La privacy e il trattamento dei dati personali

Cos’è la Privacy? Cosa sono i dati personali e come possono essere trattati? Introduzione e stato dell’arte della materia con il nuovo Regolamento Europeo alle porte

 

Privacy: di cosa stiamo parlando

“Lei sta violando la mia Privacy”, quante volte lo avremo detto? Per chi non fosse a conoscenza di questo termine, esso può essere tradotto come quel diritto volto alla riservatezza delle informazioni personali e della vita privata. Attraverso questa espressione, in sostanza, intimiamo qualcuno a non intromettersi nella nostra vita.

Nonostante già nel 1890 era presente, negli USA, una concezione di Privacy[1], individuata come diritto ad esser lasciato solo, nel nostro paese inizia a radicarsi a partire dagli anni ’60. L’evoluzione tecnologica e l’implementazione della comunicazione elettronica portano questo diritto ad un livello più evoluto, tanto è vero che oggi si parla di Privacy soprattutto in chiave negativa: Protezione dei dati personali, dunque un vero e proprio diritto negativo volto a impedire che informazioni sulla nostra persona vengano rivelate.

L’evoluzione normativa che ha portato alla cristallizzazione del diritto alla Privacy trova le sue radici in sistemi legislativi sovra-nazionali. Il primo atto che protegge la propria sfera personale è la Carta Europea dei Diritti dell’Uomo, che stabilisce come non sia possibile ingerire nel diritto alla libertà individuale se non per motivi di sicurezza nazionale, difesa dell’ordine e per la prevenzione di reati.

L’Unione Europea disciplina questo diritto nella sua Carta Fondamentale dei Diritti, l’art. 8 provvede a garantire ad ogni individuo il potere di proteggere i dati di carattere personale che lo riguardano. L’eventuale trattamento deve prevedere una specifica finalità e il consenso da parte di chi fornisce tali informazioni. Infine, la possibilità di rettifica nel caso in cui i dati dovessero variare.

In Italia, la Costituzione non trova una specifica norma sulla Privacy, ma tra i 139 articoli si può latu sensu intravedere qualche riferimento: innanzitutto l’articolo 2 che sancisce come la Repubblica garantisce i diritti inviolabili dell’uomo […] e poi gli artt. 14, 15 e 21. Successivamente all’emanazione della direttiva comunitaria 95/46/CE del Parlamento europeo e del Consiglio, viene promulgata la legge 675 del 1996 e poi, in sua sostituzione, il Codice in materia di trattamento dei dati personali – D.lgs. 196/2003 – considerato come normativa più completa a livello europeo. Dal prossimo 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo 2016/679 “Pacchetto protezione dati” [2].

 

Il trattamento e la protezione dei dati personali

Il Codice è uno strumento qualificabile come completo. In effetti, dopo aver schematizzato gli elementi necessari, crea una vera procedura di trattamento dando anche idonee garanzie nel caso di violazioni[3].

È doverosa una premessa a carattere tecnico per capire i presupposti dell’importanza che viene data al trattamento dei dati personali. Innanzitutto, per dato personale si intende “qualunque informazione relativa a persona fisica, identificata od identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. I dati personali si dividono in quattro categorie:

• Dati sensibili: quelli idonei a rivelare “l’origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” di una persona;
• Dati semi-sensibili: nella quale rientrano dati personali il cui trattamento può arrecare danni al titolare, come i dati relativi alle liste di sospettati di frode, i nominativi inseriti nelle centrali rischi, i dati relativi alla situazione finanziaria;
• Dati comuni: sono tutte quelle informazioni, come nome, cognome, partita I.V.A., codice fiscale, indirizzo (compreso quello di posta elettronica), numeri di telefono, numero patente, che consentono di individuare una persona fisica o giuridica, sia essa anche un ente od associazione;
• Dati giudiziari: sono quelle informazioni idonee a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti.

Con una tipologia di questi dati, direttamente o indirettamente, è possibile indentificare un soggetto.

Le persone coinvolte nel trattamento dei dati sono quattro:

• L’Interessato, persona fisica, cioè colui al quale si riferiscono i dati stessi e che può esercitare i diritti di cui all’articolo 7 del D.lgs. 196/2003;
• Il Titolare, colui che da inizio al trattamento, può essere una persona fisica o giuridica a cui spettano le decisioni in merito alla finalità e alle modalità del trattamento dei dati;
• Il Responsabile, persona fisica o giuridica, preposto al trattamento dei dati su potere del Titolare. La figura è facoltativa;
• L’Incaricato, la persona fisica che è autorizzata dal titolare o dal responsabile a compiere materialmente il trattamento.

Quando ci accingiamo a fornire a qualcuno i dati personali, dobbiamo dare lui il consenso al trattamento. Il Titolare o chi per lui deve quindi eseguire una serie di adempimenti che, se non rispettati, possono determinare un illecito amministrativo o penale.

L’iter che permette il trattamento dei dati inizia con la sottoposizione all’interessato dell’Informativa, con essa si informa colui che fornisce i dati che essi verranno trattati. Cosa si intende per trattamento?

Qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

 

L’informativa risulta essere una comunicazione, essa è dovuta anche nel caso in cui non sia richiesto alcun consenso o all’opposto quando è necessario fornire tali dati in quanto sussiste un obbligo di legge. Nel momento in cui è presente tale comunicazione, che sia scritta o orale, essa deve contenere un contenuto minimo. Secondo l’art. 13 del D.lgs. 196/2003 sono necessari:

• Finalità e modalità di trattamento
• Natura obbligatoria o facoltativa del conferimento dei dati
• I soggetti e le categorie di soggetti ai quali i dati possono essere comunicati
• I diritti dell’interessato
• I dati di coloro che effettueranno il trattamento
• Cessione dei dati a terzi (eventuale)

 

Soffermandoci su questi punti è doveroso aprire una parentesi di carattere pratica.

Molto spesso, quando siamo invitati a compilare un form con i nostri dati, ad esempio per ottenere una fidelity card al supermercato a al negozio che vende indumenti, non facciamo mai caso a quello che è scritto in basso, con un carattere molto piccolo. Siamo in queste occasioni un po’ negligenti per i più svariati motivi. Solitamente questa disattenzione è portatrice di chiamate telefoniche indesiderate da parte di call center o la ricezione di e-mail spam che intendono offrirci prodotti o servizi o ancor più grave, truffarci. Questo avviene in quanto, certamente, abbiamo consentito sia il trattamento dei dati per la finalità principale, ossia ottenere la fidelity card, ma soprattutto abbiamo acconsentito alla cessione dei dati a terzi. Anche per questo motivo è quindi importante leggere o chiedere esattamente cosa comporta rilasciare e sottoscrivere una informativa per il trattamento dei dati personali.

 

I diritti dell’interessato e il Garante per la protezione dei dati personali

L’interessato deve essere messo nella condizione di far valere le proprie pretese. I diritti che andremo ad elencare possono essere richiesti al Titolare o al Responsabile, personalmente o per mezzo di delegato:

• Diritto di esprimere il consenso al trattamento dei dati;
• Diritto ad essere informato sull’identità del titolare del trattamento e del responsabile del trattamento dei dati, nonché sulle modalità e finalità del trattamento;
• Diritto ad ottenere informazioni e modifiche sui dati, in particolare: conferma dell’esistenza di dati che lo riguardano, comunicazione degli stessi, della loro origine e della finalità del loro trattamento, cancellazione o trasformazione n forma anonima o blocco dei dati trattati illegittimamente, aggiornamento, rettifica e integrazione dei dati;
• Diritto al risarcimento del danno in caso di trattamento illecito;
• Diritto ad opporsi al trattamento anche se conforme alla finalità dichiarate;
• Diritto ad opporsi al trattamento dei dati personali effettuato per finalità commerciali, pubblicitarie, di vendita o ricerca di mercato;
• Diritto ad opporsi al trattamento dei dati personali volto a delineare il profilo o la personalità dell’interessato, salvo le eccezioni di legge.

 

Il Titolare o il responsabile ha il diritto di chiedere all’interessato di identificarsi, in caso negativo potrà far valere il suo diritto di non portare a compimento la richiesta. Al contrario, se l’identificazione è positiva avrà l’onere di finalizzare la richiesta dell’interessato.

Il Legislatore, al fine di garantire la corretta applicazione della normativa in materia di trattamento dei dati personali, ha creato un organo indipendente che opera un controllo preventivo e successivo sulle attività di trattamento dei dati personali: Il Garante per la protezione dei dati personali, anche conosciuto come “Garante Privacy”.

Il Garante ha poteri istruttivi, consultivi e sanzionatori e principalmente controlla se i trattamenti sono effettuati a norma di legge. Il compito non è tanto autorizzare i trattamenti, ma piuttosto verificare la loro legittimità.

Autonomamente o attraverso altri organi dello Stato, il Garante può chiedere ai soggetti coinvolti nel trattamento dei dati personali l’accesso alle banche dati e/o le ispezioni nei luoghi dove avviene il trattamento dei dati e nel caso di illeciti amministrativi o penali irroga direttamente le sanzioni. La principale sanzione è prevista dall’art. 2050 del codice civile “Responsabilità per l’esercizio di attività pericolose” e prevede il risarcimento del danno provocato all’interessato. In questa fattispecie sarà onere del Titolare del trattamento dimostrare di aver adottato tutte le misure necessarie ad evitare il danno.

Il Garante costituisce il primo grado per il ricorso amministrativo contro le eventuali violazioni della normativa e le sue decisioni, con l’applicazione del contraddittorio, sono impugnabili davanti la magistratura.

Gli illeciti amministrativi riguardano l’omessa o inidonea informativa all’interessato, la cessione dei dati in violazione delle norme, l’omessa o incompleta notificazione, l’omessa informazione o esibizione di documenti richiesti al Garante.

Gli illeciti penali[4] sono diversi: l’art. 167 disciplina il trattamento illecito di dati personali. La consumazione del reato avviene al verificarsi del danno, per cui il nocumento alla persona offesa è elemento costitutivo del fatto.

L’articolo 168 punisce la falsità nelle dichiarazioni e nelle notificazioni al Garante

L’art. 169 prevede l’omessa adozione di misure necessarie alla sicurezza dei dati. In questo caso siamo davanti ad una contravvenzione che prevede anche la possibilità di regolarizzare il trattamento nel termine di sei mesi, nel qual caso l’ammenda è diminuita.

L’art. 170 punisce l’inosservanza del provvedimento del Garante.

 

La privacy e il rapporto con internet

Se fin ora abbiamo parlato di casi in cui è palese la richiesta di trattamento dei dati personali, ora dobbiamo porre la nostra attenzione a forme di trattamento diverse, più sottili e che non sempre sono riconoscibili. Al di là della presenza di diverse fattispecie criminose come l’illecita diffusione dei dati personali, lo spionaggio informatico, la frode informatica ecc., esistono sul web degli strumenti capaci di veicolare i nostri click o i nostri likes e influenzare le nostre scelte o i nostri gusti.

 

Parliamo dei cookies

I cookies sono programmi che, installandosi nel computer durante la navigazione sul web, facilitano la navigazione in internet.

Il legislatore ha individuato tre tipologie di cookies:

1. cookies tecnici, quelli che non producono alcun rischio per la privacy, in quanto essi sono gli unici capaci di rendere effettivamente una navigazione migliore sul web
2. cookies di profilazione, cioè i cookies che vengono installati dall’editore del sito, e
3. cookies di profilazione di terze parti che vengono installati da terze parti come ad esempio i social network.

 

Se i primi sono utilizzati ad esempio per gli acquisti online o nei sistemi home-banking. I secondi e i terzi invece vengono utilizzati per scopi fondamentalmente pubblicitari.

Dobbiamo considerare che tali programmi rimangono installati nel nostro computer finché l’utente non decide di eliminarli o bloccarli. A causa di ciò molto spesso ci ritroviamo, durante la navigazione, la riproposizione estenuante di pubblicità e banner di prodotti che vorremmo acquistare o servizi di cui vorremmo usufruire. I cookies di terze parti hanno in più la capacità di leggere tutti i cookies che man mano si sono installati sul nostro computer, riuscendo a tracciare tutti i nostri click sul web e dunque i nostri gusti, le nostre scelte e tutto ciò che può interessare la nostra sfera sociale.

Il Garante per porre un freno a questi strumenti ha, nel 2014, emanato una legge per regolare il loro utilizzo. In presenza di cookies di profilazione è necessario che l’interessato venga informato e dia il consenso. Per adempiere a ciò, il soggetto proprietario del sito web deve creare un banner che deve comparire nel momento in cui un soggetto approda sul sito internet, il messaggio deve obbligatoriamente contenere un’informazione che avvisa la presenza di cookies di profilazione; l’eventuale presenza di cookies di profilazione di terze parti e un link che rimanda ad un’informativa più approfondita. Infine, deve indicare che procedendo alla navigazione sul sito web viene acconsentito l’uso di cookies o può essere fatto scegliere all’utente se i cookies possono essere usati o meno.

Il Garante ha individuato due strumenti per bloccare i cookies: può essere utilizzata la navigazione in incognito, fornita dalla maggior parte dei browser di navigazione oppure può essere utilizzato un apposito programma blocca cookies che evita l’intrusione di quelli più invasivi. Infine, è consigliabile cancellare i cookies periodicamente.

 

Il General Data Protection Regulation

Dal 25 maggio 2018 entrerà in vigore il “General Data Protection Regulation”[5]. Da tale data esso prenderà il posto di tutte le normative nazionali e dunque anche del nostro Codice Privacy di cui abbiamo fin ora parlato.

La necessità di una norma simile è nata per colmare quel gap normativo che l’Unione Europea aveva nei confronti della globalizzazione e del repentino avanzamento tecnologico. Il percorso di questo Regolamento inizia nel 2012 e dopo un lungo lavoro congiunto di Parlamento, Commissione e Consiglio, nell’aprile 2016 è arrivata l’adozione del testo da parte del Consiglio Europeo e del Parlamento europeo. Il 4 maggio 2016 i testi del Regolamento europeo in materia di protezione dei dati personali e della Direttiva che regola il trattamento dei dati personali sono stati pubblicati sulla Gazzetta Ufficiale dell’Unione Europea.

 

Le novità del GDPR

Naturalmente, come ogni nuova legge, sono state introdotte novità non di poco conto, primo fra tutti il diritto all’oblio[6].

Con la locuzione “diritto all’oblio” si intende, in diritto, una particolare forma di garanzia che prevede la non diffondibilità, senza particolari motivi, di precedenti pregiudizievoli dell’onore di una persona. Nella nuova prescrizione Europea, questo potere è in realtà considerato in chiave generale, infatti l’art. 17 del Regolamento prevede i casi in cui è possibile ottenere la cancellazione dei propri dati personali da parte del titolare del trattamento “senza ingiustificato ritardo” (es. se i dati non sono più necessari per gli scopi rispetto ai quali sono stati raccolti, se i dati sono trattati illecitamente). Il legislatore però ha anche avvertito l’esigenza di bilanciare le posizioni fra le parti e ha riconosciuto come in alcuni casi questi dati non possano essere eliminati: ad esempio perché il trattamento del dato ottempera a imposizioni legali o perché il diritto all’informazione è considerato giuridicamente più rilevante.

Ulteriore importante novità è il diritto alla portabilità dei propri dati personali.  L’art. 20 del GDPR sancisce il diritto dell’interessato di ricevere i dati personali forniti a un titolare, in un formato di uso comune e leggibile da un dispositivo informatico, e di trasmetterli ad altro titolare del trattamento senza ostacoli. L’obiettivo di tale diritto è quello di accrescere il controllo degli interessati sui propri dati personali, facilitandone la circolazione, la copia o la trasmissione tra più ambienti informatici.

Se finora l’uso era pressoché limitato alle compagnie telefoniche, sicuramente nella nostra vita avremo cambiato operatore telefonico senza aver creato un nuovo numero telefonico proprio perché è stata effettuata la sua portabilità, ora riguarda tutti i titolari di trattamento dati, compresi i provider Internet. Un esempio, si potrà cambiare il provider di posta elettronica senza perdere i contatti e i messaggi salvati. Ci saranno però alcune eccezioni che non consentono l’esercizio del diritto: in particolare, quando si tratta di dati contenuti in archivi di interesse pubblico, come ad esempio le anagrafi.

Viene inoltre introdotta la figura del Responsabile della protezione dei dati[7](Data Protection Officer o DPO). Esso dovrà essere una persona esperta nella materia del trattamento dei dati personali, il suo principale compito sarà quello di gestire correttamente i dati personali nelle imprese e negli enti. Sarà il referente, una sorta di presidio per la privacy in ogni struttura amministrativa. Il DPO è un professionista con conoscenze specialistiche della normativa e delle prassi in materia di protezione dati.

Questa figura è designata direttamente e obbligatoriamente dal titolare e dal responsabile del trattamento in tre occasioni:

1. quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccetto delle autorità giurisdizionali nell’esercizio delle loro funzioni);
2. quando i trattamenti consistono e richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
3. quando il trattamento riguarda, su larga scala, dati sensibili o relativi a condanne penali e reati.

 

In tutti gli altri casi è facoltà dei titolari e responsabili del trattamento. In realtà è comunque auspicabile che le imprese, al fine di garantire standard di sicurezza adeguati, nominino tali figure anche laddove ciò non sia obbligatorio per legge, possibilmente affidando tale compito a soggetti terzi ed esterni: il DPO, infatti, riferisce direttamente ai vertici aziendali e non al titolare/responsabile del trattamento pur essendo questo in posizione gerarchicamente superiore. Il DPO non è comunque considerato un “mestiere” a sé stante, il ruolo potrà essere ricoperto anche da un dipendente dell’azienda o dell’ente purché dimostri le capacità e le competenze necessarie a ricoprire l’incarico.

 

Conclusioni

L’argomento trattato in questo articolo non è sicuramente esaustivo, anzi ha il modesto intento di rendere noto al lettore che, nel mondo attuale, governato dai social network e dalla condivisione delle informazioni, sono presenti dei diritti e delle tutele. La facilità con cui oggi si riesce ad ottenere la risposta ad una domanda rende la nostra vita quotidiana nettamente più leggera, ma rende il lavoro molto più semplice anche a chi ha interesse a carpire informazioni per finalità che rasentano la loro liceità. Il Regolamento Europeo sicuramente porterà una ventata di Diritto uniforme su tutto il suo territorio e le sue regole ritorneranno utili per limitare l’enorme diffusione di informazioni personali che vengono estrapolate fraudolentemente. L’importante è informarsi, come sempre.