Trasferimento dei dati personali extra UE

Trasferimento dei dati personali extra UE: come fare?

In presenza di un trasferimento dei dati personali extra UE, quali sono gli accorgimenti e le verifiche da effettuare? Vediamoli insieme

 

Il trasferimento dei dati personali extra UE: definizione

L’intero Capo V del Regolamento Europeo 2016/679 (GDPR) rubricato “Trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali” disciplina i trasferimenti di dati personali extra UE, ossia al di fuori dello spazio SEE (Spazio Economico Europeo).

Prima di capire quando e come sia possibile effettuare un trasferimento di dati personali extra UE in base alle indicazioni fornite dal GDPR, è necessario comprendere quando siamo in presenza di un “trasferimento dei dati”.

Il GDPR non fornisce alcuna definizione giuridica della nozione di “trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale”, pertanto il Comitato europeo per la protezione dei dati (EDPB) ha elaborato le Linee guida 5/2021[1] “sull’interazione tra l’applicazione dell’articolo 3 e le disposizioni in materia di trasferimenti internazionali di cui al capo V GDPR”, con il fine di chiarire gli scenari in cui, a suo avviso, si è in presenza di un trasferimento di dati personali extra UE.

Sono stati individuati tre criteri cumulativi che, se soddisfatti, indicano la presenza di un trasferimento di dati extra UE (e implicano l’applicazione delle disposizioni del Capo V del GDPR):

  • il Titolare o il Responsabile del trattamento (c.d. “esportatore“) è soggetto al GDPR per il trattamento in questione;
  • l’esportatore comunica mediante trasmissione o rende altrimenti disponibili a un altro Titolare, Contitolare o Responsabile del trattamento (c.d. “importatore“), i dati personali oggetto del trattamento;
  • l’importatore si trova in un paese terzo, indipendentemente dal fatto che l’importatore sia o meno soggetto al GDPR per il trattamento in questione, oppure è un’organizzazione internazionale.

 

Il trasferimento dei dati personali extra UE ai sensi del GDPR

Il livello di protezione garantito dal GDPR “segue” i dati: le norme in materia di protezione dei dati personali continuano ad applicarsi indipendentemente dal luogo in cui essi vengono trasferiti.

In particolare, il trasferimento verso paesi non appartenenti allo Spazio Economico Europeo è consentito solo in presenza di:

  • una decisione di adeguatezza adottata da parte della Commissione Europea[2], con la quale viene riconosciuto che quel paese/organizzazione internazionale offre un livello di protezione adeguato a quello europeo;
  • garanzie adeguate indicate nell’art. 46 GDPR e a condizione che gli interessati dispongano di diritti[3] azionabili e mezzi di ricorso effettivi. I principali strumenti di trasferimento previsti sono:
  1. le clausole tipo adottate dalla Commissione europea (Standard Contractual Clauses –SCC),
  2. le norme vincolanti d’impresa (Binding Corporate Rules – BCR),
  3. i codici di condotta[4],
  4. i meccanismi di certificazione[5],
  5. le clausole contrattuali ad hoc.

 

In ogni caso, in assenza dei presupposti di cui sopra e a determinate condizioni (specificatamente indicate) è possibile trasferire i dati personali in base ad una delle deroghe indicate dall’art. 49 del GDPR. Ad esempio qualora:

  1. l’interessato abbia espresso il proprio consenso al trasferimento, dopo essere stato informato circa i rischi che tali trasferimenti possono comportare, in conseguenza della mancata decisione di adeguatezza o di garanzie adeguate;
  2. il trasferimento sia necessario per importanti motivi di interesse pubblico riconosciuti dal diritto dello Stato membro del titolare o dal diritto europeo;
  3. il trasferimento sia occasionale e necessario per accertare, esercitare o difendere un diritto in sede giudiziaria, nell’ambito di un procedimento attuale.

 

Trasferimenti extra UE: come attuarli?

Diversi sono gli adempimenti che deve svolgere il Titolare del trattamento qualora voglia effettuare un trasferimento di dati personali extra UE.

Vediamoli brevemente.

Innanzitutto, il Titolare deve eseguire la mappatura dei trattamenti in vista del trasferimento.

Occorre, quindi, tracciare tutti i processi che comportano il trattamento dei dati personali, soffermandosi, in particolare, sui possibili trasferimenti al di fuori del SEE. È necessario essere consapevoli di quale sia la destinazione dei dati e verificare che essi siano adeguati, pertinenti e limitati a quanto strettamente necessario rispetto alle finalità di trattamento. Uno strumento che sicuramente può essere d’aiuto in questa fase iniziale è il registro delle attività di trattamento, oltre che le informative fornite agli interessati.

Successivamente è necessario individuare degli strumenti di trasferimento validi.

Gli scenari possono essere differenti:

  • se è stata emessa una decisione di adeguatezza, il titolare non dovrà assumere alcuna iniziativa, se non quella verificare che la decisone sia ancora valida;
  • in assenza di una decisione di adeguatezza il titolare dovrà verificare l’opportunità di affidarsi a garanzie adeguate previste all’art. 46 del GDPR (SCC, codici di condotta, BCR, ecc.);
  • solo eccezionalmente si potrà basare il trasferimento su una delle deroghe previste dall’art. 49 del GDPR, verificando che il trasferimento soddisfi le condizioni previste da ciascuna di esse.

 

Inoltre, qualora non vi sia una decisione di adeguatezza, occorre svolgere delle valutazioni aggiuntive, ossia verificare se vi siano prassi o leggi vigenti nel paese terzo che possano inficiare l’efficacia degli strumenti di trasferimento.

Nel caso in cui emergano delle problematiche rilevanti (ad esempio: la legislazione pregiudica le garanzie o vi sono prassi incompatibili con quanto previsto dallo strumento di riferimento), il trasferimento dovrà essere sospeso oppure dovranno essere messe in atto delle misure supplementari adeguate.

Tali misure possono avere carattere contrattuale (ad esempio prevedere contrattualmente l’obbligo di attuare misure tecniche specifiche affinché i trasferimenti abbiano luogo oppure obblighi di trasparenza), tecnico (cifratura e pseudonimizzazione, ma solo a determinate condizioni) o organizzativo (adozione di adeguate politiche interne con una chiara attribuzione delle responsabilità per il trasferimento dei dati).

Infine, alla luce del principio di accountability, occorre controllare regolarmente il livello di protezione dei dati trasferiti e verificare se vi siano stati sviluppi che, nel paese terzo verso cui avviene il trasferimento, possano influire la valutazione iniziale.

 

Focus: il trasferimento di dati personali verso gli Stati Uniti

Il tema del trasferimento dei dati personali extra UE negli anni ha particolarmente interessato il trasferimento verso gli Stati Uniti.

Nel 2000 la Commissione europea aveva adottato una decisione che deliberava l’adeguatezza della normativa statunitense nell’offrire garanzie per la protezione dei dati; tuttavia, nel 2015 la Corte di giustizia dell’Unione europea ha dichiarato l’illegittimità di tale decisione.

Si è reso quindi necessario adottare un secondo accordo, il c.d. Privacy Shield, che la Commissione europea ha ritenuto adeguato con una propria decisione, che poi nel 2020, la Corte di giustizia dell’Unione Europea ha dichiarato invalida con la famosa sentenza Schrems II.

Negli ultimi due anni il tema è tornato a far discutere.

Nel marzo del 2022, infatti, il Presidente degli USA e la Presidente della Commissione Europea hanno annunciato l’intesa per un nuovo c.d. “Trans-Atlantic Data Privacy Framework” e, ad ottobre 2022, il Presidente Biden ha firmato l’Executive Order (“EO n. 14086”) con cui gli USA hanno recepito i principi dettati dall’UE.

La Commissione europea ha successivamente avviato i lavori per adottare una decisione di adeguatezza rispetto al nuovo accordo.

Il 10 luglio 2023 è stato pubblicato il Data Privacy Framework, cioè il nuovo accordo sul trasferimento dei dati personali verso gli Stati Uniti, basato sull’ordine esecutivo dell’amministrazione Biden.

Si tratta di un nuovo accordo di adeguatezza che consente il trasferimento dei dati verso gli Stati Uniti: la Commissione europea ha stabilito che sussistono garanzie sufficienti per la tutela dei dati personali dei cittadini europei trattati oltreoceano.

Tuttavia, il trasferimento sarà consentito verso le sole aziende americane che si qualificano per l’autocertificazione sotto il Data Privacy Framework: le aziende USA aderiscono volontariamente, impegnandosi a rispettare una serie di obblighi in materia di protezione dei dati personali, assoggettandosi ai poteri di indagine e coercitivi delle autorità statunitensi.

Informazioni

Inserisci qui la bibliografia

[1] https://edpb.europa.eu/system/files/2023-09/edpb_guidelines_05-2021_interplay_between_the_application_it.pdf

[2] È possibile consultare i testi delle decisioni di adeguatezza emesse dalla Commissione europea al seguenti link: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_it#adequacy-decisions-latest.

[3] Per un approfondimento si veda: https://www.dirittoconsenso.it/2022/05/03/i-diritti-presenti-nel-gdpr/.

[4] L’EDPB il 22 febbraio 2022 ha pubblicato le Linee guida 4/2021 sui codici di condotta come strumento per i trasferimenti (https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_codes_conduct_transfers_after_public_consultation_it.pdf)

[5] L’EDPB il 14 febbraio 2023 ha adottato le Linee guida 7/2022 sulla certificazione come strumento per i trasferimenti (https://edpb.europa.eu/system/files/2023-05/edpb_guidelines_07-2022_on_certification_as_a_tool_for_transfers_v2_it_0.pdf)


Riforma Cartabia notificazioni civili

Riforma Cartabia: le novità in tema di notificazioni civili

Per i procedimenti instaurati a partire dal 28 febbraio 2023 sono entrate in vigore le novità apportate dalla Riforma Cartabia in tema di notificazioni civili

 

Le notificazioni civili e la Riforma Cartabia

Con il D. Lgs. n. 149 del 2022, il Governo ha esercitato la delega conferitagli dal Parlamento con l’approvazione della L. n. 206 del 2021[1]. Sono state apportate modifiche rilevanti in tema di notificazioni[2] civili, entrate in vigore per i procedimenti instaurati a partire dal 28 febbraio. La Riforma Cartabia, infatti, ha introdotto importati novità in tema di notificazioni civili, intervenendo:

  • sulla L. n. 53/1994 “Facoltà di notificazioni di atti civili, amministrativi e stragiudiziali per gli avvocati e procuratori legali”;
  • sulle disposizioni del Codice di procedura civile;
  • sulle Disposizioni di attuazione del codice di procedura civile.

 

Modifiche apportate alla L. n. 53/1994

La modifica di maggior rilievo apportata alla L. n. 53/1994 riguarda l’introduzione del nuovo articolo 3 ter.

In questo articolo sono state disciplinate le ipotesi in cui sorge in capo all’avvocato l’obbligo di notificare gli atti con modalità telematiche, tramite posta elettronica certificata (“PEC”) o servizio elettronico certificato qualificato[3] (“SERCQ”).

Tale obbligo sussiste se il destinatario:

  • ha l’obbligo di munirsi di domicilio digitale risultante dai pubblici elenchi (si tratta di soggetti quali gli avvocati, gli altri professionisti iscritti in albi, le imprese individuali e collettive, le pubbliche amministrazioni);
  • pur non essendo obbligato per legge, ha eletto spontaneamente domicilio digitale nell’indice nazionale dei domicili digitali delle persone fisiche, dei professionisti e degli altri enti di diritto privato, non tenuti all’iscrizione in albi, elenchi o registri professionali o nel registro delle imprese (“INAD”)[4].

 

Il legislatore ha, poi, disciplinato le conseguenze derivanti dall’impossibilità di eseguire la notificazione telematica e del suo mancato perfezionamento.

Occorre, in questo caso, distinguere due ipotesi:

  • la notifica non è possibile/non ha avuto esito positivo per cause imputabili al destinatario (ad es. la PEC è “piena”):
    • se il destinatario è un’impresa o un professionista iscritti nell’indice INI-PEC[5], la notifica si esegue inserendo l’atto da notificare nell’area web riservata prevista dall’art. 359 del Codice della Crisi d’Impresa e dell’Insolvenza[6] (“CCII”), in tal caso la notifica si ha per eseguita trascorsi 10 giorni dall’inserimento.
    • se il destinatario ha eletto spontaneamente domicilio si procede alla notifica con le modalità ordinarie (per posta o tramite l’Ufficiale Giudiziario).
  • La notifica non è possibile o non ha esito positivo per cause non imputabili al destinatario (ad es. malfunzionamento del servizio), in questo caso si procede alla notifica con le modalità ordinarie.

 

Anche l’art. 3 della L. n. 53/1994 è stato modificato e, in particolare, il nuovo comma 1 bis reintroduce l’IPA (Indice delle Pubbliche Amministrazioni) quale pubblico elenco valido ai fini dell’individuazione dell’indirizzo PEC delle Pubbliche Amministrazioni.

 

Modifiche al Codice di procedura civile

È stato modificato il secondo comma dell’art. 137 c.p.c., prevedendo che «L’ufficiale giudiziario o l’avvocato esegue la notificazione mediante consegna al destinatario di copia conforme all’originale dell’atto da notificarsi».

Rispetto alla precedente formulazione, viene introdotto espressamente il riferimento alla figura dell’avvocato nella categoria dei soggetti che possono eseguire notifiche degli atti del processo.

Viene inoltre richiamato l’obbligo di notifica telematica da parte dell’avvocato, specificando che egli esegue le notificazioni “nei casi e con le modalità previste dalla legge”, ossia così come previsto dalla L. n. 53/1994.

Di conseguenza, all’obbligo di notifica telematica dell’avvocato corrisponde il divieto imposto all’Ufficiale giudiziario di eseguirla.

L’Ufficiale potrà eseguire la notifica su richiesta dell’avvocato solo se quest’ultimo non deve eseguirla a mezzo PEC o SERCQ, o con altra modalità prevista dalla legge, oppure, quando vengono meno i presupposti del già menzionato obbligo, cioè non è stato possibile eseguire la notifica / non ha avuto esito positivo per cause non imputabili al destinatario. In questo caso l’avvocato deve formulare una dichiarazione attestante le difficoltà riscontrate, di cui l’Ufficiale darà atto nella relazione di notificazione.

Sempre in un’ottica di implementazione del processo civile telematico è stato modificato l’art. 149 bis.

In base alla nuova previsione normativa, anche l’Ufficiale dovrà eseguire le notifiche telematicamente se il destinatario ha l’obbligo di munirsi di una PEC o SERCQ oppure ha eletto spontaneamente domicilio digitale nell’INAD.

Questo varrà quindi anche per quegli atti tipicamente propri dell’ufficiale giudiziario, come il pignoramento presso terzi.

Un’altra modifica rilevante ha riguardato l’art. 147 c.p.c. in cui sono stati inseriti due commi che prevedono che le notificazioni a mezzo PEC o SERCQ:

  1. possono essere eseguite senza limiti orari;
  2. si perfezionano:
    • per il notificante, nel momento in cui è generata la ricevuta di accettazione
    • per il destinatario, nel momento in cui è generata la ricevuta di avvenuta consegna. Ma attenzione: se quest’ultima è generata tra le 21 e le 7 del mattino del giorno successivo, la notificazione si intende perfezionata per il destinatario alle 7.

 

Modifiche alle Disposizioni di attuazione del Codice di procedura civile

Infine, è stato introdotto un nuovo capo alle Disposizioni per l’attuazione del codice di procedura civile, intitolato “Della conformità delle copie agli originali” (contenente gli artt. dal 196 octies al 196 undecies).

A differenza dell’art. 196 decies, i nuovi articoli 196 octies, 196 nonies e 196 undecies disp. att. c.p.c. recepiscono, sostanzialmente, il contenuto di quanto già prescritto da alcuni articoli del D.L. n. 179/2012.

L’inserimento dell’art. 196 decies, invece, si è reso necessario in un’ottica di coordinamento con il nuovo art. 149 bis c.p.c. e prevede che, quando si trasmettono telematicamente all’ufficiale giudiziario le copie informatiche di atti, provvedimenti o documenti in formato analogico, se ne attesti la conformità all’originale.

Le altre novità riguardano l’ampliamento del potere di certificazione di conformità, che viene steso anche al liquidatore giudiziale e la possibilità di attestare la conformità anche degli allegati alle comunicazioni telematiche.

Cercando di riassumere brevemente il contenuto degli articoli sopra citati, essi prevedono:

  • la possibilità di estrarre copie o duplicati informatici degli atti e dei provvedimenti contenuti nel fascicolo informatico o allegati alle comunicazioni telematiche e di certificare la conformità delle copie ( 196 octies disp. att. c.p.c.);
  • che qualora la copia informatica di un atto o di un provvedimento in formato analogico siano depositati telematicamente, se ne debba attestare la conformità ( 196 nonies disp. att. c.p.c.);
  • che le attestazioni di conformità delle copie analogiche siano apposte in calce o a margine delle stesse o su un foglio separato ad esse congiunto ( 196 undecies disp. att. c.p.c.);
  • che le attestazioni di conformità delle copie informatiche siano apposte nel medesimo documento informatico o su uno separato, con i riferimenti al file di cui si attesta la conformità ( 196 undecies disp. att. c.p.c.);
  • che qualora la copia informatica sia destinata alla notifica, l’attestazione di conformità debba essere inserita nella relazione di notificazione ( 196 undecies disp. att. c.p.c.);
  • che i soggetti che compiono le attestazioni di conformità sono considerati pubblici ufficiali ( 196 undecies disp. att. c.p.c.).

 

Schema riassuntivo sulle modalità di notifica alla luce della Riforma Cartabia

DESTINATARIO DELLA NOTIFICA MODALITÀ DI NOTIFICA NOTIFICA NON POSSIBILE PER CAUSA IMPUTABILE AL DESTINATARIO NOTIFICA NON POSSIBILE PER CAUSA NON IMPUTABILE AL DESTINATARIO
Privato che non ha eletto domicilio digitale Notifica ordinaria x x
Pubblica Amministrazione Obbligo di notifica PEC Notifica ordinaria Notifica ordinaria
Professionista o impresa obbligati ad eleggere domicilio digitale Obbligo di notifica PEC Inserimento nell’area web riservata prevista dal CCII Notifica ordinaria
Soggetto che, pur non avendo alcun obbligo, ha eletto spontaneamente domicilio nell’INAD Obbligo di notifica PEC Notifica ordinaria Notifica ordinaria

Informazioni

L. 26 novembre 2021, n. 206 “Delega al Governo per l’efficienza del processo civile e per la revisione della disciplina degli strumenti di risoluzione alternativa delle controversie e misure urgenti di razionalizzazione dei procedimenti in materia di diritti delle persone e delle famiglie nonché’ in materia di esecuzione forzata”

D. Lgs. 10 ottobre 2022, n. 149 “Attuazione della legge 26 novembre 2021, n. 206”

Relazione illustrativa al D. Lgs. 10 ottobre 2022, n. 149

L. n. 53/1994 “Facoltà di notificazioni di atti civili, amministrativi e stragiudiziali per gli avvocati e procuratori legali”

Codice di procedura civile

D. Lgs. 12 gennaio 2019, n. 14 “Codice della Crisi d’Impresa e dell’Insolvenza”

D.L. n. 179/2012 “Ulteriori misure urgenti per la crescita del Paese”

Regolamento UE 910/2014 “eIDAS”: <P (europa.eu)

[1]Delega al Governo per l’efficienza del processo civile e per la revisione della disciplina degli strumenti di risoluzione alternativa delle controversie e misure urgenti di razionalizzazione dei procedimenti in materia di diritti delle persone e delle famiglie nonché in materia di esecuzione forzata”. Per un approfondimento: https://www.dirittoconsenso.it/2022/01/25/riforma-cartabia-del-processo-penale-e-del-processo-civile/

[2] L’attività della “notificazione” ha lo scopo di far conoscere un atto processuale all’interessato (si può trattare sia di atti di parte, come un atto di citazione, sia di provvedimenti del giudice o verbali d’udienza). Generalmente la notifica è eseguita dall’ufficiale giudiziario competente o, nei casi previsti dalla legge, dall’avvocato.

[3] Il legislatore prende in considerazione il Servizio elettronico di recapito qualificato, introdotto dal Regolamento UE 910/2014 “eIDAS” (Electronic IDentification, Authentication and trust Services), che a differenza della PEC garantisce, con un elevato livello di sicurezza, l’identificazione del mittente e l’identificazione del destinatario prima della trasmissione dei dati.

[4] Ad oggi, pur essendo state emanate, da parte dell’Agid, le Linee Guida datate 7 luglio 2022 per l’implementazione dell’INAD, non è stato ancora creato.

[5] Ossia, l’Indice nazionale della posta elettronica certificata.

[6] Al momento quest’area non risulta ancora attiva.


Documenti privacy

I principali "documenti" privacy

Quali sono i documenti privacy da adottare per poter essere conforme al trattamento di dati personali?

 

I “documenti” privacy

Al fine di poter dare vita ad un’organizzazione compliant al Regolamento UE 679/2016 (c.d. “GDPR”) i titolari del trattamento devono innanzitutto individuare tutti i dati personali che vengono trattati e valutare i rischi connessi al loro trattamento, oltre a definire i ruoli che vengono ricoperti dai vari soggetti coinvolti. Solo al termine di queste indagini il titolare procede con la predisposizione e l’adozione di una documentazione privacy adeguata.

Vediamo, quindi, in generale, quali sono i principali documenti privacy di cui ci si deve munire.

 

L’informativa sul trattamento dei dati personali

L’art. 12 del GDPR prevede che il titolare del trattamento debba fornire agli interessati le informazioni relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

Queste informazioni vengono fornite tramite l’informativa[1], che dovrà necessariamente contenere:

  • i dati identificativi del titolare del trattamento e, ove presente, del DPO;
  • le finalità e le basi giuridiche del trattamento;
  • i destinatari (anche per categorie) dei dati personali;
  • l’indicazione dell’eventuale trasferimento dei dati personali a un paese estero;
  • il periodo di conservazione dei dati personali o, se non è possibile determinarlo, i criteri utilizzati per determinare tale periodo;
  • i diritti dell’interessato;
  • la natura del conferimento dei dati (facoltativa o obbligatoria);
  • l’esistenza di un eventuale processo decisionale automatizzato e le informazioni che riguardano quel processo.

 

La lettera di designazione

Il Codice Privacy prevede la figura del “designato”, ossia un soggetto che opera sotto l’autorità e responsabilità del titolare del trattamento, effettuando materialmente le operazioni di trattamento dei dati personali. Il GDPR, invece, non menziona tale figura e di conseguenza non impone alcun obbligo di nomina o designazione espressa. Tuttavia, ai sensi dell’art. 29 GDPR chiunque tratti dati personali deve ricevere istruzioni operative specifiche e la necessaria formazione. Questo avviene con un’apposita lettera di designazione.

 

I contratti con i responsabili del trattamento

Il GDPR prevede che il titolare del trattamento possa avvalersi di responsabili che trattino per suo conto dati personali. I trattamenti effettuati dal responsabile, su istruzione documentata del titolare, sono disciplinati da un apposito contratto o un altro atto giuridico, di cui il GDPR detta il contenuto[2].

 

Il registro dei trattamenti: finalità e contenuto

I titolari e i responsabili del trattamento sono tenuti a tenere il registro delle attività di trattamento in forma scritta anche elettronica.

In ambito privato, i soggetti obbligati alla tenuta sono:

  • imprese o organizzazioni[3] con almeno 250 dipendenti;
  • qualunque titolare o responsabile che effettui trattamenti che possano presentare un rischio per i diritti e le libertà dell’interessato;
  • qualunque titolare o responsabile che effettui trattamenti non occasionali;
  • qualunque titolare o responsabile che effettui trattamenti delle categorie particolari di dati o relativi a condanne penali e a reati.

 

Tuttavia, oltre ai casi per i quali è previsto un obbligo di tenuta del registro, anche alla luce del considerando 82 GDPR, il Garante per la protezione dei dati ne raccomanda la redazione a tutti i titolari e responsabili del trattamento. Questo in quanto si tratta di uno strumento che, fornendo una fotografia del tipo di trattamenti svolti, contribuisce ad attuare il principio di accountability[4] e, al contempo, ad agevolare l’attività di controllo del Garante.

L’art. 30 del Regolamento prevede che il registro debba contenere:

  1. il nome e i dati di contatto del titolare del trattamento (e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del DPO);
  2. le finalità del trattamento;
  3. la descrizione delle categorie di interessati e le categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati;
  5. i trasferimenti verso un paese terzo o un’organizzazione internazionale;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

 

Registro delle violazioni

L’art. 4 del GDPR definisce la violazione dei dati personali (c.d. data breach) come “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati“.

Il titolare del trattamento senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, deve notificare la violazione al Garante tramite un’apposita procedura telematica, a meno che sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche[5].

Qualora la violazione comporti un rischio elevato per i diritti delle persone, il titolare deve comunicarla a tutti gli interessati.

Il titolare del trattamento, a prescindere dalla notifica al Garante, deve documentare tutte le violazioni dei dati personali, ed è incoraggiato a tenere un apposito registro delle violazioni[6], che dovrà contenere le circostanze relative alla violazione (data e ora in cui è avvenuta), data e ora in cui la notifica è stata effettuata al Garante, le conseguenze e i provvedimenti adottati per porvi rimedio e, qualora la violazione sia stata ritardata o non sia stata notificata al Garante, i motivi di tale decisione.

 

Altri documenti privacy

Vi sono poi altri documenti privacy che possono essere adottati dal titolare del trattamento:

  • il Modello Organizzativo Privacy, ossia un documento in cui viene descritta l’organizzazione lato privacy del titolare e le varie attività intraprese per adeguarsi al GDPR;
  • la Procedura che disciplina l’utilizzo degli strumenti informatici;
  • la Procedura per agevolare l’esercizio dei diritti[7] da parte degli interessati e un registro che documenti le richieste ricevute;
  • l’Organigramma privacy;
  • la Valutazione d’Impatto (c.d. DPIA[8]), ossia una procedura prevista dall’art. 35 del GDPR che descrive un trattamento di dati per valutarne la necessità e la proporzionalità e i relativi rischi, allo scopo di approntare misure idonee ad affrontarli. Deve essere effettuata dal titolare prima di procedere al trattamento di dati personali qualora il trattamento possa comportare un rischio elevato per i diritti e le libertà delle persone interessate.

Informazioni

https://www.garanteprivacy.it/

https://edpb.europa.eu/edpb_it

Decreto Legislativo n. 196/2003

Decreto Legislativo n. 101/2018

Regolamento UE 679/2016

[1] Per un ulteriore approfondimento si veda: L’informativa sulla privacy ex art. 13 GDPR – DirittoConsenso.

[2] Si veda l’articolo: Gli “attori” della privacy – DirittoConsenso.

[3] Rientrano nella categoria delle “organizzazioni” di cui all’art. 30, par. 5 anche le associazioni, fondazioni e i comitati.

[4] In base al “principio di accountability”, introdotto dal GDPR, coloro che trattano dati devono adottare comportamenti proattivi e tali da dimostrare l’adozione di misure di sicurezza finalizzate ad assicurare l’applicazione del GDPR.

[5] Invece, il responsabile del trattamento che viene a conoscenza di una eventuale violazione è tenuto a informare in modo tempestivo il titolare.

[6] Come spiegato nelle Guidelines 9/2022 on personal data breach notification under GDPR adottate dall’EDPB: https://edpb.europa.eu/system/files/2022-10/edpb_guidelines_202209_personal_data_breach_notification_targetedupdate_en.pdf

[7] Per un approfondimento circa i diritti riconosciuti agli interessati dal GDPR si veda: I diritti presenti nel GDPR – DirittoConsenso.

[8] Data Protection Impact Assessment.


Attori della privacy

Gli "attori" della privacy

Il Regolamento UE 679/2016 individua diversi “attori” della privacy che agiscono in materia di trattamenti di dati personali, ciascuno con funzioni e compiti diversi

 

Gli attori in materia di trattamento di dati personali

Il Regolamento UE 679/2016 prevede e disciplina diverse figure, che possiamo considerare degli “attori” della privacy:

  • l’interessato;
  • il titolare del trattamento;
  • il responsabile del trattamento;
  • il sub-responsabile del trattamento;
  • l’autorizzato al trattamento;
  • il Data Protection Officer (spesso noto con la sigla DPO).

Cerchiamo ora di definire quali sono i ruoli dei vari attori coinvolti nel trattamento dei dati personali.

 

Gli interessati ed il titolare del trattamento

Innanzitutto, gli interessati sono persone fisiche, identificate o identificabili, ai quali si riferiscono i dati personali oggetto di trattamento.

Quindi l’interessato è una persona identificata o identificabile, cioè che “può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, generica, psichica, economica, culturale o sociale” (art. 4 Regolamento UE 679/2016).

L’interessato è, quindi, il destinatario della tutela predisposta dal Regolamento UE 679/2016 per quanto riguarda le operazioni di trattamento dei dati personali.

La normativa europea attribuisce specifici diritti all’interessato, il quale, per esercitarli, può rivolgersi direttamente al titolare del trattamento.

Alla luce della definizione data dal Regolamento UE 679/2016, così come precisato dal Considerando (26), i principi di protezione dei dati non si applicano alle informazioni anonime, che non si riferiscono a persone identificate o identificabili oppure a dati personali resi anonimi, tali da impedire quindi l’identificazione dell’interessato[1].

Il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica o ogni altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali, ossia “perché” e “come” devono essere trattati i dati.

Il Regolamento UE 679/2016 onera il titolare del trattamento al rispetto di tutti i principi applicabili al trattamento dei dati e prevede che costui debba essere in grado di “comprovarlo” (c.d. principio di accountability).

Per questa ragione, il titolare deve adottare misure di sicurezza idonee e adeguate a garantire (ed essere in grado di dimostrare) che il trattamento sia stata effettuato in conformità con quanto previsto dalla normativa europea e che le misure messe in atto siano efficaci.

La tutela dei diritti degli interessati, quindi, richiede l’adozione di misure tecniche ed organizzative idonee, attraverso politiche interne e misure che soddisfino i principi della protezione dei dati.

 

Il responsabile del trattamento ed il sub-responsabile

Il titolare del trattamento può ricorrere ad un soggetto (persona fisica o giuridica, autorità pubblica, o un altro organismo) che tratti per suo conto dati personali, il c.d. responsabile del trattamento.

Il Regolamento UE 679/2016 prevede che il titolare si avvalga di responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento stesso e che garantiscano la tutela dei diritti dell’interessato.

I trattamenti che il responsabile effettua – necessariamente su istruzione documentata del titolare – sono disciplinati da un apposito contratto o un altro atto giuridico, che:

  • vincola il responsabile del trattamento al titolare del trattamento;
  • circoscrive la materia disciplinata;
  • stabilisce la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

 

Il contratto o altro atto giuridico può anche basarsi su clausole contrattuali tipo adottate dalla Commissione Europea o da un’autorità di controllo e deve prevedere che il responsabile:

  • garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • adotti le misure per garantire un livello di sicurezza adeguato al rischio;
  • assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile;
  • su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
  • metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi posti a suo carico rispetto al rapporto con il responsabile e contribuisca alle attività di revisione realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.

 

Il responsabile, a sua volta, può ricorrere ad un altro responsabile ossia il c.d. sub responsabile del trattamento, solo qualora vi siano un’autorizzazione scritta, specifica o generale, del titolare del trattamento a procedere in tal senso.

 

L’autorizzato al trattamento

Pur non prevedendo espressamente la figura dell’autorizzato al trattamento (originariamente previsto dall’art. 30 del Codice Privacy), il Regolamento UE 679/2016 non ne esclude la presenza in quanto, all’art. 4 n. 10) fa riferimento a “persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile“.

Il Codice Privacy, novellato dal D. Lgs. n. 101/2018, ha invece introdotto l’art. 2 quaterdecies in cui è espressamente prevista la figura del “designato”: una persona fisica che opera sotto l’autorità e responsabilità del titolare del trattamento, al quale possono essere delegati specifici compiti e funzioni.  Si tratta quindi di una persona fisica che effettua materialmente le operazioni di trattamento sui dati personali.

Come abbiamo visto, il Regolamento UE 679/2016 non impone alcun obbligo di nomina o designazione espressa, tuttavia è fondamentale fornire agli autorizzati le istruzioni operative e la necessaria formazione.

La normativa non prevede dei requisiti per essere considerati “autorizzati”: anche la semplice presa visione di un dato personale si qualifica come trattamento.

 

Il Data Protection Officer

Un altro “attore” della privacy è il Responsabile della protezione dei dati (RPD) o Data Protection Officer (DPO).

Il Regolamento UE 679/2016 prevede un elenco di casi in cui la nomina di un DPO è obbligatoria, ossia qualora:

  1. il trattamento sia effettuato da un’autorità pubblica o da un organismo pubblico, ad eccezione delle autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  2. le attività principali del titolare o del responsabile del trattamento consistano in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  3. le attività principali del titolare o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali o di dati relativi a condanne penali e a reati.

 

Il DPO agisce in piena autonomia e indipendenza e senza alcun vincolo rispetto al titolare e al responsabile del trattamento.

Il DPO, infatti, deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni inerenti alla protezione dei dati personali, devono essergli fornite le risorse necessarie per assolvere i suoi compiti, accedere ai dati personali e al loro trattamento e mantenere la propria conoscenza specialistica della normativa in materia di protezione di dati personali e può essere contattato dagli interessati per le questioni relative al trattamento dei loro  dati personali o all’esercizio dei loro diritti.

L’art. 39 del Regolamento UE prevede che il DPO debba essere incaricato almeno dei seguenti compiti:

  1. informare e fornire consulenza al titolare o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal Regolamento UE, nonché da altre disposizioni in materia;
  2. sorvegliare l’osservanza del Regolamento UE 2016/679, di disposizioni in materia nonché delle politiche del titolare o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
  3. fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento;
  4. cooperare con il Garante;
  5. rappresentare il punto di contatto per il Garante per questioni connesse al trattamento.

Informazioni

Decreto Legislativo n. 196/2003

Decreto Legislativo n. 101 del 2018

Regolamento (UE) 679/2016

edpb.europa.eu

www.garanteprivacy.it

www.normattiva.it

[1] Per un approfondimento circa le tecniche, ambiti e rischi applicativi relativi a pseudonimizzazione e anonimizzazione dei dati personali si veda: https://www.dirittoconsenso.it/2022/01/13/pseudonimizzazione-e-anonimizzazione-dei-dati/


Fonti in materia di protezione dati personali

Quali sono le fonti in materia di protezione dei dati personali?

Oltre al Regolamento (UE) 679/2016 e al Codice italiano ci sono diverse fonti in materia di protezione dei dati personali, vediamo quali

 

Che cosa si intende con “dati personali”?

Prima di vedere quali sono le fonti in materia di protezione dei dati personali, cerchiamo di capire a cosa ci si riferisce quando si parla di “dati personali”.

Così come indicato nel Regolamento (UE) 679/2016 (c.d. GDPR[1]), con il termine dati personali s’intende:

“qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Si tratta, quindi, di dati quali, ad esempio, il nome, il cognome, il codice fiscale, l’indirizzo IP, i riferimenti bancari, l’indirizzo di residenza, i dati che consentono la geolocalizzazione o relativi alle comunicazioni elettroniche.

Assumono poi particolare rilevanza e necessitano di una maggiore tutela i dati personali:

  • c.d. particolari, ossia quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale, i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
  • c.d. giudiziari, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale o la qualità di imputato o di indagato e quelli relativi alle condanne penali e ai reati o a misure di sicurezza.

 

Fonti in materia di protezione dei dati personali: evoluzione europea e nazionale

Nel nostro ordinamento non vi è una norma costituzionale che si occupa di tutelare il c.d. diritto alla privacy.

Numerose sono state le interpretazioni fornite negli anni e i tentativi di riconoscere un suo fondamento in alcuni articoli della Carta Costituzionale[2]; ciò che è certo, è che si tratti di un diritto essenziale della persona, riconducibile a quei diritti inviolabili tutelati dall’art. 2 della Costituzione.

Anche a livello europeo è considerato un diritto fondamentate: l’articolo 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e l’articolo 16, paragrafo 1, del Trattato sul funzionamento dell’Unione europea “c.d. TFUE” stabiliscono che ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano.

La prima direttiva europea (c.d. Data Protection Directive) che si è occupata di regolare il trattamento dei dati personali risale al 1995, in seguito, nel 2002, alla luce delle mutate esigenze del tempo, la direttiva sull’e-Privacy, ha adeguato le norme a tutela della privacy.

La rapida evoluzione tecnologica e la globalizzazione hanno poi comportato nuove sfide per la protezione dei dati personali.

Era quindi necessario che fosse individuato un adeguato livello di protezione dei dati personali in tutti gli Stati membri, tramite il rafforzamento e la disciplina dei diritti degli interessati e degli obblighi di chi effettua il trattamento dei dati personali, nonché l’attribuzione di poteri per controllare e assicurare il rispetto delle norme e oltre che di sanzioni per le violazioni.

L’adozione del Regolamento (UE) 679/2016 (c.d. GDPR), divenuto efficace in tutti gli Stati membri dell’Unione a decorrere da 25 maggio 2018, ha risposto proprio a queste esigenze di tutela ed ha creato un quadro normativo omogeneo in materia.

Dal canto suo, l’Italia, con la legge n. 675 del 1996 si è dotata di una propria disciplina (in attuazione della Data Protection Directive) e ha istituito la figura del Garante per la protezione dei dati personali.

Successivamente, nel 2004, è entrato in vigore il Decreto Legislativo n. 196/2003, denominato Codice in materia di protezione dei dati personali, poi integrato e modificato in seguito all’entrata in vigore del GDPR, dal Decreto Legislativo n. 101 del 2018.

Con l’adozione GDPR si è infatti completamente modificato l’approccio alla tutela della privacy contenuto nel vecchio Codice privacy italiano e si è quindi reso necessario un suo adeguamento.

La nuova normativa europea ha promosso, in primo luogo, la responsabilizzazione dei soggetti che trattano i dati personali di persone fisiche[3] (c.d. principio di accountability)[4].

Pertanto, non basta più che titolari del trattamento adottino misure minime di sicurezza per la protezione dei dati, ma è necessario che questi ultimi assumano comportamenti proattivi che tengano costantemente conto dei rischi per i diritti e le libertà degli interessati, che possono derivare dal trattamento dei loro dati personali.

 

Le altre fonti in materia di protezione dei dati personali

Oltre al GDPR e al Codice in materia di protezione dei dati personali, vi sono, poi, altre fonti che regolano la materia:

  1. i Codici di condotta, che hanno lo scopo di aiutare coloro che sono i soggetti coinvolti nell’applicazione del GDPR, in funzione delle specificità delle attività di trattamento o del settore interessato. Ad oggi, ve ne sono 3:
    • codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale;
    • codice di condotta per i sistemi informativi gestiti da soggetti privati in tema di crediti al consumo, affidabilità e puntualità nei pagamenti;
    • codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica.
  2. le Regole Deontologiche, promosse e approvate dal Garante. Ad oggi, il Codice in materia di protezione dei dati personali prevede le seguenti:
    • regole deontologiche relative al trattamento di dati personali nell’esercizio dell’attività giornalistica;
    • regole deontologiche relative ai trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria;
    • regole deontologiche per il trattamento a fini di archiviazione nel pubblico interesse o per scopi di ricerca storica;
    • regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema Statistico nazionale;
    • regole deontologiche per trattamenti a fini statistici o di ricerca scientifica.
  3. Linee guida, decisioni vincolati, pareri e raccomandazioni emanati dal Gruppo di Lavoro articolo 29 (WP29), oggi sostituito dal Comitato Europeo per la protezione dei dati (c.d. EDPB[5]). L’EDPB, organismo europeo indipendente, fornisce orientamenti generali per l’applicazione della normativa privacy e adotta pareri e decisioni rivolti alle Autorità di vigilanza nazionali.
  4. Linee guida, autorizzazioni generali, provvedimenti e pareri emanati dal Garante per la protezione dei dati personali, ossia l’Autorità di controllo nazionale indipendente designata ai fini dell’attuazione del GDPR.

Informazioni

Costituzione italiana

GDPR

[1] General Data Protection Regulation.

[2] Ossia, artt. 3, 13, 14, 15 e 21 della Costituzione.

[3] In quanto, occorre ricordarlo, il GDPR disciplina il trattamento dei dati personali riferiti alle sole persone fisiche.

[4] Per un approfondimento dei principi sulla protezione dei dati personali: I principi sulla protezione dei dati nel GDPR – DirittoConsenso.

[5] European Data Protection Board.


Omosessualità reato

Dove l'omosessualità è reato

L’omosessualità, ad oggi, è ancora un reato in circa 70 Paesi ed è punita persino con la pena di morte in alcuni di essi

 

Omosessualità e radici culturali dell’omofobia

L’enciclopedia Treccani definisce l’omofobia come “avversione ossessiva per gli omosessuali e l’omosessualità”.

Le manifestazioni omofobiche, come ben si legge nella Risoluzione del Parlamento europeo sull’omofobia in Europa (2006), si manifestano “nella sfera pubblica e privata sotto forme diverse, quali discorsi intrisi di odio e istigazioni alla discriminazione, dileggio, violenza verbale, psicologica e fisica, persecuzioni e omicidio, discriminazioni in violazione del principio di uguaglianza, limitazioni arbitrarie e irragionevoli dei diritti, spesso giustificate con motivi di ordine pubblico, libertà religiosa e diritto all’obiezione di coscienza”.

Solo in seguito alla rimozione dell’omosessualità dall’elenco dei disturbi mentali e grazie alla maggiore sensibilità sul tema mostrata negli ultimi decenni, oltre che all’impegno dei movimenti culturali a sostegno dei diritti delle persone omosessuali, si è prestata maggiore attenzione alle forme di discriminazione omofobiche, anche sotto il profilo della repressione penale.

 

Il processo di decriminalizzazione dell’omosessualità

Si pensi che la concezione dell’omosessualità quale atto “contro natura” affonda le sue radici nel lontano periodo storico in cui si diffuse il Cristianesimo. Gli atti omosessuali oltre ad essere ritenuti un “peccato” dal punto di vista religioso, venivano considerati illegali e quindi repressi dalle legislazioni dell’epoca.

Solo con la Rivoluzione Francese e con la diffusione delle idee illuministiche, la qualificazione dell’omosessualità come reato è venuta meno, non essendo caratterizzata, secondo i giuristi del tempo, dal requisito della dannosità sociale del fatto.

La criminalizzazione dell’omosessualità in Germania è cessata solo con la delimitazione dell’ambito di operatività del § 175 StGB, nel 1969. In Gran Bretagna l’incriminazione è venuta meno soltanto nel 1981, in seguito alla celebre sentenza della Corte europea dei diritti dell’uomo nel Caso Dudgeon, che ha ravvisato nella previsione del reato di sodomia un’interferenza dello Stato nella sfera privata del cittadino e, dunque, una violazione dell’art. 8 CEDU[1]. Negli Stati Uniti l’abolizione definitiva del crimine di sodomia risale al vicinissimo 2003, quando la Corte Suprema, nel Caso Lawrence, sulla base della separazione tra morale e diritto, ha affermato l’incostituzionalità della previsione dell’omosessualità come reato[2], ribaltando l’orientamento espresso, in un altro caso, dalla medesima Corte.

Se prima che l’omosessualità venisse estromessa dal Diagnostic and Statistical Manual of Mental Disorders, i Paesi che la condannavano erano più di un centinaio, nei primi anni 2000 sono scesi a 92, per poi diminuire progressivamente fino ad essere, ad oggi, circa 70[3] (numero che, anche se diminuito, rappresenta un campanello d’allarme).

 

Paesi in cui l’omosessualità è punita con la pena di morte

Per quanto paradossale, considerato il periodo storico in cui viviamo, in alcuni Paesi l’omosessualità è ancora punita con la pena di morte. Tra questi vi sono l’Arabia Saudita, lo Yemen, l’Iran, l’Afghanistan, la Mauritania, la Somalia, il Qatar e gli Emirati Arabi Uniti.

 

Alcuni recenti interventi normativi di segno positivo

Tra i Paesi in cui negli ultimi anni si sono verificati cambiamenti in senso positivo vi sono:

  • il Libano: un articolo del codice penale libanese punisce i cosiddetti “rapporti contro natura” con la reclusione. A marzo 2019 una corte libanese ha stabilito che l’omosessualità non costituisce reato ed ha quindi rifiutato di perseguire 4 individui accusati di questo “crimine”. Si tratta di una decisione storica, che cede il passo ad una giurisprudenza progressista.
  • l’India: la Corte Suprema di Nuova Delhi ha deciso, con voto unanime, di cancellare la sezione del codice penale che puniva i rapporti sessuali tra persone del medesimo sesso.
  • il Botswana: nel 2019 la Corte Suprema ha dichiarato incostituzionali due sezioni del codice penale che punivano con il carcere qualsiasi “conoscenza carnale con un’altra persona contro l’ordine della natura” e con due anni “atti indecenti” in luogo pubblico e privato.
  • il Bhutan: le camere del Parlamento del Bhutan hanno, nel 2020, approvato un disegno di legge per legalizzare i rapporti omosessuali.
  • il Gabon: nel 2020 il Presidente ha firmato l’abrogazione di una legge che criminalizzava le relazioni omosessuali.
  • l’Angola: nel 2021 è ufficialmente entrata in vigore la legge (promulgata già nel 2019) che ha modificato il codice penale, rimuovendo tutti i riferimenti che criminalizzavano l’omosessualità.

 

Conclusioni

Alla luce dei dati e delle informazioni riportate nei paragrafi precedenti, che offrono un quadro generale della situazione a livello internazionale, è evidente che il percorso per riuscire a realizzare una società che sia davvero rispettosa dei diritti delle persone omosessuali è ancora lungo e insidioso. È essenziale che vi sia un impegno volto a cancellare qualsiasi discriminazione basata sull’omosessualità o meno di una persona, oltre che sociale e culturale, anche politico.

Informazioni

[1] Corte EDU, sentenza 21 ottobre 1981, Dudgeon c. Gran Bretagna; la Corte di Strasburgo ha dichiarato che “il presente caso riguarda uno degli aspetti più intimi della vita personale. Ne consegue che devono esistere ragioni particolarmente gravi prima che l’ingerenza da parte delle autorità pubbliche possa essere legittimata per gli scopi previsti dal paragrafo 2 dell’art. 8”; ed una tale legittimazione non veniva rinvenuta neppure nella protezione della morale.

[2] Supreme Court USA, 26 giugno 2003, Lawrence e Garner vs. Texas

[3] https://www.equaldex.com/issue/homosexuality


LGBT nell'Unione Europea

La tutela dei diritti LGBT nell'Unione Europea

Nel marzo 2021 l’Unione Europea è stata dichiarata una zona di libertà per le persone LGBTI. Quale è la situazione dei diritti LGBT nell’Unione Europea?

 

Interventi per tutelare i diritti delle persone LGBTI nell’Unione Europea

La parità di trattamento e la non discriminazione sono diritti fondamentali dell’Unione Europea. L’uguaglianza è, infatti, un valore fondante dell’Unione e comune a tutti i suoi Stati membri.

L’art. 21 della Carta dei Diritti Fondamentali dell’Unione Europea vieta “qualsiasi forma di discriminazione fondata, in particolare, sul sesso, la razza, il colore della pelle o l’origine etnica o sociale, le caratteristiche genetiche, la lingua, la religione o le convinzioni personali, le opinioni politiche o di qualsiasi altra natura, l’appartenenza ad una minoranza nazionale, il patrimonio, la nascita, la disabilità, l’età o l’orientamento sessuale.”.

Da anni le istituzioni europee si adoperano per combattere le discriminazioni delle persone LGBTI nell’Unione Europa attraverso interventi legislativi, programmi di sensibilizzazione, finanziamenti e ricerche.

Il Parlamento europeo, in diverse occasioni, ha invitato gli Stati membri ad intraprendere qualunque azione essi ritengano opportuna per lottare contro l’omofobia e la discriminazione basata sull’orientamento sessuale.

L’11 marzo 2021, con una risoluzione, l’Unione europea è stata dichiarata una zona di libertà per le persone LGBTI.

Uno degli interventi più significativi ha riguardato la parità di trattamento in materia di occupazione: è stata vietata la discriminazione, in materia di occupazione e formazione, fondata sulla religione o le convinzioni personali, la disabilità, l’età o l’orientamento sessuale (direttiva 2000/78/CE)[1].

Inoltre, nel 2015 la Commissione europea ha presentato un programma politico per combattere la discriminazione nei confronti delle persone LGBT nell’Unione Europa, la “List of Actions to Advance LGBTI Equality[2].

La Commissione europea ha poi, nel maggio del 2016, concordato con Facebook, Microsoft, Twitter e YouTube un “Codice di condotta per contrastare l’incitamento all’odio illegale online”, a cui hanno poi aderito anche Instagram, Snapchat, Dailymotion, Jeuxvideo.com, TikTok e LinkedIn.

 

LGBTIQ Equality Strategy 2020 – 2025

L’11 novembre 2020 la Commissione Europea ha adottato, per la prima volta, una “LGBTIQ Equality Strategy” per il periodo relativo al 2020 – 2025[3].

La strategia si basa su quanto contenuto nella “List of Actions to Advance LGBTI Equality”.

Sono state previste una serie di misure atte ad intensificare l’azione di integrazione delle persone LGBT nell’Unione Europea.

L’obiettivo è quindi quello di affrontare la discriminazione LGBTI in modo più efficace entro il 2025 e sono quattro i punti sui quali si basa questa strategia:

  1. combattere la discriminazione nei confronti delle persone LGBTI;
  2. garantire la sicurezza delle persone LGBTI;
  3. costruire società inclusive per le persone LGBTI;
  4. guidare l’appello per l’uguaglianza LGBTI nel mondo.

 

La preoccupante situazione in Polonia

Nonostante l’impegno per eliminare qualsiasi tipo di discriminazione anti-LGBT nell’Unione Europea, negli ultimi anni, la situazione polacca non fa che peggiorare.

Dal 2019, sono state istituite delle aree “libere dall’ideologia LGBTI” da parte di decine di comuni, contee e regioni del sud-est della Polonia.

Le amministrazioni locali sono state invitate ad astenersi dall’intraprendere campagne anti-discriminazione dall’erogare i fondi a sostegno delle organizzazioni che si battono per l’uguaglianza.

Le istituzioni europee hanno preso sin dal primo momento una posizione di netta opposizione a queste dichiarazioni.

Tuttavia, è stata di recente approvata la cosiddetta legge Czarnek, che ha l’obiettivo di eliminare i contenuti non conformi alle ideologie sostenute dal governo (ultraconservatore) nelle scuole.

Lo Stato è quindi in grado di bloccare tutto ciò che, a parere dell’autore della legge, il ministro Czarnek, può costituire “una minaccia per la moralità dei bambini”; si tratta di una legge a contenuto manifestatamente anti-LGBTI.

Sarà, inoltre, consentito ai presidi degli istituti scolastici di ritirare qualsiasi materiale didattico fornito alle scuole da gruppi esterni considerato non adatto e potranno licenziare gli insegnanti che proporranno temi di insegnamento LGBTI.

 

L’Annual Review dell’ILGA

Nel mese di febbraio di quest’anno, è stato pubblicato dall’ILGA l’Annual Review of the Human Rights Situation of Lesbian, Gay, Bisexual, Trans, and Intersex People 2022.

Il Rapporto documenta quanto accaduto nell’arco del 2021 a livello mondiale, europeo e nazionale, in merito alla tutela dei diritti delle persone LGBTI, in diversi ambiti e secondo diversi criteri, ossia l’uguaglianza e non discriminazione, il riconoscimento della famiglia (matrimonio, adozione, previsioni costituzionali), l’incitamento all’odio, il riconoscimento giuridico del genere, l’integrità corporea, lo spazio della società civile e il diritto di asilo.

Oltre all’Annual Review è stata stilata da Rainbow Europe, come ogni anno, una classifica che si basa unicamente sull’impatto delle leggi e delle politiche di ciascun paese europeo sulla vita delle persone LGBTI.

Ciò che emerge è sicuramente, un’anomalia.

Nonostante, ad esempio, la situazione per i richiedenti asilo LGBTI in alcuni Paesi è segnata da ingiustizie e difficoltà, questi si collocano ai primi posti nella classifica dei cambiamenti legislativi positivi.

Danimarca, Estonia, Francia, Germania, Grecia, Malta, Paesi Bassi, Portogallo, Spagna, Svezia e Regno Unito sono infatti tra i Paesi in cui i richiedenti asilo LGBTI subiscono una doppia discriminazione[4].

Ciò accade in quanto, il grafico – che si riporta di seguito – prende in considerazione unicamente alcuni aspetti ed offre, per tale ragione, una panoramica solo parziale della situazione, ciò, a differenza dell’Annual Review, che descrive più dettagliatamente ciò che è accaduto all’interno di ciascun Paese.

 

 

Come emerge chiaramente da questo grafico, il riconoscimento e la tutela dei diritti LGBT nell’Unione Europea non è uniforme.

I Paesi della parte orientale dell’Unione Europea sono certamente quelli che presentano le percentuali più basse di tutela dei diritti LGBTI, secondo gli studi dell’ILGA.

Si pensi, tra l’altro che, ad oggi, sono ancora 6 gli Stati membri a non avere alcuna legge sulle unioni civili o sulle coppie di fatto: Polonia, Romania, Bulgaria, Lettonia, Lituania e Slovacchia.


LGBTI

LGBTI e stato di diritto in Italia

Diritti delle persone LGBTI in Italia: facciamo il punto della situazione

 

Evoluzione normativa in Italia dei diritti LGBTI

Cercheremo di ripercorrere brevemente l’evoluzione legislativa in materia di diritti LGBTI in Italia.

  • Il primo codice penale adottato dopo l’unità d’Italia, ossia il Codice Zanardelli, decriminalizzò l’omosessualità: essere omosessuali non costituiva più, di per sé, una fattispecie di reato. Tuttavia, benché non costituisse reato, nella pratica la repressione di quelle condotte ritenute “scandalose”, come quelle degli omosessuali, non si placò.
  • Durante il periodo fascista, seppur fosse previsto nel Progetto del nuovo codice penale il reato di “relazioni omossessuali“, non fu introdotto nella versione definitiva del Codice Rocco. Ciononostante, era previsto il confino, ossia una misura di prevenzione di carattere amministrativo, per coloro che venivano ritenuti omosessuali.
  • Negli anni a venire, l’opinione prevalente considerava l’omosessualità come una malattia, un disturbo da curare, tant’è che fu compresa nel Diagnostic and Statistical Manual of Mental Disorders tra i “disturbi sociopatici di personalità” (solo nel 1994 l’omosessualità venne estromessa dai disturbi mentali).
  • Il Decreto Legislativo n. 216 del 9 luglio 2003 (“Attuazione della direttiva 2000/78/CE per la parità di trattamento in materia di occupazione e di condizioni di lavoro”) pose finalmente fine alle discriminazioni sulla base dell’orientamento sessuale in ambito lavorativo, che divennero illegali in tutto il Paese.
  • Nel 2008, l’art. 8-septies del Decreto Legge n. 59 del 8 aprile 2008, recante disposizioni urgenti per l’attuazione di obblighi comunitari e l’esecuzione di sentenze della Corte di giustizia delle Comunità europee, convertito nella L. n. 101/2008, abolì la disposizione che attribuiva rilevanza all’orientamento sessuale nel valutare l’idoneità o meno per poter entrare o permanere nelle Forze armate, in quelle di Polizia e nei Vigili del Fuoco.
  • A partire dagli anni 80, furono presentati numerosi disegni di legge che si prefiggevano l’obiettivo di riconoscere una serie di importanti i diritti alle coppie omosessuali e, in generale, alle persone LGBTI.
  • Solo nel 2016, il disegno di legge Cirinnà riuscì ad essere discusso in Parlamento e successivamente, la Legge n. 76/2016 (c.d. Legge Cirinnà), di cui parleremo nel prossimo paragrafo, ad essere approvata.
  • Da ultimo, nel novembre del 2020 la Camera dei Deputati aveva approvato con 265 voti favorevoli e 193 contrari il Disegno di Legge Zan (c.d. DDL Zan), il quale prevedeva l’inasprimento delle pene contro i crimini e le discriminazioni contro omosessuali, transessuali, donne e disabili.[1] Tuttavia, nell’ottobre 2021 il DDL Zan è stato bocciato al Senato con 154 voti contrari, 131 favorevoli, più 2 astenuti.

 

Unioni civili: un breve cenno alla Legge Cirinnà

La Legge n. 76/2016, meglio nota come Legge Cirinnà[2], ha regolamentato per la prima volta nel nostro Paese l’unione tra persone dello stesso sesso, definendola come una “specifica formazione sociale” ai sensi degli artt. 2 e 3 della Costituzione.

La disciplina sulle unioni civili è regolata dai commi da 1 a 35 dell’unico articolo della Legge Cirinnà[3], la quale si occupa, inoltre, di regolare la convivenza definita “di fatto” (applicabile sia alle persone di sesso diverso, sia a quelle del medesimo sesso).

È stata quindi riconosciuta la possibilità, per due persone maggiorenni che appartengono allo stesso sesso, definite dalla legge le “parti”, di stipulare un’unione civile davanti ad un ufficiale di stato civile e alla presenza di almeno due testimoni.

Tale unione porta con sé diritti e doveri, quali, ad esempio, l’obbligo reciproco all’assistenza morale e materiale e alla coabitazione ed è interessante notare come, a differenza di quanto previsto per l’istituto giuridico del matrimonio, non si fa riferimento all’obbligo di fedeltà.

Dal punto di vista patrimoniale, se non viene deciso nulla al riguardo, si applica il regime della comunione dei beni.

Vengono anche disciplinate le cause impeditive, che comportano la nullità dell’unione, ossia:  i) la sussistenza, per una delle parti, di un vincolo matrimoniale o di un’unione civile; ii) l’interdizione per infermità di mente di una delle parti; iii) l’esistenza, fra le parti, dei rapporti di parentela o di affinità di cui all’ articolo 87 comma 1 del c.c.; iv)  la condanna definitiva di una delle parti per omicidio consumato o tentato nei confronti di chi sia coniugato o unito civilmente con l’altra parte.

Lo scioglimento dell’unione civile può avvenire per le seguenti cause:

  • su domanda delle parti o di una sola di esse (la domanda potrà essere proposta solo decorsi 3 mesi dalla data della dichiarazione fatta all’ufficiale di stato civile di volersi sciogliere dal vincolo);
  • a seguito ad un provvedimento estero di annullamento o scioglimento oppure matrimonio o unione civile contratti all’estero;
  • morte o dichiarazione di morte presunta di una delle parti;
  • condanna o sentenza penale di una parte
  • sentenza di rettificazione di attribuzione di sesso.

 

L’adozione

La Legge Cirinnà consente l’adozione solo ed esclusivamente con le forme ed entro i limiti stabiliti dalle norme vigenti.

Non viene quindi riconosciuta la possibilità che il figlio minore di un partner instauri un rapporto di genitorialità sociale con l’altro a seguito di adozione (c.d. stepchild adoption).

Tuttavia, nonostante la normativa italiana fosse – e sia – lacunosa sul punto, già nel 2014, la giurisprudenza aveva esteso la stepchild adoption anche alle coppie omosessuali.L’art. 44 della L. n. 184/1983, in particolare, regola l’adozione “in casi particolari”, la quale ha aperto la strada alla possibilità di adozione del figlio del proprio partner, anche nel caso di coppie omosessuali.Secondo l’articolo sopracitato, i minori possono essere adottati:a.      da persone unite al minore da un vincolo di parentela fino al sesto grado o da preesistente rapporto stabile e duraturo, quando il minore sia orfano di padre e di madre; b.      dal coniuge nel caso in cui il minore sia figlio anche adottivo dell’altro coniuge; c.      quando il minore sia in condizioni di disabilità e sia orfano di padre e di madre; d.      quando vi sia la constatata impossibilità di affidamento preadottivo.  Inoltre, “nei casi di cui alle lettere a), c), e d) del comma 1 l’adozione è consentita, oltre che ai coniugi, anche a chi non è coniugato.”.

Si è assistito, negli anni, all’evoluzione di un orientamento progressista della giurisprudenza in materia di adozioni da parte di coppie LGBTI, basato sulla salvaguardia della “continuità affettiva ed educativa della relazione tra adottante ed adottando” e sull’ “interesse del minore al riconoscimento di una relazione affettiva già instaurata e consolidata con chi se ne prende stabilmente cura[4] che, tuttavia, non è stato affiancato da un’evoluzione normativa adeguata.

La stessa Corte Costituzionale, con le sentenze n. 32 e 33 del 9 marzo 2021, ha rilevato l’inadeguatezza dello strumento dell’adozione in casi particolari e ha invitato il legislatore a intervenire con la massima sollecitudine.

Risulta doveroso segnalare che, la Corte Costituzionale, con un comunicato datato 24 febbraio 2022[5], ha dichiarato incostituzionali l’art. 55 della L. n. 184/983 e l’art. 300, secondo comma, del c.c., che escludono, nelle adozioni di minori “in casi particolari”, l’esistenza di “rapporti civili” tra il bambino adottato e i parenti dell’adottante, proprio nella parte in cui prevedono che “l’adozione non induce alcun rapporto civile tra l’adottato e i parenti dell’adottante”.

 

Relazione annuale ILGA-Europe

L’ILGA-Europe ha recentemente pubblicato la relazione annuale relativa al periodo da gennaio a dicembre 2021[6], che fa il punto sullo stato dei diritti LGBTI in Europa e in Asia centrale, sottolineando sia le tendenze positive, sia le tendenze negative.

Per quanto riguarda l’Italia, è stato segnalato, oltre al mancato raggiungimento di un accordo tra le forze politiche circa il testo del DDL Zan, il perdurare delle discriminazioni e dei reati anti-LGBTI.

Ci sono, però, anche delle note in senso positivo, tra cui l’orientamento progressista della giurisprudenza segnalato precedentemente e l’adozione di un programma per affrontare la discriminazione legata all’orientamento sessuale e all’identità di genere e sostenere le vittime da parte del Dipartimento per le Pari Opportunità della Presidenza del Consiglio dei Ministri.

Ciononostante, secondo il Rainbow Europe, ossia lo strumento di benchmarking di ILGA-Europe, che classifica 49 Paesi in base all’impatto delle leggi e delle politiche di ciascuno Stato sulla vita delle persone LGBTI, l’Italia si posiziona solamente al trentacinquesimo posto.

Informazioni

[1] Per un approfondimento sul tema: Il DDL Zan spiegato facile – DirittoConsenso

[2] Per un approfondimento sul tema si rimanda all’articolo: Le unioni civili – DirittoConsenso

[3] Le unioni civili sono regolate altresì da tre decreti legislativi successivi emessi per attuare la Legge Cirinnà.

[4] Cassazione Civile n. 17100 del 26/06/2019

[5] CC_CS_20220224180711.pdf (cortecostituzionale.it)

[6] italy.pdf (ilga-europe.org)


Riforma Cartabia

La riforma Cartabia del processo penale e del processo civile

La Riforma Cartabia si concretizza attraverso le leggi n. 134/2021 e 206/2021, contenenti delega al Governo per riformare il processo civile e penale

 

La Riforma Cartabia: la legge n. 134/2021 e la legge n. 206/2021

Il Parlamento ha approvato la Legge n. 134/2021, entrata in vigore il 19.10.2021, che prevede la “delega al Governo per l’efficienza del processo penale nonché in materia di giustizia riparativa e disposizioni per la celere definizione dei procedimenti giudiziari” e la Legge n. 206/2021, entrata in vigore il 24.12.2021, contenente la “delega al Governo per l’efficienza del processo civile e per la revisione della disciplina degli strumenti di risoluzione alternativa delle controversie e misure urgenti di razionalizzazione dei procedimenti in materia di diritti delle persone e delle famiglie nonché in materia di esecuzione forzata.”

La Riforma Cartabia prende quindi forma attraverso due interventi normativi differenti; tuttavia, è possibile fare riferimento ad una riforma unica, il cui obiettivo è sostanzialmente quello di rendere la giustizia più efficiente e, soprattutto, di velocizzarne i tempi, sia in ambito civile, sia in ambito penale.

Ciò anche in ragione delle Country Specific Recommendations che la Commissione Europea, nel 2019 e 2020, ha indirizzato al nostro Paese, invitandolo ad aumentare l’efficienza del sistema giudiziario civile e a favorire la repressione della corruzione, anche attraverso una minore durata dei procedimenti penali.

Tra l’altro, entrambi questi interventi, sono condizioni necessarie per poter usufruire dei fondi europei legati al Piano Nazionale di Ripresa e Resilienza (PNRR)[1]; si tratta di due obiettivi essenziali concordati con la Commissione Europea, che concernono la riduzione dei tempi del processo del 25% nel settore penale e del 40% nel settore civile entro i prossimi cinque anni.

Occorre infatti ricordare che, purtroppo, l’Italia è stata destinataria di numerose condanne per violazione dell’art. 6 della CEDU[2] con riguardo alla durata dei processi.

Le due leggi che danno vita alla Riforma Cartabia presentano un duplice contenuto.

  • 134/2021: si compone di due articoli, il primo contiene la delega al Governo per la riforma del processo penale ed il secondo contiene modifiche immediatamente precettive al Codice penale e al Codice di procedura penale;
  • 206/2021: è composta, invece, da un unico articolo che contiene sia la delega al Governo per la riforma del processo civile, sia la modifica di alcune disposizioni del Codice civile e del Codice di procedura civile.

 

Cercheremo ora di analizzare brevemente le novità che dovranno essere introdotte sia in ambito penale, sia in ambito civile, in seguito alla Riforma Cartabia.

 

Riforma Cartabia del processo penale: la L. n. 134/2021

Come anticipato, la Legge n. 134/2021, si compone di due articoli.

 

Articolo 1

Il primo articolo, innanzitutto, si occupa di:

  • promuovere la digitalizzazione del procedimento penale, che comporta senza dubbio una velocizzazione dei tempi. Si prevedono dei criteri ai quali interventi legislativi di adeguamento dovranno ispirarsi, quali, per esempio, i depositi telematici e modalità telematiche per le notificazioni e le comunicazioni oppure l’individuazione dei casi in cui, con il consenso delle parti, possa avvenire la partecipazione da remoto all’udienza e la valorizzazione di video e audio registrazioni. Si affida questa transizione ad un piano triennale per la transizione digitale dell’amministrazione della giustizia e si prevede la costituzione un Comitato tecnico-scientifico che funga da organismo di consulenza per le scelte riguardanti la digitalizzazione del processo;
  • prevedere, in tema di notificazioni, oltre all’obbligo per gli imputati non detenuti, di indicare recapiti telefonici e telematici, la facoltà di dichiarare quale domicilio ai fini delle notificazioni anche un recapito telefonico. Inoltre, tutte le notificazioni all’imputato non detenuto, successive alla prima, dovranno eseguirsi mediante la consegna al difensore (anche a mezzo pec);
  • ridurre i tempi delle indagini preliminari e filtrare quelli che sono i procedimenti effettivamente meritevoli di essere posti all’attenzione del giudice[3];
  • introdurre un nuovo rimedio giurisdizionale. Colui che è sottoposto ad indagini (e gli altri soggetti interessati) potrà opporre opposizione innanzi al GIP avverso il decreto di perquisizione cui non consegua un provvedimento di sequestro;
  • ridefinire il catalogo dei procedimenti con citazione diretta davanti al tribunale in composizione monocratica, data la capacità filtrante scarsa dell’udienza preliminare, e di modificare la regola di giudizio, prevedendo che il giudice pronunci sentenza di non luogo a procedere allorquando gli elementi acquisiti non consentano una ragionevole previsione di condanna.

 

Inoltre, in tema di riti alternativi, per quanto riguarda il patteggiamento, il Governo dovrà, in caso di patteggiamento allargato[4], consentire che l’accordo tra imputato e PM possa estendersi alle pene accessorie e alla loro durata. E, in ogni caso, prevedere che l’accordo possa estendersi alla confisca. Dovranno inoltre essere ridotti gli effetti extra penali della sentenza di patteggiamento.

Nel giudizio abbreviato dovranno essere modificate le condizioni per l’accoglimento della richiesta di giudizio abbreviato subordinata ad un’integrazione probatoria.

Infine, l’area del decreto penale di condanna risulta fortemente ampliata.

Per quanto attiene il giudizio dibattimentale, si prevede che i giudici fissino e comunichino alle parti un calendario delle udienze, che le parti illustrino le richieste di prova nei limiti strettamente necessari alla verifica della loro ammissibilità e che qualora vi sia un mutamento del giudice o di uno o più componenti del collegio, il giudice disponga, se la prova dichiarativa è stata verbalizzata tramite videoregistrazione, la riassunzione della medesima, solo se lo ritenga necessario sulla base di specifiche esigenze.

Nei giudizi attribuiti alla competenza del giudice monocratico, si prevede un’udienza predibattimentale in camera di consiglio, da celebrare innanzi ad un giudice diverso da quello davanti al quale dovrà eventualmente celebrarsi il dibattimento.

Ulteriori novità vengono introdotte dalla Riforma Cartabia in tema di impugnazioni:

  • Appello. Si prevede che, a pena di inammissibilità, con l’atto di impugnazione, si depositi la dichiarazione o elezione di domicilio ai fini della notificazione dell’atto introduttivo del procedimento. Viene tra l’altro ridotto il novero delle sentenze appellabili e di ipotesi di rinnovazione dell’istruttoria dibattimentale e ampliato il numero di ipotesi di inammissibilità dell’appello.
  • Cassazione. Il Governo dovrà introdurre la trattazione dei ricorsi davanti alla Cassazione con contraddittorio scritto senza l’intervento dei difensori, salva la possibile richiesta delle parti di discussione orale. Dovrà essere previsto anche un meccanismo di rinvio alla Corte di Cassazione per definire questioni sulla competenza per territorio. È altresì prevista l’introduzione di un ricorso straordinario alla Cassazione per dare esecuzione alle sentenze della Corte Edu.

 

Si prevede, inoltre, che il decreto di archiviazione e la sentenza di non luogo a procedere o assoluzione costituiranno titolo per l’emissione di un provvedimento di deindicizzazione, che garantisca il diritto all’oblio.

Viene rivisto il sistema sanzionatorio: per un approfondimento si rimanda all’art. 1 commi 14, 15, 1 e 17, L. 134/2021, oltre che potenziati gli istituti della non punibilità per tenuità del fatto (art. 1 comma 21, L. 134/2021) e della messa alla prova (art. 1 comma 22, L.134/2021) e l’estinzione delle contravvenzioni per condotte riparatorie o ripristinatorie (art. 1 comma 23, L.134/2021).

In tema di giustizia riparativa, concepita nell’interesse della vittima e dell’autore del reato, dovrà essere introdotta una disciplina organica, nel rispetto delle direttive europee.

 

Articolo 2

Nel secondo articolo sono invece contenute le disposizioni immediatamente precettive che riguardano sia il Codice penale sia il Codice di procedura penale.

Riguardo la disciplina della prescrizione dei reati, viene introdotto l’art. 161 bis c.p., nel quale si prevede che “il corso della prescrizione del reato cessa definitivamente con la pronuncia della sentenza di primo grado” e, se la sentenza viene annullata, con regressione del procedimento al primo grado o ad una fase anteriore, la prescrizione riprende a decorrere dalla pronuncia definitiva di annullamento. Inoltre, il decreto penale di condanna, non ha l’effetto definitivamente interruttivo del corso della prescrizione.

Parallelamente viene introdotto l’art. 344 bis c.p.p. il quale disciplina l’istituto dell’improcedibilità per superamento dei termini di durata massima del giudizio di impugnazione; i termini sono di due anni per quanto riguarda l’appello e di un anno per la Cassazione[5]. Tale declaratoria di improcedibilità non opera qualora sia l’imputato a richiedere la prosecuzione del processo.

I termini di cui sopra, che sono sospesi negli stessi casi in cui si prevede la sospensione della prescrizione, decorrono dal 90° giorno successivo alla scadenza del termine per il deposito della sentenza e possono, in alcuni casi previsti tassativamente, essere prorogati dal giudice (massimo tre anni per l’appello e un anno e sei mesi per la Cassazione).

Infine, quanto alle decisioni sugli effetti civili, in caso di improcedibilità ai sensi del 344 c.p.p., viene novellato l’art. 578 c.p.p., introducendo un nuovo comma 1 bis.

Una norma transitoria ha previsto che, l’improcedibilità di cui sopra, si applica ai soli procedimenti di impugnazione che hanno ad oggetto reati commessi a partire dal 01.01.2020; per i medesimi, se l’impugnazione è proposta entro il 31.12.2024, i termini previsti dall’art. 344 c.p.p. sono rispettivamente di tre anni per l’appello e di un anno e sei mesi per la Cassazione.

Si sono altresì modificate alcune disposizioni del Codice di procedura penale relative all’identificazione della persona sottoposta al procedimento penale.

Inoltre, con si integrano alcune norme processuali a tutela delle vittime di violenza domestica e di genere introdotte con il c.d. Codice rosso, estendendone la portata anche ai reati in forma tentata e alle vittime del tentato omicidio. Viene infine introdotta la previsione dell’arresto in flagranza di reato per il delitto di violazione dei provvedimenti di allontanamento dalla casa famigliare e del divieto di avvicinamento ai luoghi frequentati dalla persona offesa.

Dovranno essere istituiti due comitati scientifici presso il Ministero della Giustizia:

  • il Comitato tecnico-scientifico per il monitoraggio sull’efficienza della giustizia penale, sulla ragionevole durata del procedimento e della statistica giudiziaria;
  • il Comitato tecnico-scientifico per la digitalizzazione del processo.

 

Riforma Cartabia del processo civile: la L. n. 206/2021

Cercheremo ora di riassumere alcune delle principali novità previste dalla Legge n. 206/2021.

Per quanto riguarda gli istituti di risoluzione alternativa delle controversie, con il fine di incentivare la procedura della mediazione e della negoziazione assistita, si prevedono:

  • un aumento degli incentivi fiscali,
  • l’estensione del novero delle controversie per cui si prevede il ricorso obbligatorio alla mediazione, incentivando la partecipazione delle parti (anche telematicamente),
  • lo svolgimento delle procedure da remoto,
  • la revisione la disciplina della formazione e aggiornamento dei mediatori.

 

Ma veniamo ora alle modifiche da apportare al Codice di procedura civile in materia di processo civile di cognizione di primo grado davanti al tribunale in composizione monocratica.

In sintesi, si prevede che:

  • venga assicurata la semplicità, effettività della tutela e la ragionevole durata del processo, modificando il contenuto dell’atto di citazione e della comparsa di risposta e valorizzando le fasi anteriori alla prima udienza;
  • nel corso dell’udienza di comparizione, le parti compaiano personalmente e il giudice fissi la successiva data di udienza per l’assunzione dei mezzi istruttori entro 90 giorni;
  • si apportino delle modifiche inerenti la fase decisoria, introducendo dei termini perentori acceleratori;
  • venga modificato l’art. 185-bis c.p.c., prevedendo che il giudice possa formulare una proposta di conciliazione fino al momento in cui trattenga la causa in decisione;
  • il procedimento previsto dagli 702-bis e ss. c.p.c., sia collocato nel libro II, denominato “procedimento semplificato di cognizione”, ne sia esteso l’ambito di applicazione a tutte le controversie di pronta soluzione o non presenti profili di complessità, sia disciplinato da termini e tempi prevedibili e ridotti rispetto a quelli del rito ordinario e si concluda con sentenza;
  • nel corso del giudizio di primo grado e nelle controversie di competenza del tribunale che hanno ad oggetto diritti disponibili, il giudice possa pronunciare ordinanza provvisoriamente esecutiva di accoglimento o di rigetto, qualora la domanda dell’attore, oppure le difese del convenuto, appaiano manifestatamente infondate;
  • si disciplinino i rapporti tra collegio e giudice monocratico.

 

Si chiede poi che vengano ridotti i casi in cui il tribunale giudica in composizione collegiale e che sia introdotto un nuovo regime di preclusioni e di fissazione dell’oggetto della causa, analogo a quello previsto per il procedimento di competenza del giudice monocratico.

Per ciò che attiene al giudice di pace, si prevede una sua uniformazione rispetto al procedimento dinnanzi al tribunale in composizione monocratica e la rideterminazione delle sue materie civili di competenza.

Nel riformare le impugnazioni, la delega prevede:

  • per l’appello, il superamento del filtro in appello, prevedendo la possibilità di dichiarare manifestatamente infondata l’impugnazione che non ha possibilità di essere accolta e che i termini per le impugnazioni ex 325 c.p.c. decorrano dal momento in cui la sentenza è notificata anche per la parte che notifica. La modifica della disciplina dei provvedimenti sull’esecuzione provvisoria in appello (si veda art. 1 comma 8 lett. f) L. 206/2021). Si introduce la figura del consigliere istruttore, ai quali sono affidati i poteri di cui all’art. 1 comma 8 lett. l) L. 206/2021.Infine, limitare le ipotesi di rimessione della causa in primo grado ai casi di violazione del contraddittorio;
  • per il giudizio di Cassazione: la riforma del filtro in Cassazione, prevedendo un procedimento accelerato per la definizione dei ricorsi improcedibili, inammissibili o manifestatamente infondati. Si introduce la possibilità per il giudice di merito, qualora debba decidere una questione di diritto, di sottoporla direttamente alla Corte nel caso in cui sussistano alcuni presupposti riportati dall’art. 1 comma 9 lett. g. L. 206/2021;
  • si introduce una nuova ipotesi di revocazione della sentenza civile nel caso in cui, il contenuto di una sentenza passata in giudicato sia successivamente dichiarato contrario alla CEDU o ad uno dei suoi Protocolli, dalla Corte Europea dei diritti dell’uomo.

 

Passiamo ora in rassegna alcune delle novità principali, introdotte dalla Riforma Cartabia, che riguardano il processo di esecuzione.

Innanzitutto, si prevede l’abrogazione delle disposizioni che si riferiscono alla formula esecutiva, prevedendo che per valere come titolo per l’esecuzione forzata occorrerà la mera attestazione di conformità della copia dell’originale.

Con riguardo al pignoramento, si prevede la sospensione dei termini di efficacia del precetto che consenta al creditore, munito di titolo esecutivo e del precetto, di predisporre un’istanza e rivolgersi al presidente del Tribunale per la ricerca con modalità telematiche dei beni da pignorare e la riduzione dei termini previsti per la sostituzione del custode nominato in sede di pignoramento.

Si delega il Governo affinché acceleri la procedura di liberazione dell’immobile quando è occupato sine titulo o da soggetti diversi dal debitore.

Vengono introdotte regole specifiche riguardanti la vendita privata nel procedimento di espropriazione immobiliare e l’istituzione presso il Ministero della Giustizia della “Banca dati per le aste giudiziali”.

Sempre nell’esercizio del potere di delega, si prevede la riforma dei procedimenti in materia di diritti delle persone e della famiglia, oltre all’istituzione del nuovo Tribunale per le persone, i minorenni e per le famiglie.

In particolare, dovrà essere introdotto un rito unificato applicabile a tutti i procedimenti relativi allo stato delle persone, ai minorenni e alle famiglie.

Ulteriori principi riguardano la razionalizzazione della fase istruttoria e decisoria, oltre all’abbreviazione dei termini processuali.

Dovranno essere introdotte disposizioni relative all’attività del mediatore famigliare, alla disciplina di nomina del curatore speciale del minore, alla nomina del tutore del minore nel corso e all’esito dei procedimenti sulla responsabilità genitoriale.

Sempre in questo ambito si prevedono specifici criteri per regolamentare l’intervento dei servizi socioassistenziali e sanitari e le attività di controllo inerenti le situazioni che riguardano i minori.

Infine, dovrà essere introdotto un rito unico per i procedimenti su domanda congiunta di separazione personale dei coniugi, di divorzio e affidamento dei figli nati fuori dal matrimonio e predisporre una regolamentazione autonoma per il giudizio d’appello per i procedimenti in materia di persone, minorenni e famiglie.

Per quanto riguarda l’arbitrato, all’art. 1 comma 15 della L.206/2021, sono indicati i criteri e principi direttivi, per rafforzare le garanzie di imparzialità e indipendenza dell’istituto, disciplinare l’esecutività del lodo straniero, oltre che disciplinare la translatio iudicii tra giudizio arbitrale e ordinario e viceversa, e permettere agli arbitri rituali di emanare misure cautelari.

Altrettanti specifici criteri direttivi sono stati indicati in materia di consulenti tecnici, per i quali si prevede una revisione del percorso di iscrizione, nell’ottica di favorire anche i più giovani, la creazione di un albo nazionale unico, una formazione continua oltre che all’istituzione presso le corti d’appello di una commissione di verifica che controlli la regolarità delle nomine.

In tema di accertamento dello stato di cittadinanza italiana, sono modificati i criteri di individuazione del foro competente per il giudizio.

Infine, a partire dal comma 27, sono introdotte modifiche alla legislazione vigente, che dovranno essere applicate ai procedimenti instaurati a partire dal 180° giorno successivo all’entrata in vigore della legge.

Interviene quindi sul Codice civile, sul Codice di procedura civile e sulle relative disposizioni di attuazione introducendo modifiche destinate a divenire efficaci prima dell’esercizio della delega.

 

Conclusione

La ratio della Riforma Cartabia, nella quale confluiscono questi due interventi “gemelli”, è quindi sicuramente quella di ridurre i tempi del processo e implementare la digitalizzazione dei procedimenti, la quale viene cristallizzata per quanto concerne il procedimento civile e introdotta nel procedimento penale.

In entrambe le leggi sono contenuti principi e criteri direttivi con il fine di apporre delle modifiche alla disciplina relativa all’Ufficio per il processo (art. 1 comma 18, L. 206/2021 e art. 1 comma 26, L. 134/2021) e per farlo, si autorizza il Ministero della Giustizia all’assunzione, in totale, di 1.500 unità di personale con contratto a tempo indeterminato.

Il PNRR prevede di completare le procedure relative alle assunzioni entro i primi mesi del 2022.

Si stima, inoltre i decreti attuativi delle leggi delega possano essere adottati entro la fine dell’anno 2022 e che entro la fine dell’anno 2023 possano essere adottati gli eventuali ulteriori strumenti attuativi (decreti ministeriali e/o regolamenti).

Si ricorda infatti che la Riforma Cartabia del processo penale e del processo civile dovrà essere attuata entro un anno dall’entrata in vigore delle rispettive leggi n. 134/2021 e n. 206/2021.

Informazioni

www.camera.it

www.governo.it

www.normattiva.it

Gatta G.L., Riforma della giustizia penale: contesto, obiettivi e linee di fondo della ‘legge Cartabia’, in Sistema Penale, 2021

Legge 27 settembre 2021, n. 134

Legge 26 novembre 2021, n. 206

[1] https://www.governo.it/sites/governo.it/files/PNRR.pdf

[2] Art. 6, comma 1, CEDU: “Ogni persona ha diritto a che la sua causa sia esaminata equamente, pubblicamente ed entro un termine ragionevole da un tribunale indipendente e imparziale, costituito per legge, il quale sia chiamato a pronunciarsi sulle controversie sui suoi diritti e doveri di carattere civile o sulla fondatezza di ogni accusa penale formulata nei suoi confronti.”

[3] Si veda, per un approfondimento, l’art. 1 comma 9 della L. 134/2021.

[4] Per un approfondimento sul tema si rimanda a: http://www.dirittoconsenso.it/2021/06/01/patteggiamento-procedimento-penale-speciale/

[5] Questa regola non opera per i reati puniti con l’ergastolo.


Cambridge Analytica

Il caso Cambridge Analytica

Lo scandalo di Cambridge Analytica, legato all’utilizzo dei dati personali ottenuti illecitamente da Facebook

 

Che cos’è Cambridge Analytica e di cosa si occupava?

Cambridge Analytica era una filiale della società britannica SCL Group (Group Strategic Communication Laboratories) ed è stata fondata nel 2013 con l’obiettivo di occuparsi delle strategie di comunicazione politica per finalità elettorali e per “affrontare il vuoto nel mercato politico repubblicano negli Stati Uniti[1].

La società SCL si occupa prevalentemente di big data[2] e di data mining[3].

Attraverso la raccolta di un enorme quantità di dati e informazioni è in grado di creare dei modelli comportamentali e psicologici che rispecchiano le diverse tipologie di utenti che navigano in rete.

Cambridge Analytica ha condotto numerose campagne elettorali in vari Paesi in via di sviluppo utilizzando nuove tecnologie e strategie; il suo primo incarico politico di spessore ha riguardato la campagna presidenziale del senatore repubblicano Ted Cruz.

Ma la vera svolta ci fu nel 2016, anno in cui si è occupata della campagna presidenziale di quello che sarebbe poi diventato il Presidente degli Stati Uniti d’America, Donald Trump.

Non solo: ha assunto un ruolo di spicco anche nella campagna della Brexit[4].

La società, a causa dello scandalo scoppiato nel marzo del 2018, ha poi dichiarato la chiusura il 2 maggio del 2018.

 

Quali sono le tecnologie utilizzate da Cambridge Analytica?

Il sistema che è stato utilizzato da Cambridge Analytica è il cosiddetto microtargeting psicografico. Quest’ultimo consiste nel valutare la personalità degli utenti online attraverso la raccolta delle impronte digitali che vengono lasciate da questi in Internet e successivamente di influenzarne le scelte e le opinioni mostrando agli stessi inserzioni pubblicitarie mirate e personalizzate.

Alla base vi è l’utilizzo di un algoritmo, un modello, elaborato dal ricercatore e psicologo Michal Kosinski. Kosinski, infatti, nel 2013 ha pubblicato un suo studio sulla rivista Pnas intitolato “Private traits and attributes are predictable from digital records of human behavior”[5], in cui ha mostrato la possibilità di predire le caratteristiche emotive e comportamentali di un utente, basandosi unicamente su un certo numero di “like” di Facebook.

Il ricercatore ha connesso i dati deviranti dai test di personalità con i “likes” del profilo social di un individuo, dimostrando che in media con 68 “mi piace”, è possibile predire il suo orientamento sessuale e la sua ideologia politica. Con circa 170 “mi piace” si possono invece essere determinare il grado di intelligenza, la religione, oppure l’uso di alcool e di sigarette.

Cambridge Analytica ha quindi sviluppato un sistema di microtargeting da offrire ai propri clienti: pensiamo ad esempio ad un politico che si rivolge alla società per curare la propria campagna elettorale.

La società, grazie alle informazioni in suo possesso, è in grado di influenzare le scelte di voto degli elettori indecisi, cosiddetti “influenzabili”, servendosi di annunci pubblicitari modulati sulla base delle loro personalità e messi in rete attraverso piattaforme come Facebook.

 

Quali sono i personaggi chiave del caso Cambridge Analytica?

I volti che si celano dietro alla società britannica sono vari. Primo fra tutti quello del fondatore e principale investitore Robert Mercer, il quale oltre ad aver collaborato, durante la campagna per la Brexit, con Nigel Farage[6], donando al suo partito servizi di analisi dei dati, ha sostenuto la campagna presidenziale di Trump.

Vi è poi Steve Bannon, un altro finanziatore che per diversi anni è stato il direttore di Breitbart New, un giornale digitale dell’estrema destra statunitense.

Infine, colui che ha convinto Mercer e Bannon a creare la società fu Alexander Nix, l’ex amministratore delegato[7] e leader dietro la nascita di Cambridge Analytica come mezzo per analizzare il comportamento e le abitudini degli elettori.

Altrettanto importante è invece il nome di colui che ha portato alla luce le attività di Cambridge Analytica e il suo legame con Facebook, ossia Christopher Wylie, ex dipendente e fonte principale delle inchieste del The Guardian, del New York Times e di Channel 4.

 

Breve ricostruzione dello scandalo

Nonostante vi fossero già da anni articoli giornalistici che denunciavano la raccolta illecita di dati personali da parte di Cambridge Analytica, lo scandalo è esploso solo nel marzo del 2018 in seguito alle dichiarazioni rese da Christopher Wylie.

Le sue rivelazioni vennero pubblicate sui quotidiani The Guardian e New York Times il 17 marzo 2018[8]:

Abbiamo sfruttato Facebook per raccogliere i profili di milioni di persone. E abbiamo costruito modelli per sfruttare ciò che sapevamo su di loro e mirare ai loro demoni interiori. È su questa base che l’intera società è stata costruita” ha dichiarato l’ex dipendente.

 

Qual è stato il ruolo di Facebook nella vicenda?

Occorre innanzitutto tornare al 2014, anno in cui Aleksandr Kogan, un ricercatore dell’Università di Cambridge, sviluppò l’applicazione “this is your digital life.

Quest’app permetteva agli utenti di ottenere profili psicologici e previsionali del proprio comportamento sottoponendosi a dei quiz. Per poterla utilizzare bisognava solamente registrarsi utilizzando il Facebook Login. Una volta effettuato il login tramite Facebook, si accettava che il sito ottenesse alcuni dei dati personali tra i quali: nome, cognome, email, sesso ed età. Ma non solo, anche i dati riguardanti la rete delle amicizie sulla piattaforma.

Attraverso tale applicazione, la società di Kogan, la Global Science Research (GSR), nel 2015 ha raccolto oltre 270.000 iscrizioni e dati di più di 50 milioni di utenti del social.

 

Ma se tutto ciò era lecito, perché si grida allo scandalo?

Come anticipato, furono le dichiarazioni di Wylie a fare scalpore.

I problemi sono sorti nel momento in cui Kogan condivise i dati degli utenti di Facebook, raccolti lecitamente, con Cambridge Analytica, violando di conseguenza i termini d’ uso di Facebook.

L’ex dipendente di Cambridge Analytica, ha tra l’altro sostenuto che Facebook fosse a conoscenza di tale violazione da addirittura due anni, senza intervenire in alcun modo.

In base al nuovo Regolamento europeo in materia di protezione dei dati personali 2016/679/UE[9], tale omissione avrebbe integrato una grave violazione della normativa in quanto non sarebbe stato rispettato uno degli obblighi previsti a carico del titolare del trattamento[10] (Facebook).

In particolare, il titolare, deve comunicare l’evento all’autorità di controllo, a meno che “sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche“. Tale comunicazione deve avvenire senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza“.

Solo il 16 marzo 2018 Facebook sospese l’account della società e di Kogan, dichiarando di aver ricevuto delle segnalazioni sull’uso impropri di alcuni dati raccolti sulla piattaforma[11].

Il passaggio di informazioni dall’applicazione a Cambridge Analytica era avvenuto, tra l’altro, senza che gli utenti fossero stati informati circa l’utilizzo che si sarebbe fatto dei loro dati e senza che avessero prestato il proprio consenso.

 

La campagna elettorale di Donald Trump e i dati (provenienti da Facebook) in possesso di Cambridge Analytica

Nel 2016, come noto, il comitato di Donald Trump affidò a Cambridge Analytica la raccolta dei dati per la sua campagna presidenziale[12].

Le indagini condotte fino a oggi hanno accertato che nel corso della campagna elettorale di Trump furono utilizzati numerosi account fake e bot col fine di diffondere fake news e altri contenuti finalizzati a screditare Hillary Clinton, avversaria di Donald Trump.

In un video pubblicato da Channel 4, lo stesso Nix spiega a un potenziale cliente (in realtà un giornalista) come sia possibile incastrare un politico confezionando uno scandalo ad hoc[13].

 

La linea difensiva di Cambridge Analytica

Nonostante quanto emerso dall’inchiesta, il CEO di Cambridge Analytica ha continuato ad affermare che non possedeva né utilizzava dati personali illecitamente acquisiti da Facebook.

Tuttavia, tali dichiarazioni furono contraddette da Wylie, il quale ha mostrato un ampio dossier contenente prove come e-mail, fatture, contratti e trasferimenti bancari che rivelavano come oltre 50 milioni di dati, perlopiù appartenenti ad elettori statunitensi, erano stati estratti dalla piattaforma Facebook.

Tuttavia, malgrado le evidenze probatorie innumerevoli, la vicenda si è conclusa con una dichiarazione di Cambridge Analytica con la quale afferma che in ogni caso nessuno dei dati in suo possesso è stato utilizzato al fine di realizzare un microtargeting politico.

 

La linea difensiva di Facebook

Durante la sua testimonianza al Congresso statunitense del 10 aprile del 2018, Zuckerberg si è scusato per la violazione dei dati: “è stato un mio errore, e ne sono dispiaciuto. Io ho creato Facebook, io lo mando avanti, e sono io il responsabile di ciò che accade”.

Ha inoltre dichiarato che solo nel 2015 venne a sapere che le informazioni degli utenti erano state condivise da Kogan con Cambridge Analytica e aveva poi chiesto a quest’ultima di cancellarle. Solo grazie al The Guardian, al The New York Times e a Channel 4, scoprì che in realtà quei dati non erano mai stati eliminati.

Zuckerberg è stato poi chiamato a comparire anche davanti al Parlamento Europeo, il 22 maggio 2018. In quell’occasione ha nuovamente posto le sue scuse per non aver saputo gestire e arginare il fenomeno che ha portato alla violazione dei dati di milioni di utenti della piattaforma.

 

Sanzioni comminate a Facebook

Il Garante italiano per la protezione dei dati personali ha applicato a Facebook una sanzione di un milione di euro per gli illeciti compiuti nell’ambito del caso “Cambridge Analytica”[14].

Il Social Network ha invece patteggiato con la Federal Trade Commission americana: dovrà pagare due sanzioni, rispettivamente di cento milioni e cinque miliardi di dollari agli enti federali e impegnarsi a sottostare a normative molto più rigide riguardanti la protezione della privacy degli utenti, che saranno regolate da un comitato indipendente, con un funzionario nominato direttamente dalla FTC.

 

Conclusione

Tale inchiesta giornalistica ha sicuramente messo in luce come le potenzialità dei big data a livello economico e sociale siano enorme ma, anche, quali siano i rischi legati alla diffusione dei dati personali, per la privacy, per i diritti di libertà e per il futuro della democrazia.

È impossibile sapere con certezza quale sia stato l’impatto effettivo che l’attività svolta da Cambridge Analytica abbia avuto sulle elezioni americane e quale sia stata l’importanza del processo di targeting applicato agli utenti Facebook, tuttavia vi sono diversi temi su cui riflettere.

Il GDPR ha sicuramente oggi posto attenzione sulla responsabilizzazione del titolare del trattamento.

Gli obblighi posti a carico dei titolari sono infatti numerosi, a titolo esemplificativo e non esaustivo:

  • trattare i dati in modo lecito, corretto e trasparente;
  • acquisire il consenso dall’interessato nei casi previsti;
  • divieto di trattamento dei dati ex art. 9[15]salvi i casi di esenzione;
  • dare un’informazione corretta e trasparente agli interessati;
  • garantire il rispetto dei diritti degli interessati;
  • adottare le misure tecniche e organizzative adeguate per garantire la tutela dei diritti degli interessati e per garantire che i dati non siano smarriti, modificati, cancellati o trattati illecitamente;
  • non usare, comunicare o diffondere i dati al di fuori del trattamento;
  • tenere il registro di trattamenti;
  • documentare le violazioni dei dati personali, comunicarle all’autorità di controllo e agli interessati nei casi previsti;
  • cooperare con l’autorità di controllo quando richiesto;
  • redigere le valutazioni di impatto nei casi previsti.

 

In particolare, Facebook sarebbe stata costretta ad indicare in maniera trasparente l’esistenza di finalità diverse, a richiedere forme di consensi differenziati, a mettere a disposizione tecniche specifiche di acquisizione del consenso ovvero di opposizione al trattamento automatizzato.

Sicuramente, l’applicazione delle nuove regole nell’ambito del trattamento dei dati personali avrebbe garantito una maggiore sicurezza a favore degli utenti iscritti a Facebook.

Informazioni

A. Azzalini, B. Scarpa, Analisi dei dati e data mining, Springer, 2004

OCSE, Exploring the economics of personal data: a Survey of Methodologies for Mesauring Monetary Value, in http://www.oecdilibrary.org/science-and-technology/exploring-the-economics-of-personal-data_5k486qtxldmq-en , p. 7.

Regolamento UE 2016/679

Su richiesta della Commissione europea e delle autorità di tutela dei consumatori, Facebook modifica le proprie condizioni d’uso e chiarisce (europa.eu) – https://ec.europa.eu/commission/presscorner/detail/it/IP_19_2048

www.garanteprivacy.it

ww.nytimes.com

www.theguardian.com

[1] Così ha dichiarato Alexander Nix, ex CEO di Cambridge Analytica, in un’intervista.

[2] Per big data si intendono, secondo la descrizione fornita dall’OCSE, tutti i contenuti generati dagli utenti in Rete.

[3] Con questo termine si indicano le attività di elaborazione di grandi raccolte o flussi di dati con lo scopo di estrarre informazioni utili a chi detiene i dati stessi.

[4] Anche se la società nega un suo coinvolgimento, Arron Banks (uno dei leader del leave) ha dichiarato il contrario.

[5] “I tratti e gli attributi personali sono prevedibili attraverso le impronte digitali del comportamento umano”.

[6] Ex leader del United Kingdom Indipendence Party.

[7] Il 20 marzo 2018, la società ha annunciato di aver sospeso Nix.

[8] https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

[9] Definitivamente applicabile in via diretta in tutti i Paesi Membri dell’Unione a partire dal 25 maggio 2018.

[10] Per un approfondimento sul tema si rimanda a http://www.dirittoconsenso.it/2018/01/07/la-privacy-e-il-trattamento-dei-dati-personali/ e a  http://www.dirittoconsenso.it/2021/11/26/il-gdpr/

[11] Sospensione di Cambridge Analytica e SCL Group da Facebook | Meta (fb.com) – Link: https://about.fb.com/news/2018/03/suspending-cambridge-analytica/

[12] A metà del 2016 è infatti nato il “Progetto Alamo”, ideato da Brad Parscale con il fine di gestire la campagna elettorale di Donald Trump online.

[13] https://www.youtube.com/watch?v=mpbeOCKZFfQ

[14] Il Garante ha accertato che 57 italiani avevano scaricato l’app This is your digital life attraverso la funzione Facebook Login e che, in base alla possibilità consentita da questa funzione di condividere i dati degli “amici”, l’applicazione aveva poi acquisito i dati di ulteriori 214.077 utenti italiani.

[15]È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.