Avvocato generale, nelle proprie conclusioni, ha proposto alla Corte di esprimersi in senso favorevole alla retroattività degli effetti della sentenza di annullamento, pur riconoscendo una deroga eccezionale a tale regola: l’annullamento delle decisioni amministrative potrà avere effetti ex nunc solo se l’organo di ricorso (nel caso di specie, l’autorità giudiziaria) lo ritenga giustificato per la necessaria salvaguardia della certezza del diritto e del legittimo affidamento.

La Corte per il momento non si è ancora pronunciata nel merito, ma la questione risulta particolarmente interessante in quanto pare che non sia mai stata sottoposta precedentemente all’attenzione dell’organo giurisdizionale europeo.

Il testo delle conclusioni dell’Avvocato generale è disponibile QUI.

Ultimo capitolo della nostra analisi sul testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema, di grande attualità dei trasferimenti di dati all’estero.

La Proposta di regolamento subordina la legittimità dei trasferimenti di dati verso Paesi extra Ue ad una valutazione di adeguatezza da parte della Commissione europea circa il livello di protezione assicurato in quel determinato Stato (art. 41). In assenza di una decisione di tale ordine, il trasferimento potrà avvenire solo in presenza di garanzie adeguate (ad esempio, clausole tipo di protezione dei dati, norme vincolanti d’impresa, clausole contrattuali) o al ricorrere di particolari evenienze (rispettivamente, artt. 42 e 44).

Con riguardo alla prima deroga, è la stessa Commissione europea ad aver adottato una serie di pacchetti di “clausole-tipo” sulla scorta dell’art. 26 della direttiva 95/46/CE: attraverso l’inserimento di tali clausole standard nel contratto utilizzato per il trasferimento, l’esportatore dei dati garantisce che questi ultimi saranno trattati conformemente ai principi stabiliti nella Direttiva anche nel Paese terzo importatore. In particolare, la Commissione si è resa promotrice dell’elaborazione di clausole contrattuali tipo attraverso quattro diverse decisioni (rispettivamente, del 15 giugno 2001, 27 dicembre 2001, 27 dicembre 2004 e 5 febbraio 2010) che rivestono una particola importanza nell’ottica di semplificare i rapporti internazionali.

L’adozione di clausole contrattuali tipo non è, tuttavia, l’unico strumento tramite il quale operare legittimamente un trasferimento di dati verso Paesi terzi: infatti, sebbene possano essere impiegate esclusivamente nell’ambito di trasferimenti di dati infra-gruppo, sempre più frequente è il ricorso alle cc.dd. binding corporate rules (BCR), una serie di clausole che stabiliscono principi vincolanti al cui rispetto sono tenute tutte le società appartenenti allo stesso gruppo d’impresa (corporate). In questo caso, le clausole incorporano i principi fondamentali in materia di protezione dei dati personali, come ad esempio i principi di correttezza e legittimità del trattamento, finalità, necessità e proporzionalità dei dati, l’obbligo del titolare di fornire l’informativa, e così via. Tali clausole traggono efficacia dall’autorizzazione del Garante al trasferimento dei dati personali verso Paesi terzi ex art. 44, lett. a) del d.lgs. 196/2003, la quale viene concessa solo a seguito dell’espletamento della procedura a livello europeo, che vede la cooperazione tra le Autorità Garanti dei diversi Stati membri che risultano coinvolti nel flusso transfrontaliero di dati.

Le stesse Autorità Garanti nazionali non possono, tuttavia, adottare provvedimenti contrari ad una decisione di adeguatezza dell’esecutivo europeo, sulla scorta di quanto stabilito dalla Corte di Giustizia europea nella recentissima sentenza Schrems del 6 ottobre 2015 (C-364/14): in altre parole, qualora la Commissione abbia già dichiarato legittimo il trasferimento di dati verso un determinato Paese terzo, l’Autorità Garante nazionale non potrà adottare provvedimenti interni di sospensione o di divieto di trasferimenti di dati nei confronti di quei sistemi terzi già reputati adeguati dalla Commissione.

Ciò non toglie che il Garante possa esaminare le doglianze dei cittadini che lamentino una mancanza di protezione dei propri dati trasferiti in un Paese terzo; in tal caso, qualora le domande risultino fondate, il Garante avrà il dovere di “agire in giustizia” (par. 63-65), ossia di proporre ricorso alle autorità giurisdizionali del proprio Stato membro ai fini di un rinvio pregiudiziale ai giudici europei che esamineranno la validità della decisione di adeguatezza della Commissione.

Per maggiori approfondimenti sul contenuto e sulla portata della decisione della Corte di giustizia sul caso Shrems si rimanda all’analisi di Giusella Finocchiaro.

Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”. Esaminiamo qui il tema delle responsabilità e degli oneri del controller e la figura del Data Protection Officer.

La Proposta di regolamento responsabilizza maggiormente i controller (titolari del trattamento), i quali saranno, in particolare, gravati dalla predisposizione di misure tecniche ed organizzative di sicurezza adeguate in funzione del rischio associato alle operazioni di trattamento dei dati effettuate (art. 30). A carico dei medesimi viene posto, inoltre, l’obbligo di comunicare senza ritardo sia alle autorità sia agli interessati i cc.dd. data breach, ossia le violazioni dei dati avvenute durante le operazioni di trattamento (artt. 31 e 32).

Viene poi prevista la figura dei joint controller (contitolari), i cui ruoli e le cui responsabilità dovranno essere ripartite sulla base di un accordo a cui gli stessi interessati potranno far riferimento, fatta salva una diversa determinazione da parte della legge europea o nazionale (art. 24).

A tutela del rispetto dei diritti e delle libertà fondamentali dei cittadini e a garanzia della conformità delle operazioni di trattamento al Regolamento, vengono confermate le figure del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) e di una Supervisory Authority indipendente a livello nazionale (rispettivamente, artt. 35 e 46). Mentre il primo dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili, l’Autorità di sorveglianza dovrà essere obbligatoriamente istituita in ogni Stato membro. Quest’ultima ha, tra gli altri, il primario obiettivo di garantire la coerenza nell’applicazione della normativa sulla protezione dei dati in tutta l’Unione europea (art. 46), potendo contare anche sui meccanismi di one-stop-shop (o “sportello unico”) che prevedono una collaborazione reciproca tra le diverse autorità nazionali e la possibilità di adottare una decisione di controllo unica nei casi transfrontalieri che comportano un coinvolgimento plurimo delle Autorità (art. 54a).

In quest’ottica di mutua assistenza è da segnalare anche l’istituzione di un Comitato europeo per la protezione dei dati (art. 64), che dovrebbe comprendere rappresentanti di tutte le 28 Autorità di controllo indipendenti e sostituire il c.d. “Gruppo Art. 29”, cioè il gruppo per la tutela delle persone con riguardo al trattamento dei dati personali, di cui all’articolo 29 della dir. 95/46/CE.

Continua la nostra analisi del testo dell’emanando Regolamento europeo “concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”.  Esaminiamo qui il tema dei diritti degli interessati dal trattamento dei dati personali.

Preminente (anche a livello strutturale) è la sezione dedicata al riconoscimento di una vasta gamma di diritti (artt. 12-20) in capo agli interessati, ossia alle persone fisiche i cui dati sono oggetto di trattamento. La direzione, da accogliere favorevolmente, è quella di rafforzare i diritti sinora riconosciuti adeguandoli all’ambiente virtuale, e di conferire agli interessati un maggiore potere di controllo sui propri dati personali: in questa ottica, sono da segnalare il diritto di rettifica dei dati (art. 16), il diritto all’oblio (art. 17), il diritto a restringere il campo del trattamento al ricorrere di determinate evenienze (art. 17a), il diritto alla portabilità dei dati (art. 18) e il diritto ad opporsi ai trattamenti effettuati sulla base di un pubblico interesse o di un legittimo interesse del titolare del trattamento (art. 19).

Si è tentato di calare tali diritti, validi per il trattamento effettuato con mezzi tradizionali, nel contesto digitale: un esempio è offerto dalle disposizioni inerenti alle modalità di esercizio del diritto all’oblio, il quale, se fatto legittimamente valere, onera il titolare del trattamento ad assicurare la cancellazione non solo del dato, bensì anche di ogni riferimento (“any links”), copia o duplicazione dello stesso da parte di qualsiasi altro titolare che abbia trattato o tratti quel determinato dato. Analogamente, il diritto alla portabilità dei dati evidenzia la necessità di modernizzare e di approntare soluzioni adeguate alle problematiche emergenti dall’ambiente virtuale: attraverso il riconoscimento di tale diritto in capo all’interessato si mira ad evitare che questi possa essere soggetto a lock-in tecnologici, tutelando la sua libertà di movimento anche nel cyberspazio.

In vista dell’approvazione definitiva del testo finale della Proposta di Regolamento, prevista per questa primavera, è possibile anticipare i temi fondamentali affrontati dalla riforma in materia di protezione dei dati personali.

La riforma in materia di protezione dei dati personali prende avvio con la Proposta della Commissione europea in Gennaio 2012. Da allora, le istituzioni europee hanno proceduto all’elaborazione di una normativa al passo con gli sviluppi tecnologici finalizzata a rafforzare i diritti fondamentali dei cittadini nell’era digitale.

In particolare, il nuovo Regolamento europeo mira ad aggiornare e modernizzare i principi in materia di tutela dei dati personali sanciti dalla direttiva 95/46/CE, secondo un quadro coerente e armonizzato valido per tutto il territorio europeo, che consentirà, tra l’altro, di porre fine alla corrente (e dannosa) frammentazione normativa in materia. Infatti, a differenza delle direttive che necessitano di un atto di recepimento da parte di ciascun Stato membro, lo strumento normativo prescelto per la riforma, il regolamento, è direttamente applicabile e obbligatorio in tutte le sue parti per gli Stati membri.

Il Regolamento, dunque, nel disciplinare la protezione dei dati personali, contestualizza tale tutela nell’ambiente di Internet, tenendo conto delle opportunità ma anche dei rischi insiti nell’impiego della Rete.