Direttore Scientifico: Prof.ssa Avv. Giusella Finocchiaro
Curatrice Editoriale: Dott. Giulia Giapponesi

Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cosa è il registro delle attività di trattamento?

Si tratta di un nuovo adempimento introdotto dal GDPR e consistente nell’elenco di tutte le attività di trattamento svolte sotto la responsabilità del titolare e del responsabile del trattamento.

Chi è obbligato alla tenuta di tale registro?

Il titolare e il responsabile sono tenuti obbligatoriamente a redigere e a conservare in modo autonomo il proprio registro. Il registro del titolare e quello del responsabile devono pertanto essere due documenti distinti, aventi ciascuno un preciso contenuto minimo.

La compilazione del registro potrà eventualmente essere delegata al Data Protection Officer, senza che ciò comporti uno spostamento della responsabilità relativa all’osservanza di tale obbligo che rimane comunque in capo al titolare e al responsabile.

Nella redazione del registro, il titolare e il responsabile potranno poi chiedere l’ausilio dei responsabili dipartimentali della propria organizzazione: si presume infatti che questi ultimi abbiano una maggiore familiarità e conoscenza dei trattamenti svolti all’interno del reparto a cui fanno capo, potendo fornire informazioni più precise e corrette in ordine ai trattamenti.

Il GDPR prevede eccezioni a tale obbligo?

Il nuovo Regolamento prevede che l’obbligo di tenuta del registro delle attività di trattamento non si applichi a imprese o organizzazioni con meno di 250 dipendenti. Tuttavia, affinché tale esonero sia valido, è necessario altresì che il trattamento non presenti un rischio per i diritti e le libertà dell’interessato, il trattamento sia occasionale o non includa il trattamento di categorie particolari di dati o di dati personali relativi a condanne penali e a reati.

Quali informazioni devono essere indicate nel registro?

Il contenuto minimo delle informazioni da inserire nel registro muta a seconda che il documento inerisca le attività di trattamento del titolare ovvero del responsabile.

Nel primo caso, il titolare dovrà indicare: a) il nome e i dati di contatto del titolare e, ove applicabile, del contitolare, del rappresentante del titolare del trattamento e del D.P.O; b) le finalità del trattamento; c) una descrizione delle categorie di interessati e delle categorie di dati personali; d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; e) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità (decisione di adeguatezza o garanzie adeguate); f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati; g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Nel secondo caso, il responsabile è tenuto invece a indicare solo: a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del D.P.O; b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento; c) ove applicabile, il Paese terzo o l’organizzazione internazionale verso cui i dati vengono trasferiti, indicando anche la relativa base di legittimità; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

È possibile elaborare e conservare il registro in forma elettronica?

Il GDPR prescrive la forma scritta del registro, ammettendo tuttavia l’equivalenza del formato elettronico. Sarà dunque possibile elaborare e conservare il registro anche direttamente su periferiche informatiche, ad esempio attraverso la creazione di file Excel.

Esistono ulteriori adempimenti connessi al registro?

La mera redazione del registro non è sufficiente per potersi dire completamente conformi al GDPR. Occorre infatti provvedere periodicamente alla sua revisione ed aggiornamento, in particolare inserendo eventuali nuove attività di trattamento o eliminando quelle cessate.

Inoltre, il titolare e il responsabile del trattamento (e, ove applicabile, il loro rappresentante) hanno l’obbligo di esibire il registro ogniqualvolta l’Autorità Garante per la protezione dei dati personali lo richieda.

firma_digitale2Il regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.

Cos’è il consenso al trattamento?

Secondo la nuova definizione del GDPR, per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento” (art. 4, n 11).

Analizzando la definizione, si desume che il consenso rappresenta una manifestazione di volontà, espressa in termini affermativi e in maniera inequivocabile. Dunque potrà essere unicamente una dichiarazione o azione positiva dell’interessato e non invece un suo comportamento meramente passivo, per esempio un suo ipotetico silenzio-assenso.

Inoltre, il GDPR, come anche il Codice privacy, richiede che il consenso sia non solo inequivocabile, ma anche: libero (prestato in assenza di costrizioni); specifico (uno per ogni finalità di trattamento); informato (all’interessato deve essere stata fornita adeguata informativa sul trattamento dei dati personali).

Chi deve richiedere il consenso per il trattamento dei dati personali?

Il titolare del trattamento o, se a ciò specificatamente istruito, il responsabile del trattamento devono raccogliere il consenso dell’interessato nel caso vogliano trattarne i dati.

Si segnala che il GDPR pone in capo al titolare un vero e proprio onere probatorio. L’art. 7, 1° comma specifica infatti che il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali.

Quando deve essere richiesto il consenso per i dati personali?

Il consenso dell’interessato è una delle molteplici basi giuridiche che il GDPR prevede, alternativamente, per legittimare il trattamento di dati personali che il titolare vuole effettuare. Ciò vuol dire che sarà necessario raccogliere il consenso ogniqualvolta non sia utilizzabile una delle alternative basi giuridiche previste dal GDPR all’art. 6. Queste sono essenzialmente “circostanze equipollenti” al consenso, in presenza delle quali i dati possono essere trattati anche senza il consenso dell’interessato.

Quali sono le circostanze equipollenti al consenso dell’interessato?

L’art. 6 del GDPR elenca, oltre al consenso, cinque diversi tipi di basi giuridiche che riprendono per lo più le alternative già previste dal nostro Codice privacy. Il trattamento sarà comunque lecito in assenza del consenso dell’interessato se: a) è necessario all’esecuzione di un contratto o di un obbligo precontrattuale di cui l’interessato è parte; b) è necessario per adempiere ad un obbligo legale; c) è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona; d) è necessario per l’esecuzione di un compito di interesse pubblico; e) è necessario per il perseguimento di un legittimo interesse del titolare o di terzi, purché non pregiudichi le libertà o i diritti degli interessati.

In quest’ultimo caso sarà dovere e responsabilità del titolare operare il bilanciamento fra il suo interesse legittimo e i diritti degli interessati, giustificando la prevalenza del suo interesse su quello dei diversi interessati.

Quali possono essere legittimi interessi del titolare?

Il GDPR ai considerando 47,48 e 49 elenca a titolo esemplificativo alcuni attività che potrebbero essere considerate di interesse legittimo per il titolare, prevalenti rispetto a quelli degli interessati.

Tra queste si inserisce la legittima prevenzione delle frodi o le finalità di marketing diretto (che si precisa avviene nel caso il titolare utilizzi i dati di contatto che l’interessato gli aveva fornito in precedenza nel contesto della vendita di un prodotto o di un servizio senza richiedere il consenso dell’interessato, a condizione che si tratti di servizi analoghi a quelli oggetto della vendita e che l’interessato, adeguatamente informato, non rifiuti tale uso). Ancora potrebbe considerarsi coperto dall’interesse legittimo il trattamento di dati a fini amministrativi interni o al fine di garantire la sicurezza delle reti e dell’informazione.

Ci sono condizioni particolari per il trattamento dei dati sensibili (c.d. particolari categorie di dati)?

Per il trattamento di categorie particolari di dati (dati sensibili), la regola generale e? quella del consenso “esplicito” (il consenso esplicito si applica anche nel caso in cui il titolare intenda adottare un procedimento decisionale basato unicamente su trattamenti automatizzati, compresa la profilazione, che produca effetti giuridici sull’interessato).

Anche in questo caso il GDPR prevede una serie “circostanze equipollenti” che derogano alla necessità di raccogliere il consenso (art. 9). Tra queste ve ne sono alcune particolarmente innovative, tra cui trattamenti necessari per: assolvere ad obblighi in materia di diritto del lavoro, sicurezza sociale e protezione sociale; finalità di medicina preventiva o di medicina del lavoro; motivi di interesse pubblico nel settore della sanita? pubblica; fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o fini statistici.

Quali sono le novità in materia di consenso dei minori?

Il GDPR inserisce una disposizione ad hoc per il consenso dei minori, che tuttavia riguarda esclusivamente l’offerta diretta di servizi della società dell’informazione.

In considerazione dell’ampia varietà di contenuti e servizi digitali a cui i minori hanno accesso grazie all’utilizzo di Internet, il GDPR vuole rafforzare la posizione di tutela di questi ultimi di fronte ai pericoli della Rete. L’art. 8 specifica quindi che il consenso prestato dal minore per il trattamento dei suoi dati personali, nell’ambito di un servizio della società dell’informazione, è lecito solo nel caso il minore abbia almeno 16 anni (età che può essere diminuita fino a un minimo di 13 anni dagli Stati membri).

Nel caso l’età del minore sia inferiore, il trattamento sarà legittimato solo con il consenso, prestato o autorizzato, dal genitore o comunque titolare della responsabilità genitoriale.

Quali sono le condizioni di raccolta del consenso?

Alla luce della definizione di consenso (manifestazione di volontà libera, specifica, informata e inequivocabile), il GDPR specifica alcune condizioni richieste al titolare al fine di assicurare la raccolta di un consenso legittimo.

Il consenso può essere prestato tramite dichiarazione scritta o a mezzo di dichiarazione orale.

Nel caso il consenso sia prestato per iscritto, nell’ambito di una dichiarazione che riguardi anche altre questioni, il consenso al trattamento dei dati personali deve essere presentato in maniera chiaramente distinguibile dalle altre materie.

La formulazione del consenso deve essere comprensibile e facilmente accessibile, utilizzando quindi un linguaggio semplice e chiaro.

Inoltre il titolare deve tenere in considerazione che il consenso prestato dall’interessato potrà essere dallo stesso sempre revocato, in qualsiasi momento, con la stessa facilità con cui è stato accordato.

Come scrivere un consenso conforme al regolamento?

Per sintetizzare, per formulare un consenso conforme al GDPR, questo:

1) deve integrare un atto positivo inequivocabile: può essere raccolto attraverso una dichiarazione scritta, anche attraverso mezzi elettronici, o una dichiarazione orale;

1.1) ciò implica che non equivalgono a consenso: silenzio, inattività o preselezione di caselle

1.2) al contrario si potrà raccogliersi il consenso tramite: apposita casella (non preselezionata) su un sito; la scelta di impostazioni tecniche per i servizi della società dell’informazione o comunque qualsiasi dichiarazione o comportamento che indichi chiaramente l’accettazione dell’interessato

2) deve essere formulato con un linguaggio semplice, chiaro e comprensibile;

3) deve esserci un consenso per ciascuna finalità di trattamento (si ricorda che marketing e profilazione costituiscono finalità distinte);

4) in presenza di minori: verificare l’età del minore o richiedere il consenso parentale;

5) per le particolari categorie di dati, deve essere in ogni caso “esplicito”;

6) necessita l’adozione di misure che permettano al titolare di dimostrare l’avvenuta raccolta del consenso e l’esercizio agevole del diritto di revoca dell’interessato.

Il Parlamento Europeo ha approvato l’apertura dei negoziati da parte del Parlamento europeo nei confronti del Consiglio relativamente al procedimento di adozione della proposta di Regolamento per la privacy nelle comunicazioni elettroniche.

L’attuale direttiva sulla e-privacy è stata aggiornata l’ultima volta nel 2009. La proposta di una revisione, presentata il 10 gennaio 2017, sostituisce la direttiva con un Regolamento che completa il quadro dell’UE in materia di protezione dei dati allineandole al Regolamento sulla Protezione dei dati che entrerà in vigore nel maggio 2018.

Il regolamento sulla riservatezza e le comunicazioni elettroniche proposto dalla Commissione garantirà una maggiore tutela della vita privata delle persone e schiuderà nuove opportunità commerciali. Le misure presentate sono volte ad aggiornare le norme attuali, estendendone il campo di applicazione a tutti i fornitori di servizi di comunicazione. Le norme in materia di riservatezza si applicheranno d’ora in poi anche ai nuovi operatori che forniscono servizi di comunicazione elettronica – ad esempio WhatsApp, Facebook Messenger, Skype, Gmail, iMessage, Viber. Sarà quindi aggiornata la vigente direttiva ePrivacy che si applica unicamente agli operatori di telecomunicazioni tradizionali.

L’obiettivo è quello di rafforzare la fiducia e la sicurezza nel mercato unico digitale creando un giusto equilibrio tra elevata protezione dei consumatori e possibilità di innovazione per le imprese. La proposta inoltre prevede che il trattamento dei dati personali ad opera delle istituzioni e degli organismi dell’UE garantisca lo stesso livello di tutela della riservatezza previsto negli Stati membri, così come disposto dal regolamento generale sulla protezione dei dati, e definisce un approccio strategico alle questioni concernenti i trasferimenti internazionali dei dati personali.

Il Quotidiano Nazionale, testata che riunisce Il Resto del Carlino, Il Giorno e La Nazione, il 10 aprile 2017 ha pubblicato oggi un’intervista a Giusella Finocchiaro sul tema della privacy e delle telefonate commerciali.

Il Registro delle opposizioni è stato un tentativo, ma non funziona. Per difenderci abbiamo tre strade giudiziarie. La segnalazione al Garante privacy, la denuncia penale o quella civile.

L’illecito trattamento dei dati è punito dal Codice Privacy con la reclusione dai sei ai diciotto mesi. Si arriva a 24 mesi quando ci sono di mezzo comunicazione e diffusione. Nei casi più gravi, per esempio in caso di violazione delle disposizioni sulle informazioni sensibili, è prevista la reclusione da uno a tre anni.

Il Garante fa un’istruttoria e commina una multa. Il problema è che è oberato di lavoro, i tempi non sono rapidi. Anche se le sanzioni erogate sono state parecchie. Il Garante può anche chiedere una tutela penale per il cittadino. Poi c’è la via civile: se il cittadino riceve disturbi, può chiedere il risarcimento. Alcune decisioni hanno riconosciuto un danno perché era stata turbata la vita di una persona.

Purtroppo per diventare vittime di violazioni della nostra privacy basta stipulare un qualunque contratto. Dovrebbero chiederci un consenso specifico per usare il nostro nome a fini di marketing. Supponiamo di comprare un bene su Internet. per la consegna a casa devo dare indirizzo e email. Sono informazioni necessarie, per legge non dovrebbero nemmeno chiedere il consenso privacy. Ma magari il fornitore vuole usare i miei dati anche per informarmi di altre offerte. Qui il consenso diventa necessario. Ma alcuni pensano che essere poco corretti sia vantaggioso e chiedono un unico sì per fare la consegna prima e il marketing poi. Di solito è scritto tra le righe dell’informativa privacy, ma nessuno la legge, è per addetti ai lavori. Questa cattiva pratica è abbastanza diffusa. Non sono così tanti quelli che si fanno un vanto di seguire le regole.

Ovviamente c’è una strada legale. Ci danno tutte le informazioni corrette, ci chiedono se siamo disponibili affinché i nostri dati vengano usati per fini di marketing. A questo punto le informazioni girano, e non è detto che lo facciano gratuitamente. Nomi numeri e abitudini commerciali hanno un valore. Sono frammenti della nostra personalità ma anche beni economicamente rilevanti. E passano magari da una società all’altra.

Il punto di partenza della violazione è comunque sempre un consenso che non c’è o è mischiato. Poi le liste continuano a viaggiare. I rimedi per opporsi sulla carta ci sono, lo abbiamo verificato. Il problema è che sono parzialmente efficaci. E su internet si vedono anche identità digitali complete.


Una recente sentenza della Corte di Giustizia Europea che gli indirizzi IP possono essere considerati come dati personali perché possono essere impiegati per individuare un utente attraverso il ricorso alle autorità o agli ISP provider.

La questione è stata posta nell’ambito di una controversia tra il sig. Patrick Breyer e la Bundesrepublik Deutschland (Repubblica federale di Germania) in merito alla registrazione e alla conservazione dell’indirizzo IP del sig. Breyer in occasione della consultazione di vari siti Internet dei servizi federali tedeschi.

Al fine di contrastare attacchi e identificare i «pirati informatici», nei siti governativi tedeschi gli accessi sono registrati e, al termine della sessione di consultazione, vengono memorizzati dati quali il nome del sito o del file consultato, le parole inserite nei campi di ricerca, la data e l’ora della consultazione, il volume dei dati trasferiti, il messaggio relativo all’esito della consultazione e l’indirizzo IP del computer a partire dal quale è stato effettuato l’accesso.

Il sig. Breyer si è rivolto ai giudici amministrativi tedeschi, chiedendo che alla Repubblica federale di Germania sia vietato conservare gli indirizzi IP. La richiesta è stata rigettata in primo grado ma il giudice di appello ha parzialmente accolto l’istanza condannando la Repubblica federale di Germania ad astenersi dal conservare gli indirizzi IP qualora essi vengano memorizzati unitamente alla data della sessione di consultazione e qualora gli utenti abbiano rivelato la propria identità durante la sessione, anche sotto forma di un indirizzo elettronico.

Secondo la Corte di appello tedesca, dunque, un indirizzo IP dinamico, associato alla data della consultazione, è da considerarsi un dato personale solo nel caso in cui l’utente abbia rivelato la propria identità durante la navigazione, mentre  se un utente non indica la propria identità durante una sessione di consultazione l’indirizzo IP non sarebbe un dato personale perché solamente l’Internet Service Provider può ricollegare l’indirizzo IP al nome di un abbonato.

Opponendosi alla decisione del giudice di appello si sono rivolti al Bundesgerichtshof (Corte federale di giustizia) sia la Repubblica federale di Germania che il sig. Breyer. Quest’ultimo puntava ad un accoglimento integrale della sua domanda inibitoria mentre lo Stato ne chiedeva il rigetto.

Il giudice del rinvio ha precisato che la qualificazione degli indirizzi IP come dati «personali» dipenderebbe dalla possibilità o meno di identificare l’utente e ha posto una controversia dottrinale riguardo alla scelta di un criterio «oggettivo» oppure di un criterio «relativo» per stabilire se una persona sia identificabile. Applicando un criterio «oggettivo», dati come gli indirizzi IP potrebbero essere considerati dati personali anche qualora solamente un terzo sia in grado di determinare l’identità della persona interessata, terzo che, in questo caso, sarebbe il fornitore di accesso a Internet. Secondo un criterio «relativo», invece, questi dati potrebbero essere qualificati come dati personali solo in relazione ad un particolare soggetto, come il fornitore di accesso a Internet, in grado di risalire alla precisa identificazione dell’utente. Di contro, non potrebbero essere considerati dati personali nei confronti di altri organismi, come i gestori di siti Internet, dato che questi non disporrebbero delle informazioni necessarie all’identificazione senza ricorrere a fonti esterne, tranne nel caso in cui l’utente non abbia rivelato la propria identità nel corso della navigazione.

La corte di Giustizia Europea ha innanzitutto rilevato che un indirizzo IP dinamico non costituisce un’informazione riferita a una «persona fisica identificata», dal momento che non rivela direttamente l’identità del proprietario del computer collegato a un sito Internet, né quella di un’altra persona che potrebbe utilizzare detto computer. Tuttavia, ha sottolineato la corte, dalla formulazione dell’articolo 2, lettera a), della direttiva 95/46 risulta che si considera identificabile una persona che può essere identificata non solo direttamente, ma anche indirettamente. Inoltre, il considerando 26 della direttiva 95/46 enuncia che, per determinare se una persona sia identificabile, è opportuno prendere in considerazione l’insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona.

Secondo la Corte, il fatto che le informazioni aggiuntive necessarie per identificare gli utenti non siano detenute direttamente dai gestori dei siti, ma dal fornitore di accesso a Internet, non pare sufficiente ad escludere che gli indirizzi IP dinamici possano essere considerati dati personali ai sensi dell’articolo 2, lettera a), della direttiva 95/46. Infatti, occorre determinare se la possibilità di combinare un indirizzo IP dinamico con i nominativi detenuti dai fornitori di accesso a Internet costituisca un mezzo accessibile ai gestori di siti. Un’eventualità che non sarebbe ipotizzabile se l’identificazione della persona interessata fosse vietata dalla legge o praticamente irrealizzabile, per esempio a causa del fatto che implicherebbe uno dispendio di tempo, di costo e di manodopera.

Nonostante il diritto nazionale tedesco non consenta agli ISP di trasmettere direttamente le informazioni per identificare una persona a partire da un indirizzo IP, la Corte ha rilevato che esistono strumenti giuridici che consentono ai gestori di siti, in particolare in caso di attacchi cibernetici, di rivolgersi alle autorità affinché queste ottengano tali informazioni dal fornitore di accesso a Internet e per avviare procedimenti penali. Pertanto ne deriva che esistono mezzi che possono essere ragionevolmente utilizzati per identificare, con l’aiuto di altri soggetti, una persona sulla base del suo indirizzo IP.

La Corte di Giustizia Europea ha quindi stabilito che l’articolo 2, lettera a), della direttiva 95/46 dev’essere interpretato nel senso che un indirizzo IP dinamico registrato da un sito costituisce, nei confronti del gestore del sito, un dato personale, qualora detto fornitore disponga di mezzi giuridici che gli consentano di far identificare la persona interessata attraverso il ricorso all’Internet service provider dell’utente.

La sentenza della Corte di Giustizia è disponibile QUI.

Svolume-schremsCon una decine di recenti sentenze la Corte di Giustizia Europea ha affermato la rilevanza strategica che la protezione dei dati personali ha assunto nell’Unione Europea. Emerge chiaramente la volontà, apparentemente ovvia, di applicare i principi del diritto europeo al trattamento dei dati personali degli europei. Tuttavia, il tema che si affronta è più ampio e riguarda la difficoltà di giurisdizione su Internet, un non-luogo dove non esistono norme condivise, non essendo individuabile un soggetto politico legittimato a emanare le regole a livello globale.

La decisione nel caso Schrems segna un ulteriore passo verso l’affermazione di un modello europeo contrapposto a quello statunitense e la primazia del controllo giudiziario sugli accordi UE/USA. Per offrire una ampia analisi dell’attuale contesto giuridico, è stato pubblicato il volume “La protezione transnazionale dei dati personali dai “safe harbour principles” al “privacy shield””, curato da Giorgio Resta e Vincenzo Zeno-Zencovich.

Il volume si pone in continuità rispetto a quello sulla precedente sentenza nel caso Google Spain: dodici studiosi analizzano la nuova decisione sotto molteplici aspetti giuridici, prospettando interpretazioni e prospettive anche alla luce del “Privacy Shield” che dovrebbe governare la circolazione trans-atlantica dei dati.

Nel capitolo “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” Giusella Finocchiaro approfondisce le tematiche alla base delle sentenze della Corte di Giustizia.

Il volume è pubblicato sotto licenza “creative commons” ed è dunque liberamente consultabile e disponibile per il download gratuito a questa pagina.

Negli ultimi due anni, con una decine di sentenze la Corte di Giustizia Europea ha affermato la rilevanza strategica che la protezione dei dati personali ha assunto nell’Unione Europea. Emerge chiaramente la volontà, apparentemente ovvia, di applicare i principi del diritto europeo al trattamento dei dati personali degli europei. Tuttavia, il tema che si affronta è più ampio e riguarda la difficoltà di giurisdizione su Internet, un non-luogo dove non esistono norme condivise, non essendo individuabile un soggetto politico legittimato a emanare le regole a livello globale. Giusella Finocchiaro ha analizzato questo scenario nel saggio  “La giurisprudenza della Corte di Giustizia in materia di dati personali da Google Spain a Schrems” pubblicato su “Il diritto dell’informazione e dell’informatica” Anno XXX Fasc. 4-5 -2015.

Ne presentiamo qui un estratto. È possibile scaricare la versione completa in pdf cliccando QUI.

Si leggono alcune tendenze, evidenti nelle due decisioni più note, Google Spain e Schrems, ma presenti anche in altre, di carattere politico, anticipatorie rispetto alle scelte ormai quasi compiute nell’emanando regolamento. In estrema sintesi, la Corte vuole affermare l’applicabilità della normativa europea anche nel caso in cui i titolari di trattamento dei dati personali siano soggetti non europei e i dati vengano trattati prevalentemente fuori dall’Europa. Ribadisce il rango costituzionale del diritto alla protezione dei dati personali secondo la Carta dei diritti fondamentali dell’Unione europea e soprattutto la prevalenza di tale diritto sugli altri diritti, pure costituzionalmente garantiti, affermando così una scelta culturale e di principi. Riafferma il carattere di eccezionalità delle limitazioni al diritto alla protezione dei dati personali. Assume che il livello di protezione dei dati personali adottato in Europa sia più elevato rispetto al livello di protezione dei dati personali adottato altrove nel mondo e si fa promotrice del modello europeo del diritto alla protezione dei dati personali. La Corte europea si riappropria e consolida la posizione volta ad affermare l’applicazione del diritto europeo al trattamento dei dati personali degli europei. Si tratta di indirizzi profondamente politici in cui la Corte orgogliosamente sceglie cultura, principi e diritto europeo, contrapponendosi alla visione e agli interessi, nei casi in esame, statunitensi. La Corte esercita dunque un ruolo di supplenza politica, estendendo l’applicabilità della normativa europea e anticipando nell’interpretazione della direttiva-madre l’emanando regolamento europeo sulla protezione dei dati personali.

Schermata 2016-03-20 alle 19.44.42Il Garante per la protezione dei dati personali ha predisposto una versione aggiornata della scheda informativa sulla figura del Responsabile della protezione dei dati personali (Data Protection Officer) modificata in base al Regolamento Generale sulla Protezione dei Dati, di cui si attende a breve la pubblicazione nella Gazzetta Ufficiale dell’Unione europea.

Come già riportato su questo blog, il Regolamento europeo di prossima emanazione conferma la figura del Data Protection Officer (già previsto, a livello europeo, dal Regolamento UE n. 44/2001) che dovrà essere designato in tutti i casi in cui il trattamento venga svolto da una pubblica autorità, richieda un regolare e sistematico monitoraggio degli interessati su larga scala o, ancora, abbia ad oggetto dati sensibili.

Il Responsabile della protezione dei dati personali, impiegato sulla base di un contratto con il titolare del trattamento o dal responsabile del trattamento, dovrà essere una figura che possa operare in assenza di conflitti di interesse.

Il Data Protection Officer ha il compito di informare e consigliare il titolare o il responsabile del trattamento, nonché i dipendenti, sugli obblighi normativi e verificare l’attuazione e l’applicazione del Regolamento e delle altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati e alle politiche del titolare o del responsabile del trattamento in materia di privacy. Se richiesto, potrà fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliare i relativi adempimenti.  Il suo ruolo, inoltre, prevede che possa essere il punto di contatto non solo per il Garante ma anche per gli interessati al trattamento, in merito a qualunque problematica connessa ai loro dati o all’esercizio dei loro diritti.

Il testo normativo relativo al Data Protection Officer si fonda sulla proposta di Regolamento COM(2012)11 concernente la “tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati”, come successivamente modificata a seguito degli emendamenti di Parlamento europeo e Consiglio Ue.

La scheda del Garante è disponibile QUI.

A rischio i dati sensibili degli iscritti ad Ashley Madison, un portale di dating espressamente dedicato agli incontri extraconiugali.

Un gruppo di hacker, autonominatosi Impact Team, si è servito di una falla del sito web per venire in possesso dei dati sensibili di 37 milioni di utenti.

I dati riguardano non solo gli attuali membri, ma anche coloro che in passato hanno posseduto un account e che successivamente ne hanno chiesta e ottenuta la cancellazione.

Noel Bilderman, Ceo della Avid Life Media, società proprietaria del sito, ha confermato la notizia, senza però offrire informazioni ulteriori sulla gravità del furto avvenuto. Impact Team, che ha invece dichiarato di essersi impossessato della totalità dei dati disponibili, ha intimato la chiusura immediata e definitiva di Ashley Madison e Established Men, altro sito di dating controllato dalla Avid Life Media. In caso di rifiuto, la totalità dei dati dei profili, i nomi, gli indirizzi, i numeri delle carte di credito, le transazioni bancarie e le conversazioni private degli utenti iscritti saranno resi pubblici.

Nel 2011, Ashley Madison si era reso noto in Italia per una campagna pubblicitaria che faceva esplicito riferimento alle vicende private dell’allora Presidente del Consiglio. In quel periodo oltre 200.000 italiani decisero di creare un account.

La natura dei dati sensibili raccolti dal portale fa ipotizzare gravi danni alla sfera privata di molti cittadini in caso di diffusione non autorizzata.

Un funzionario statale australiano ha inavvertitamente diffuso senza autorizzazione i dati personali di 31 capi di stato, inviando una mail al destinatario sbagliato.

L’incidente, reso noto dal Guardian, si è verificato in occasione dell’incontro dei capi di stato partecipanti al G20 che si è tenuto in Australia lo scorso novembre.

Un funzionario della “divisione visti” del Dipartimento per l’immigrazione, avvalendosi del servizio di autoriempimento della rubrica di Outlook, ha inavvertitamente inviato a un membro del comitato di organizzazione del torneo calcistico Asian cup i dati personali dei leader mondiali presenti al G20, tra cui Obama, Putin, Renzi e Merkel.

Le informazioni inviate per errore comprendevano l’elenco dei numeri di passaporto e dati anagrafici. Appena ricevuta la segnalazione dell’errore dal destinatario, l’impiegato si è rivolto al proprio superiore, che a sua volta ha comunicato l’accaduto al Garante privacy australiano.

La notifica al Garante sottolineava che il data breach era riconducibile a un semplice ”errore umano”, e che “l’ufficio visti” del Dipartimento per l’immigrazione aveva già provveduto a cancellare la mail incriminata e a svuotare il cestino della posta eliminata.

In virtù dell’operazione così compiuta, e forte del riserbo garantito dagli organizzatori della Asian Cup, il direttore ha poi spiegato di non aver ritenuto necessario informare i Governi coinvolti nella vicenda per via della bassa possibilità di rischi connessi alla diffusione delle notizie contenute nella lettera.

Il Guardian ha potuto consultare la documentazione inerente all’accaduto grazie alla normativa sulla trasparenza disposta dal governo australiano.

Al momento non si conoscono le azioni intraprese dal Garante privacy australiano, e se si sia provveduto a informare i diretti interessati dell’accaduto.

Ciò che si rivela in tutta la sua evidenza è che nemmeno i capi di stato si possono ritenere per qualche motivo al sicuro dalla diffusione non autorizzata dei propri dati sensibili.