PROTEZIONE DEI DATI DIGITALI: PRIVACY BY DESIGN E PRIVACY BY DEFAULT

di Gloria Vindigni – Dottoressa in Giurisprudenza e redattrice di Lexacivis

Il diritto alla privacy consiste nel diritto alla riservatezza intesa come tutela della persona e della famiglia senza l’intrusione altrui. Tale definizione di privacy è il frutto di un’evoluzione storica, culturale ed economica che vede come protagonista non tanto il legislatore quanto più la giurisprudenza.

La realtà che viviamo ci porta a considerare la privacy e la protezione dei dati alla luce dell’evoluzione tecnologica e della rete grazie alla quale è possibile raccogliere, organizzare e trasmettere diversi dati personali molto velocemente.

A livello normativo la tutela della privacy si ha sia a livello comunitario (si pensi a quanto sancito dall’articolo 8 della CEDU, all’articolo 7 della Carta di Nizza, all’articolo 12 della Carta dei Diritti Umani, alla Direttiva 95/46/CE o infine al Regolamento UE 2016/679) che nazionale (la legge 31 dicembre 1996 n. 675, Decreto Legislativo 30 giugno 2003 n. 196 e in ultimo Decreto Legislativo 10 agosto 2018 n. 101); nelle prossime pagine focalizzeremo l’attenzione sul Regolamento UE 2016/679 meglio noto come GDPR (General data protection regulation), al quale il nostro Paese si è adeguato con il Decreto Legislativo 10 agosto 2018 n. 101 e attraverso il quale, si è cercato di attribuire un ruolo centrale alla libertà e alla democrazia. Difatti il Regolamento non tratta solo della protezione dei dati del singolo ma, come si legge nei considerando nn. 6 e 7, si vuole garantire la libera circolazione all’interno dell’Unione aumentando la fiducia dei privati nella società digitale.

Analizzando il Regolamento nelle sue parti fondamentali occorre, in primis, far chiarezza sulle definizioni e sui soggetti coinvolti in materia di privacy. Anzitutto, l’articolo 4 punto 2 del GDPR definisce trattamento  “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”. Al punto 7 definisce titolare del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”.

Al punto 8 viene definito responsabile del trattamento “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”, mentre, secondo la definizione del punto 9 il destinatario è “la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento” infine i dati possono giungere a terzi ovvero “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile”. L’articolo 5 del Regolamento specifica che il trattamento dei dati deve essere lecito, corretto e trasparente.

Nello specifico, il Regolamento si incentra sulla responsabilizzazione dei titolari del trattamento.  Non è sufficiente che il titolare del trattamento ottenga il consenso dall’interessato per utilizzare i dati ma è necessario che egli sappia valutare e tutelare i dati dai rischi che riguarderebbero non solo il singolo ma anche la società che lo circonda. A tal proposito l’articolo 25 introduce due principi quello di privacy by design e privacy by default, attribuendo un approccio concettuale innovativo: la privacy by design punta a prevenire, in fase di progettazione attraverso la valutazione del rischio, e non a correggere in un momento successivo. La privacy by default riguarda l’adozione di misure di prevenzione tecnologica.  L’impatto del rischio, dunque, è qualcosa che il responsabile del trattamento deve sempre e costantemente monitorare perché l’utilizzo dei dati è sempre più mutevole.

La norma presenta però delle difficoltà interpretative date da un lato, dalla vaghezza e complessità del linguaggio che rende faticosa la comunicazione, non solo tra gli Stati dell’Unione e gli altri Stati ma soprattutto, tra i legislatori europei e le autorità di protezione dei dati dall’una all’altra parte. Dall’altro, l’articolo 25 detta le misure facendo riferimento al titolare del trattamento che, molto spesso non è coinvolto nella fase di progettazione.

Il titolare del trattamento ha potere di determinazione e potere decisionale, qualora egli decida di far trattare i dati dal responsabile di trattamento deve sottoscrivere con quest’ultimo un contratto scritto ai sensi dell’articolo 28 del GDPR. Il responsabile deve operare nel rispetto delle istituzioni e adempiendo ad alcuni obblighi e va distinto dal DPO (data protection officer) cioè colui che è responsabile della protezione del trattamento dati. I casi in cui è obbligatoria la nomina del DPO sono elencati dall’articolo 37 GDPR, essa può riguardare una persona interna o esterna all’azienda purchè gli sia garantita l’indipendenza.

Il titolare e il responsabile del trattamento devono mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza proporzionato al rischio. Qualora vi sia una violazione da parte di questi ultimi il GDPR prevede sanzioni penali, civili e amministrative. Per quel che riguarda le sanzioni penali l’articolo 84 del Regolamento rinvia alla normativa degli Stati membri; il nostro legislatore ha dovuto adeguarsi innovando il sistema sanzionatorio del Codice della privacy allora vigente emanando il Decreto Legislativo n.101 del 2018. Tale Decreto, al fine di non violare il principio di ne bis in idem fra sanzioni amministrative e penali ha rivisto in parte e introdotto altre tre fattispecie ovvero il trattamento illecito dei dati personali, la loro illecita comunicazione e diffusione, nonché l’acquisizione fraudolenta.

L’articolo 167 nei sui primi tre commi disciplina tre condotte idonee ad integrare il trattamento illecito dei dati: la violazione delle disposizioni in materia di servizi di comunicazione elettronica, la violazione delle norme dettate per i dati sensibili e giudiziari e la violazione della normativa per il trasferimento internazionale dei dati.

In particolare, il primo comma punisce la condotta di chi al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato; il secondo comma invece, punisce con la pena della reclusione da uno a tre anni il medesimo fatto, commesso procedendo al trattamento dei dati personali giudiziari, sanitari, e, in genere, quelli sensibili, di cui agli articoli 9 e 10 del GDPR, in violazione delle disposizioni di cui agli art. 2 sexies e 2 octies o delle misure di garanzia di cui all’articolo 2 septies ovvero operando in violazione delle misure adottate dal Garante privacy ai sensi dell’articolo 2  quinquiesdecies.

Il terzo comma, infine, punisce con la medesima pena di cui al secondo comma, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti agli articoli 45, 46 o 49 del GDPR. In tutti e tre i commi è presente una clausola di riserva che fa rientrare il reato nella categoria del reato sussidiario. Va inoltre detto che per questa fattispecie è previsto il dolo specifico: “il fine di trarre per sé o per altri profitto ovvero arrecare danno all’interessato”. In merito all’elemento soggettivo, va rilevato come, a differenza della precedente versione, il danno che il reo intenda cagionare, debba riguardare soltanto il soggetto titolare dei dati, e non terzi individui estranei.

L’articolo 167 bis disciplina il reato di comunicazione e diffusione dei dati, una delle due novità introdotte dal legislatore. Esso è punito con la reclusione da uno a sei anni chiunque al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, comunica o diffonde un archivio automatizzato o una parte sostanziale di esso contente dati personali oggetto di trattamento su larga scala in violazione degli articoli 2 ter, 2 sexies e 2 octies. Il secondo comma punisce con la medesima pena la stessa condotta posta, però, in violazione delle disposizioni che richiedono il consenso dell’interessato per le operazioni di comunicazione e diffusione. Tale norma riprende l’abrogato quarto comma dell’art. 167, ma ha una portata meno ampia in considerazione del più limitato oggetto materiale indicato dalla norma ovvero gli archivi di dati personali trattati su larga scala. Anche questa fattispecie rientra nella categoria di reato sussidiario e richiede il dolo specifico di profitto o di danno (che può riguardare anche soggetti diversi dall’interessato).

La seconda nuova fattispecie introdotta dal legislatore, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, punisce con la reclusione da uno a quattro anni chi “al fine di trarre profitto per sé o per altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala”.

Le scelte operate dal legislatore sono state duramente criticate dalla dottrina, in particolar modo l’esclusione dalle fattispecie sopra esaminate del reato di trattamento dei dati senza il consenso dell’interessato. Criticabile è anche la vaghezza espressa negli articoli 167 bis e ter lesiva del principio di tassatività della fattispecie penale.

Per una completa conoscenza della normativa qui trattata è doveroso dire che, in caso di trattamento illecito dei dati personali l’interessato potrà agire nei confronti del titolare o responsabile del trattamento per ottenere il risarcimento del danno patrimoniale o non patrimoniale causato dall’utilizzo non conforme dei dati. Dal canto loro, titolare e responsabile possono non essere ritenuti responsabili dei danni qualora dimostrino che l’evento non è in alcun modo a loro imputabile.

In conclusione, si può affermare che il mondo digitale e la tutela dei dati personali, ad oggi, non sono necessità distinte bensì collegate l’una altra. Pertanto, per continuare ad essere parte di una realtà continuamente in evoluzione è necessario che si investa, dal punto di vista economico, in strumenti che tutelino la privacy del singolo e diminuiscano la possibilità di essere “attaccati”; altresì è necessario che tutti (cittadini, operatori ecc.) vengano educati, ovvero siano consapevoli che se la rete, da un lato, ci rende più liberi e veloci nel condividere informazioni, dall’altro, essa rimane un mezzo da utilizzare con responsabilità.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo di WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google photo

Stai commentando usando il tuo account Google. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...