Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

In cosa consiste la valutazione d’impatto?

Con il nuovo Regolamento privacy il titolare del trattamento è chiamato a valutare il rischio a cui il proprio trattamento potrebbe esporre i dati trattati e, quindi, i diritti e le libertà fondamentali delle persone fisiche. La valutazione d’impatto consiste quindi in un “processo continuo” da riesaminare periodicamente e in occasione di eventuali mutamenti sostanziali, il cui risultato finale è rappresentato da una rassegna delle attività svolte per valutare il rischio derivante dal trattamento e dei mezzi, degli strumenti e delle misure adottate per contrastarlo.

Quando occorre effettuare tale valutazione?

La valutazione d’impatto andrebbe svolta dal titolare prima di procedere al trattamento, ossia in una fase in cui sia ancora possibile apportare modifiche e adottare misure tali da mitigare l’eventuale rischio emergente dalla valutazione. Tale adempimento rientra infatti nell’ambito dell’approccio di sicurezza proattiva adottato dal GDPR, consistente in una serie di strumenti a carattere preventivo e anticipatorio della tutela dei dati personali oggetto di trattamento.

Si tratta di un adempimento obbligatorio?

La valutazione d’impatto è obbligatoria solo in taluni casi, cioè quando il trattamento consista in: 1) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche; 2) un trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati; o 3) una sorveglianza sistematica su larga scala di una zona accessibile al pubblico (per il concetto di larga scala, si veda LINK Faq sul DPO). È poi previsto che l’Autorità Garante per la protezione dei dati personali rediga e pubblichi un elenco delle tipologie di trattamenti soggetti a tale adempimento.

Anche nei casi in cui non debba procedersi obbligatoriamente alla valutazione d’impatto, quest’ultima rappresenta una misura raccomandata, poiché consente al titolare di individuare le eventuali situazioni di rischio e di porvi rimedio prima di arrecare danni agli interessati ovvero di violare la normativa.

Chi deve procedere alla valutazione d’impatto?

Responsabile della conduzione della valutazione d’impatto è il titolare del trattamento che può decidere di condurre la valutazione all’interno della propria organizzazione ovvero affidarla all’esterno. In ogni caso, la responsabilità rimane in capo al titolare che dovrà quindi vigilare attentamente sulla conduzione della valutazione d’impatto.

Come evidenziato anche dal Regolamento, il titolare dovrebbe poi consultarsi fin dall’inizio con il Data Protection Officer e con i responsabili del trattamento. E? altresì previsto che, ove necessario, il titolare del trattamento (o il soggetto incaricato di effettuare la valutazione) raccolga le opinioni degli interessati o dei loro rappresentanti sul trattamento che si intende effettuare, documentando l’eventuale difformità di opinioni, nonché le motivazioni che hanno indotto ad agire diversamente da quanto emerso dalle consultazioni.

Come si effettua la valutazione d’impatto?

Una volta esaminata l’obbligatorietà o facoltatività della conduzione della valutazione, occorre procedere ad una ricognizione sistematica dei trattamenti che presentano un rischio elevato. Per ciascun trattamento (o categoria di trattamento) andranno quindi raccolte informazioni circa: a) la natura, la finalità e il contesto del trattamento; b) le categorie di dati (personali e sensibili) oggetto di trattamento, i soggetti interessati a cui si riferiscono e il periodo di conservazione dei dati; c) una descrizione funzionale delle operazioni di trattamento e, in particolare, dei flussi informativi (ipotesi di comunicazione, diffusione, cessione, trasferimento dei dati con l’indicazione specifica dei soggetti destinatari dei dati interni o esterni all’organizzazione del titolare del trattamento); d) le modalità (cartacee e automatizzate) e gli strumenti con cui viene effettuato il trattamento; e) i soggetti che potranno accedere ai dati unitamente alle finalità o alle motivazioni sottese all’accesso.

Successivamente, occorrerà valutare se il trattamento sia necessario e proporzionale in relazione alle finalità e alle misure di sicurezza adottate: per ciascun trattamento andranno quindi verificate le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali.

Grazie alla documentazione e alle informazioni così raccolte, sarà possibile procedere all’identificazione dei rischi a cui sono esposti i dati, analizzandone il ciclo di vita e prendendo in considerazione il loro impiego, le finalità per cui sono utilizzati, le tecnologie impiegate e i soggetti autorizzati a trattarli.

Una volta identificati i rischi, occorrerà infine provvedere alla gestione dei medesimi. In questa fase sarà dunque necessario scegliere (ove vi sia margine di valutazione) se un determinato rischio vada eliminato, mitigato oppure accettato.

Dove conservo la valutazione d’impatto?

I risultati e le osservazioni emersi in sede di valutazione d’impatto devono confluire in un report finale, in cui le informazioni precedentemente raccolte e analizzate vengono presentate in maniera sistematica e funzionale unitamente alle misure e ai rimedi elaborati e da implementare per contrastare i rischi emersi. Il report dovrà altresì recare l’indicazione specifica dell’organizzazione o del progetto per cui la valutazione d’impatto è stata condotta, nonché i soggetti o il team che ha svolto la valutazione d’impatto unitamente ai dati di contatto di un referente.

Pillola: gli adempimenti successivi alla valutazione d’impatto

Sebbene non sia obbligatoria a norma del Regolamento, il Gruppo di lavoro Art. 29, nelle sue Guidelines on DPIA adottate il 4 aprile 2017 e revisionate il 4 ottobre 2017, raccomanda la pubblicazione del report (o di parte di esso) per ragioni di trasparenza e per dimostrare la conformità al Regolamento. Ciò è suggerito in particolare per le organizzazioni il cui trattamento di dati riguarda la generalità dei consociati (ad esempio, le autorità pubbliche), ma rappresenta ad ogni modo una buona prassi per tutte le organizzazioni.

Ove sulla base della valutazione d’impatto il titolare del trattamento sia riuscito a porre rimedio in modo soddisfacente ai rischi emersi, la procedura può dirsi conclusa. In caso contrario, cioè qualora la situazione di rischio non sia stata mitigata e il trattamento riveli pertanto un rischio ancora elevato per i diritti e le libertà fondamentali dei soggetti interessati, occorrerà rivolgersi all’Autorità Garante italiana per la protezione dei dati personali, al fine di avviare la c.d. consultazione preventiva ai sensi dell’art. 36 del Regolamento.

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa è il registro delle attività di trattamento?

Si tratta di un nuovo adempimento introdotto dal GDPR e consistente nell’elenco di tutte le attività di trattamento svolte sotto la responsabilità del titolare e del responsabile del trattamento.

Chi è obbligato alla tenuta di tale registro?

Il titolare e il responsabile sono tenuti obbligatoriamente a redigere e a conservare in modo autonomo il proprio registro. Il registro del titolare e quello del responsabile devono pertanto essere due documenti distinti, aventi ciascuno un preciso contenuto minimo.

La compilazione del registro potrà eventualmente essere delegata al Data Protection Officer, senza che ciò comporti uno spostamento della responsabilità relativa all’osservanza di tale obbligo che rimane comunque in capo al titolare e al responsabile.

Nella redazione del registro, il titolare e il responsabile potranno poi chiedere l’ausilio dei responsabili dipartimentali della propria organizzazione: si presume infatti che questi ultimi abbiano una maggiore familiarità e conoscenza dei trattamenti svolti all’interno del reparto a cui fanno capo, potendo fornire informazioni più precise e corrette in ordine ai trattamenti.

Il GDPR prevede eccezioni a tale obbligo?

Il nuovo Regolamento prevede che l’obbligo di tenuta del registro delle attività di trattamento non si applichi a imprese o organizzazioni con meno di 250 dipendenti. Tuttavia, affinché tale esonero sia valido, è necessario altresì che il trattamento non presenti un rischio per i diritti e le libertà dell’interessato, il trattamento sia occasionale o non includa il trattamento di categorie particolari di dati o di dati personali relativi a condanne penali e a reati.

Quali informazioni devono essere indicate nel registro?

Il contenuto minimo delle informazioni da inserire nel registro muta a seconda che il documento inerisca le attività di trattamento del titolare ovvero del responsabile.

Nel primo caso, il titolare dovrà indicare: a) il nome e i dati di contatto del titolare e, ove applicabile, del contitolare, del rappresentante del titolare del trattamento e del D.P.O; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; e) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità (decisione di adeguatezza o garanzie adeguate); f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Nel secondo caso, il responsabile è tenuto invece a indicare solo: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del D.P.O; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

È possibile elaborare e conservare il registro in forma elettronica?

Il GDPR prescrive la forma scritta del registro, ammettendo tuttavia l’equivalenza del formato elettronico. Sarà dunque possibile elaborare e conservare il registro anche direttamente su periferiche informatiche, ad esempio attraverso la creazione di file Excel.

Esistono ulteriori adempimenti connessi al registro?

La mera redazione del registro non è sufficiente per potersi dire completamente conformi al GDPR. Occorre infatti provvedere periodicamente alla sua revisione ed aggiornamento, in particolare inserendo eventuali nuove attività di trattamento o eliminando quelle cessate.

Inoltre, il titolare e il responsabile del trattamento (e, ove applicabile, il loro rappresentante) hanno l’obbligo di esibire il registro ogniqualvolta l’Autorità Garante per la protezione dei dati personali lo richieda.

carta-didentitàIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Chi è il Data Protection Officer?

Il Data Protection Officer, o più comunemente D.P.O. (in italiano, “Responsabile della protezione dei dati”), è la figura nominata dal titolare o dal responsabile del trattamento avente, principalmente, un duplice ruolo: da un lato, quello di sorvegliare e coordinare l’osservanza della disciplina privacy all’interno dell’organizzazione del soggetto che l’ha designato; dall’altro, quello di interfaccia esterna con le autorità e con i soggetti interessati.

Quando deve essere nominato il D.P.O.?

La designazione del D.P.O. è obbligatoria quando: a) il trattamento è effettuato da un soggetto pubblico (eccettuate le autorità giurisdizionali); b) il trattamento richiede il monitoraggio sistematico degli interessati su larga scala; c) viene effettuato il trattamento su larga scala di particolari categorie di dati (ad esempio: dati sensibili, dati genetici, biometrici, dati giudiziari o dati riferiti a minori). Tuttavia, la legge nazionale o il diritto europeo possono prevedere ulteriori casi di designazione obbligatoria.

Al di fuori di queste ipotesi, la nomina del D.P.O. è facoltativa ma è comunque fortemente raccomandata, data la rilevante funzione di ausilio e di supporto nell’osservanza del GDPR.

Quali sono i requisiti necessari per essere nominati D.P.O.?

Il D.P.O. deve possedere conoscenze specialistiche proporzionate alla sensibilità, complessità e quantità dei dati sottoposti a trattamento. In particolare, deve padroneggiare la normativa e le prassi nazionali ed europee in materia di protezione dei dati e avere un’approfondita conoscenza del GDPR, così come del settore di attività e della struttura organizzativa del titolare del trattamento.

Infine, deve avere una buona familiarità con le operazioni di trattamento svolte, nonché con i sistemi informativi e le esigenze di sicurezza e protezione dei dati manifestate dal titolare/responsabile.

Quali compiti può svolgere il D.P.O.?

Oltre alla funzione di coordinamento interno e di interfaccia esterna, il D.P.O. deve occuparsi della formazione continua dell’organico del titolare/responsabile del trattamento in materia privacy, monitorare il rispetto del GDPR, nonché fornire – ove richiesto – un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento. L’elenco delle mansioni non è esaustivo e il titolare o il responsabile del trattamento possono decidere di affidargli ulteriori compiti, come ad esempio la tenuta del registro delle attività di trattamento.

Il D.P.O. può essere un dipendente?

Il titolare o il responsabile del trattamento possono decidere di nominare D.P.O. un soggetto interno alla propria organizzazione ovvero di affidare la mansione ad un soggetto esterno (mediante outsourcing o un contratto di servizi). In entrambi i casi, occorrerà garantire la piena autonomia e indipendenza del D.P.O., così come l’assenza di conflitti di interesse. Per questo motivo, il D.P.O. non può ricevere istruzioni né essere rimosso o penalizzato per l’adempimento dei propri compiti.

Il D.P.O. può avvalersi di ausiliari?

È obbligo del titolare o del responsabile del trattamento fornire al D.P.O. tutte le risorse necessarie in termini di tempo e budget sufficienti per espletare i propri compiti, infrastrutture (sede, attrezzature, strumentazione) e personale. Il D.P.O. può infatti avvalersi di un team di collaboratori che lo coadiuvino nei propri compiti. In tal caso, occorrerà ripartire chiaramente i compiti all’interno del team e prevedere che sia un solo soggetto identificato a fungere da referente.

Chi è responsabile delle violazioni del GDPR?

Il controllo del rispetto del GDPR non significa che il D.P.O. sia personalmente responsabile in caso di inosservanza. Il titolare e il responsabile del trattamento continueranno a rispondere delle eventuali violazioni in materia privacy derivanti dal loro trattamento.

Il titolare/responsabile deve rendere pubblica la nomina del D.P.O.?

La nomina del D.P.O. deve essere resa nota tanto all’interno, quanto all’esterno dell’organizzazione del titolare o del responsabile del trattamento. In particolare, sul sito del titolare/responsabile del trattamento andranno pubblicati i dati di contatto del D.P.O., tra cui recapito postale, numero telefonico dedicato e/o indirizzo dedicato di posta elettronica. I medesimi dati di contatto dovranno poi essere comunicati all’Autorità Garante per la protezione dei dati personali, nonché resi noti ai soggetti interessati per il tramite dell’informativa (vd. scheda sull’informativa).

Security_cybercrimeLa Corte di Cassazione a Sezioni Unite mette un punto all’annosa questione concernente la qualificazione della causale di bonifico come dato sensibile, risolvendo un contrasto giurisprudenziale sorto in seno alla Corte stessa e di cui questo blog si era già occupato.

I fatti sono noti: il soggetto beneficiario di un’indennità per malattia e invalidità elargita ai sensi della l. 25 febbraio 1992, n. 210 (“Indennizzo a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni”) lamenta l’illecito trattamento dei propri dati da parte della Regione, erogatrice dell’indennizzo e ordinatrice del relativo bonifico, e della sua banca, ricevente il bonifico per conto del proprio correntista. Giacché i riferimenti legislativi della norma che accorda l’indennità sono menzionati nella causale di bonifico, il soggetto beneficiario sostiene che tale indicazione sia idonea a rivelare il proprio stato di salute e, di conseguenza, rappresenti un dato sensibile che deve essere trattato con le cautele rigorose previste per tale peculiare categoria di dati. In considerazione dell’esplicita dicitura indicata nella clausola di bonifico, tanto la Regione, quanto la Banca non avrebbero invece adottato – secondo il beneficiario – le opportune cautele di cifratura dei dati sensibili volte a non rendere identificabile il soggetto interessato e ad escludere il collegamento tra quest’ultimo e il dato sensibile. Da qui, l’illecito trattamento.

La Cassazione affronta la questione dapprima nel 2014, con la sentenza n. 10947, abbracciando la teoria della causale del bonifico come dato sensibile, poi nel 2015 con la sentenza n. 10815 smentendo l’orientamento precedentemente espresso e sostenendo, in particolare, l’assenza di un obbligo in capo alla Regione e alla banca di cifrare i dati (maggiori approfondimenti QUI).

Alla luce di tale contrasto giurisprudenziale, la Prima sezione civile della Cassazione, nuovamente interpellata sul tema, rinvia la questione alle Sezioni Unite che, con la sentenza n. 30981 del 27 dicembre 2017, sposano il primo degli orientamenti menzionati. In primo luogo, le Sezioni Unite si interrogano sulla natura della causale del bonifico, giungendo ad affermare che si tratta di dato sensibile in quanto “la dizione ‘pagamento rateo arretrati bimestrali e posticipati l. n. 210 del 1992’ contiene la rivelazione del dato sensibile riguardante la salute del ricorrente in quanto la periodicità della corresponsione (…) non può che riguardare il soggetto affetto dalle patologie cui l’indennità si riferisce e non i suoi familiari-eredi ai quali la legge riconosce un importo a titolo di una tantum”. In secondo luogo, ritenendo che sia la Regione, sia la banca abbiano posto in essere un trattamento di dati e che ne siano i relativi titolari, i giudici ermellini proseguono nel valutare l’applicabilità o meno al caso di specie delle cautele riservate ai dati sensibili, in particolare le tecniche di cifratura e l’utilizzazione di codici identificativi di cui al già richiamato art. 22, 6° comma del Codice privacy. A tal proposito, le Sezioni Unite – in contrasto con la sentenza del 2015 – sostengono che l’obbligo della cifratura non sia limitato ai dati sensibili esclusivamente contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti elettronici, così come indicato nella su citata disposizione, ma si estenda a tutte le modalità di raccolta dei dati come si ricava dalla più puntuale indicazione contenuta nel successivo 7° comma, specificamente diretta ai dati sensibili relativi alla salute. In tale disposizione si precisa, infatti, che i dati idonei a rivelare lo stato di salute debbano essere trattati con le modalità di cui al 6° comma (che richiede la cifratura o l’utilizzazione di codici identificativi).

Secondo la Cassazione, dunque, la Regione avrebbe dovuto osservare le prescrizioni contenute nell’art. 22, commi 6 e 7, che impongono di rendere inintelligibili i dati sensibili e permettono di identificare gli interessati solo in caso di necessità. A nulla rilevano – secondo i giudici – gli “obblighi di trasparenza posti a carico della pubblica amministrazione nell’allocazione e distribuzione delle risorse finanziarie ai quali i soggetti pubblici sono tenuti (…) perché i beneficiari dell’indennità sono identificabili per relationem per mezzo dei codici cifrati o criptati limitatamente però a ciò che è strettamente necessario a provvedere alle erogazioni ed a rispettare gli altri obblighi normativi ed istituzionali”.

Tuttavia, l’iter argomentativo delle Sezioni Unite non si arresta qui: in modo innovativo (quanto atipico), le Sezioni Unite estendono l’obbligo di cifratura anche alla banca che di norma, a causa della propria natura di soggetto privato, non sarebbe soggetta a tale cautela, imposta solo ai soggetti pubblici nell’ambito dei propri trattamenti. Tuttavia, nel caso di specie, i giudici ritengono che la mancata adozione da parte della banca di idonee misure che impediscano l’identificazione del soggetto interessato “determinerebbe un vulnus privo di ragionevolezza in ordine al trattamento dei dati nella fase successiva alla trasmissione di essi all’istituto bancario, caratterizzata dal potenziale aumento del numero dei soggetti che ne possono venire a contatto. Le cautele della cifratura sono finalizzate proprio ad evitare la conoscenza dei dati sensibili attinenti alla salute da parte di soggetti che ne possano venire a contatto per” il semplice fatto di far parte dell’organizzazione del titolare del trattamento (in questo caso, la banca).

In conclusione, secondo le Sezioni Unite, i titolari del trattamento – a prescindere dalla loro natura privata o pubblica –, ove si trovino a trattare dati sensibili, dovrebbero sempre adottare modalità organizzative dirette ad escludere il collegamento tra il dato sensibile e il soggetto interessato ed a limitare l’identificabilità per le operazioni indispensabili ed ai soli addetti a tali specifiche operazioni, celando ai restanti componenti dell’organizzazione del titolare la decifrabilità dei dati.

Digital-Signature-blueIl processo telematico torna ad essere oggetto di attenzione nelle aule giudiziarie. Sebbene la digitalizzazione del processo rappresenti ormai una realtà con cui gli operatori si interfacciano quotidianamente, paiono esservi ancora dubbi circa il concreto utilizzo dei nuovi sistemi telematici.

È arrivato sino in Cassazione il ricorso di un avvocato che sosteneva l’illeggibilità delle notifiche con estensione “.p7m”, ossia il formato con cui vengono identificati i documenti a cui è apposta la firma digitale di tipo CAdES. L’avvocato fondava il proprio ricorso principalmente sulla disparità di trattamento rispetto alle notifiche in formato analogico in ragione della pienezza di conoscenza e conoscibilità che queste, a differenza di quelle telematiche, avrebbero assicurato. Il ricorrente sosteneva altresì l’assenza di una normativa che imponeva al destinatario di munirsi di un programma di lettura e che un obbligo in tal senso avrebbe comportato oneri eccessivi in violazione degli artt. 3 e 24 della Costituzione.

Con ordinanza del 25 settembre 2017, n. 22320, la VI Sezione della Corte di Cassazione civile ha respinto il ricorso sancendo l’onere del destinatario di notifiche telematiche di dotarsi di adeguati strumenti di lettura e codifica di queste ultime.

Alla luce del d.m. 21 febbraio 2011, n. 44 relativo alle regole tecniche per l’adozione nel processo civile e penale delle tecnologie dell’informazione e della comunicazione, la Corte Suprema ha in primo luogo rilevato che, sebbene non venga ivi definito un vero e proprio obbligo, l’impiego di strumenti informatici per la formazione e notificazione degli atti non solo è possibile e legittimo, ma indispensabile al fine di consentire l’operatività concreta della normativa sul processo telematico. Trattasi dunque – secondo i giudici – di una “imposizione implicita”, riflesso dell’evoluzione della disciplina delle notificazioni tradizionali e dell’adeguamento al mutato contesto tecnologico e, pertanto, non contraria alle norme costituzionali.

I giudici hanno poi escluso che la dotazione di specifici programmi informatici costituisca un onere eccezionale od eccessivamente gravoso: al contrario, essi rappresentano ormai un indispensabile complemento dello strumentario quotidiano del professionista legale, necessario per il corretto esercizio della professione.

L’orientamento espresso con la presente ordinanza evidenzia l’acquisizione di una maggiore familiarità con i principi sottesi al processo telematico che, non tanto tempo fa, erano oggetto di interpretazioni discordanti. Si prenda ad esempio la sentenza del Tribunale di Lecce del 16 marzo 2016 che tanto fece discutere per l’ordine di rinnovare la notificazione della citazione secondo l’ordinario procedimento a mezzo ufficiale giudiziario: tra le altre motivazioni, il GOT sostenne l’assenza di un obbligo normativo di munirsi di programmi di lettura degli atti sottoscritti con firma digitale.

Ad oggi può dunque rilevarsi un certo grado di consapevolezza e padronanza non solo degli strumenti informatici, ma anche dei principi sottesi al processo telematico di cui la giurisprudenza diventa promotrice contribuendo ad educare il professionista alla digitalizzazione del processo.

Non cessa il dibattito sulle fake news (letteralmente, “notizie false”), termine con il quale si fa riferimento a quel fenomeno – tutto digitale – di circolazione di notizie non veritiere che, ribalzando da una piattaforma all’altra (può essere un blog, un social), assumono il connotato di notizia attendibile sulla base non tanto della loro verificabilità, quanto della quantità di condivisioni ottenute. In altre parole, è il numero di utenti che visualizza e condivide la notizia a conferire attendibilità all’informazione e autorevolezza alla fonte. Un sistema, dunque, che pecca di inaffidabilità in quanto non si basa su criteri oggettivi di valutazione.

Il fenomeno pare essere ormai diventato virale, tanto da formare oggetto dell’attenzione del Parlamento europeo che, con risoluzione del 15 giugno 2017 sulle piattaforme on line e il mercato unico digitale, ha colto l’occasione per esprimere la propria opinione al riguardo. In tale sede, tra gli altri temi, il Parlamento ha esortato il legislatore europeo ad approfondire la situazione attuale e il quadro giuridico vigente relativo alle notizie false verificando la possibilità di un intervento legislativo per limitare la divulgazione e la diffusione di contenuti falsi. A tal proposito, un ruolo attivo può essere assunto dalle piattaforme on line che dovrebbero fornire agli utenti gli strumenti necessari per denunciare le notizie false, così informando gli altri utenti della contestazione di veridicità occorsa. Secondo il Parlamento europeo, anche la responsabilità degli intermediari digitali andrebbe chiarita a tal riguardo, in modo da promuovere la certezza giuridica e da accrescere la fiducia degli utenti. Infine, il Parlamento osserva come, allo stesso tempo, la libertà di espressione e il libero scambio di opinione siano valori fondamentali da tutelare e da non comprimere, se non a seguito di un opportuno bilanciamento di interessi che ne dimostri la necessità.

Delle esposte problematiche e della viralità di tale fenomeno sono ben consapevoli anche le Autorità italiane. L’Autorità Garante per la protezione dei dati personali si è espressa favorevolmente circa l’opportunità di responsabilizzare gli intermediari rispetto all’uso distorto della Rete, pur riconoscendo tuttavia come un’estensione di tale sistema al campo delle fake news potrebbe degenerare in censura. Dall’altra parte, l’Autorità per le Garanzie nelle Comunicazioni auspica una strategia regolatoria incentrata su obblighi di trasparenza e accountability delle funzioni di distribuzione delle notizie da parte delle piattaforme Internet attraverso, ad esempio, l’adozione di meccanismi che inibiscano l’accesso alle risorse pubblicitarie e ai siti riconosciuti quali fonti di notizie false.

In conclusione, pare che uno dei più grandi pregi di Internet, ossia quello di dare voce a tutti, si stia in realtà risolvendo – a causa dell’uso scorretto e non responsabile della Rete – in un rischioso veicolo di disinformazione. Non resta che vedere come si comporterà il legislatore: se opterà per un intervento normativo generale che detti criteri oggettivi e fornisca strumenti di eliminazione (anche automatica) delle fake news o, piuttosto, se – responsabilizzando gli intermediari – lascerà ad essi l’arduo compito di definire un sistema di contrasto a tale fenomeno.

Recentemente la Corte di Cassazione si è trovata ad affrontare il tema della qualificazione della causale di bonifico come dato sensibile ove indichi indennizzi elargiti per malattia o invalidità, esplicitati della dicitura “assegno ex l. 210/1992”, legge che riconosce le indennità a favore dei soggetti danneggiati da complicanze di tipo irreversibile a causa di vaccinazioni obbligatorie, trasfusioni e somministrazioni di sangue o, in caso di decesso, in favore dei congiunti delle vittime.

Sul punto i giudici della Suprema Corte si sono espressi a più riprese con orientamenti contrastanti. In tutti i casi esaminati la questione concerneva i rapporti tra la Regione, erogatrice dell’indennizzo e ordinatrice del bonifico, e la banca del soggetto menomato o contagiato, ricevente il bonifico per conto del suo correntista.

Nella prima pronuncia risalente al 2014 (sentenza del 19 maggio 2014, n. 10947), la Corte ha ritenuto la causale di bonifico recante i menzionati riferimenti legislativi alla stregua di un dato sensibile, evidenziando l’illecito trattamento dei dati da parte della Regione e della banca posto che nel diffondere e conservare tali dati non avevano adottato idonee tecniche di cifratura o numeri di codici non identificabili, come prescritto dall’art. 22, 6° comma del Codice in materia di protezione dei dati personali.

Nella seconda pronuncia – più articolata della precedente – (sentenza del 20 maggio 2015, n. 10280) i giudici supremi hanno ribaltato l’orientamento seguendo un iter decisionale del tutto opposto. In primo luogo, hanno negato alla causale di bonifico così compilata la natura di dato sensibile, rilevando come la legge a cui si faceva riferimento prevedeva che beneficiari dell’indennizzo potessero essere, alternativamente, i soggetti direttamente colpiti o anche i loro familiari. Dal momento che l’elargizione dell’assegno non dipendeva dalla malattia del soggetto che materialmente riceveva il bonifico, i giudici concludevano che l’informazione non fosse sufficiente a rivelare lo stato di salute del beneficiario e, dunque, non fosse dato sensibile.

In secondo luogo, secondo la Corte di Cassazione, non poteva parlarsi di “diffusione” di dati da parte della Regione alla banca giacché tale – a norma dell’art. 4, lett. m) del Codice – può considerarsi solo la comunicazione a soggetti indeterminati, mentre nel caso di specie la comunicazione avveniva solo nei confronti della banca del correntista beneficiario dell’indennizzo.

I giudici hanno poi rilevato che il riferimento all’art. 22, 6° comma del Codice Privacy era privo di fondamento posto che, come correttamente riportato, l’adozione di tecniche di cifratura risulta applicabile solo a casi specifici ove i dati provengano da elenchi o registri e la finalità sia quella di gestione ed interrogazione degli stessi. Neppure la banca poteva essere considerata onerata dell’adozione di tali misure per tre ragioni: la disposizione in oggetto si applicava ai soli soggetti pubblici; in capo ai soggetti privati sorgeva l’obbligo di cifratura solo per i dati idonei a rivelare lo stato di salute e se trattati con strumenti elettronici, condizioni entrambi assenti nel caso di specie; la comunicazione al proprio cliente di dati personali riguardanti esso stesso non costituiva trattamento.

Secondo la Cassazione, infine, la banca operava come rappresentante del correntista che riceveva il pagamento della Regione per conto di quest’ultimo: l’imputazione del pagamento dunque valeva come compiuta dal debitore (Regione) direttamente al creditore (beneficiario dell’assegno).

La Suprema Corte ha così ritenuto legittime le condotte della Regione e della banca, non ravvisando alcun trattamento illecito di dati personali.

Il tema è tornato recentemente all’attenzione della Prima sezione civile della Corte di Cassazione, la quale con due ordinanze interlocutorie (rispettivamente nn. 3455 e 3456 depositate il 9 febbraio 2017) ha demandato alle Sezioni Unite il compito di sanare il contrasto giurisprudenziale in oggetto. In tale occasione, senza aderire all’uno o all’altro orientamento, la Cassazione si è solo espressa circa la qualificazione dell’indicazione dei riferimenti normativi nella causale del bonifico come “dato sensibile”, precisando che, sebbene il pagamento possa avvenire tanto nei confronti dei congiunti quanto del soggetto contagiato o menomato, solo verso quest’ultimo il pagamento sarebbe corrisposto in rate (mentre ai congiunti sarebbe corrisposta una somma una tantum). Tale forma di pagamento sarebbe dunque idonea a identificare inequivocabilmente il soggetto destinatario del pagamento come vittima di contagio o menomazione e, per tale motivo, l’indicazione del pagamento dei ratei costituirebbe dato sensibile.

Si rimane dunque in attesa di conoscere come le Sezioni Unite risolveranno il contrasto giurisprudenziale appena descritto e, in particolare, se daranno un’interpretazione estensiva o restrittiva al concetto di dato sensibile.

Si discute nuovamente di Privacy Shield, l’accordo regolatore dei flussi transfrontalieri di dati tra Unione europea e Stati Uniti che di recente ha sostituito il previgente Safe Harbor.

A distanza di pochi mesi dall’entrata in vigore del testo, la Corte di Giustizia europea è chiamata a decidere sull’adeguatezza della tutela assicurata dal Privacy Shield.

Alcune società attive nel campo digitale e operanti trasferimenti di dati personali all’estero (tra cui l’ormai nota Digital Rights Ireland Ltd.) sostengono infatti che il Privacy Shield non offra un adeguato livello di protezione, a differenza di quanto ritenuto dalla Commissione europea che il 12 luglio 2016 ha adottato la decisione di adeguatezza rendendo legittimi i trasferimenti di dati verso gli Stati Uniti e le organizzazioni americane aderenti al nuovo accordo.

In particolare, i ricorrenti sostengono che lo “scudo” UE-USA per la privacy non recepisca integralmente i princìpi e i diritti a tutela della protezione dei dati personali contenuti nella direttiva 95/46/CE (che – si ricorda – sarà abrogata a decorrere dal 2018 ad opera del recente Regolamento UE 679/2016) e, conseguentemente, non assicuri in modo adeguato i diritti dei cittadini europei. Nei ricorsi si contesta altresì che l’accordo non esclude l’accesso indiscriminato alle comunicazioni elettroniche da parte delle autorità straniere così violando il diritto al rispetto alla vita privata, alla protezione dei dati e la libertà di espressione di cui alla Carta dei diritti fondamentali dell’Unione europea.

In ragione di tali motivi i ricorrenti hanno impugnato la decisione di adeguatezza della Commissione ai sensi dell’art. 263 TFUE che prevede la possibilità per i soggetti interessati di impugnare ed ottenere l’annullamento degli atti della Commissione entro due mesi dalla loro entrata in vigore o dalla loro pubblicazione.

Giova ricordare a questo punto che il Gruppo di lavoro Art. 29 aveva già espresso le proprie remore relativamente ad alcuni aspetti dell’accordo che non erano stati modificati nonostante le reiterate richieste di revisione. Nello statement del 26 luglio 2016, immediatamente successivo all’adozione del Privacy Shield, il Gruppo dei Garanti europei rilevava che non fossero state disposte concrete misure di sicurezza per evitare la raccolta generalizzata di dati e che non fosse stata assicurata l’indipendenza di ruolo e di poteri di importanti organismi di ricorso (come l’Ombudsperson).

Pare dunque che il nuovo regime non abbia portato all’instaurazione di un clima di certezza del quadro regolatore dei flussi transfrontalieri di dati verso gli Stati Uniti, Paese che evidentemente non riceve ancora fiducia da parte degli operatori europei. Si attende ora la decisione della Corte di Giustizia che potrebbe ritenere inammissibili i ricorsi per difetto di legittimazione o infondatezza di motivi oppure potrebbe decidere di accogliere l’impugnazione.

whatsappIl Garante per la protezione dei dati personali ha avviato un’istruttoria a seguito della modifica della privacy policy effettuata da WhatsApp a fine agosto.

La nuova informativa privacy di Whatsapp non sfugge al vaglio dell’Autorità Garante. A seguito dell’acquisizione della società di messaggistica da parte di Facebook, è stata infatti disposta la condivisione dei dati personali degli utenti con il noto social network per finalità presumibilmente di marketing.

Il problema non risiede nello scambio di dati tra le due società appartenenti al medesimo gruppo imprenditoriale, possibilità tra l’altro prevista sia dalla direttiva 96/46/CE in materia di protezione dei dati personali sia dal recente Regolamento generale europeo n. 679/2016 ove vengono espressamente definiti le regole e i limiti per il trasferimento di dati infragruppo.

Ciò che preoccupa il Garante è la profilazione che scaturirebbe dall’associazione dei dati degli utenti di Whatsapp (come ad esempio il numero di telefono) con quelli di Facebook. Una tale correlazione permetterebbe infatti non solo di inviare pubblicità e annunci mirati in relazione agli interessi degli utenti, ma anche di individuare più facilmente gli utenti stessi e la rispettiva cerchia di contatti. Sotto il profilo strettamente operativo, l’effetto di tale associazione di dati potrebbe essere quello di rendere vane talune misure volte a garantire ad esempio la non rintracciabilità dei soggetti, come l’uso di pseudonimi ovvero la scelta di non rendere visibile il proprio profilo.

A ciò si aggiunge la vaghezza dell’informativa – rilevata dal Garante – che non risulta evidenziare in modo chiaro quale siano le finalità del trattamento e la tipologia di dati comunicati. Inoltre, il Garante si riserva di esaminare le modalità di acquisizione del consenso degli utenti alla comunicazione dei dati dal momento che attualmente Whatsapp propone solo una scelta preselezionata di accettazione delle nuove condizioni.

Oggetto dell’istruttoria del Garante saranno, infine, anche le misure volte a garantire l’esercizio dei diritti degli utenti, considerato che – come si legge nel comunicato stampa dell’Autorità – “dall’avviso inviato sui singoli device la revoca del consenso e il diritto di opposizione sembrano poter essere esercitati in un arco di tempo limitato”.

freewifiRecentemente la Corte di Giustizia europea è stata chiamata a giudicare l’utilizzo di Internet e, in particolare, delle reti wi-fi c.d. libere (cioè non protette da password), impiegate sovente da utenti che, approfittando dell’anonimia assicurata dalla Rete, violano le prerogative del diritto d’autore.

Con sentenza del 15 settembre 2016 relativa alla causa C-484/14, la Corte di Giustizia si è pronunciata a favore dell’assoluzione del gestore di una rete locale senza fili ad uso gratuito e accessibile senza autorizzazione che era stata impiegata da un utente per la diffusione di un’opera musicale on line senza il consenso dei titolari dei relativi diritti.

Riconoscendo il servizio di accesso a Internet come un servizio della società dell’informazione consistente nella mera fornitura di accesso a una rete di comunicazione, i giudici di Lussemburgo hanno ritenuto esente da ogni responsabilità il gestore della rete wi-fi ai sensi della direttiva 2000/31/CE. Quest’ultimo, come del resto i fornitori dei servizi di hosting, non ha infatti l’onere (né la materiale possibilità) di conoscere o controllare le informazioni trasmesse tramite la propria rete.

Tuttavia, operando un necessario equilibrio tra diritti fondamentali (nel caso di specie, libertà di impresa e diritto d’autore), la Corte ha aggiunto che l’autorità giudiziaria nazionale può esigere che un prestatore di servizi ponga fine ad una violazione dei diritti d’autore o che la prevenga, purché le misure tecniche a ciò finalizzate non restringano eccessivamente la libertà d’impresa del prestatore. Secondo la Corte di Giustizia, proteggere la rete wi-fi con una password rappresenta una misura tecnica che “non arreca pregiudizio al contenuto essenziale dei diritti” dei fornitori di servizi di accesso e, allo stesso tempo, è idonea a tutelare il diritto d’autore “nei limiti in cui gli utenti di detta rete siano obbligati a rivelare la loro identità e non possano quindi agire anonimamente”.