PRIVACY: diritto alla portabilità dei dati e diritto all’oblio

In Privacy
Approfondimento redatto a cura dell’Avv. Rita Claudia Calderini

* Introduzione*

Il 24 Maggio 2016 è entrato in vigore il nuovo Regolamento europeo in materia di protezione dei dati personali.

Si tratta di una riforma dirompente nella normativa della privacy tutt’oggi regolata dalla direttiva 95/46/CE  (abrogata dall’anzi detto regolamento) e in attuazione della quale, il legislatore ha emanato il d.lgs. n.196 del 2003.

Il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 è entrato in vigore in tutti i Paesi UE a partire dal 25 maggio 2018, dopo un periodo di vacatio legis di venti giorni dalla data di pubblicazione nella gazzetta ufficiale dell’UE.

Come previsto dall’art. 99, il regolamento si applicherà in tutti gli stati membri a decorrere dal 25 maggio 2018.

Il regolamento presenta numerosi elementi di novità rispetto alla normativa precedente al fine di adeguare correttamente il dato legislativo al concetto moderno ed  “europeo” di privacy.

Le ragioni che hanno spinto il legislatore europeo a intervenire, modificando l’assetto precedente, risiedono essenzialmente nella crescita del progresso tecnologico che  ha generato un flusso di dati in un territorio sempre più ampio e, di conseguenza, nell’esigenza di garantire una tutela rafforzata a tutti i soggetti coinvolti nell’attività del trattamento dei dati personali.

*Le novità in breve*

1.§ Il Data protection officer. 

Il regolamento europeo incide su molteplici aspetti, primo tra tutti, l’ambito applicativo soggettivo della normativa privacy.

L’art.3 dispone che il regolamento si estende integralmente alle imprese situate fuori dell’Unione europea che offrono servizi e prodotti a persone che si trovano nel territorio dell’Unione europea.

L’art. 4 registra altresì un mutamento rispetto al passato anche per quanto attiene alla definizione normativa di dato personale.

Quest’ultimo, infatti, è definito come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

Tra le novità più rilevanti si segnala all’art. 37 l’istituzione del Data protection officer, una figura organizzativa responsabile per la protezione dei dati personali.

Il legisaltore europeo prevede infatti che il titolare del trattamento e il Responsabile del trattamento designano sistematicamente un responsabile della protezione dei dati ogniqualvolta:

  • il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
  • le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

L’art. 39 indica specificamente i compiti assegnati al Responsabile dei dati personali e in particolare:

– informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;

– sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

– fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;

– cooperare con l’autorità di controllo;

– fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

2.§ Il diritto alla portabilità dei dati e il diritto all’oblio.

A tali novità si aggiunge all’art. 20 il riconoscimento del diritto alla portabilità dei dati.

Esso consiste nel diritto dell’interessato di di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

– il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e

– il trattamento sia effettuato con mezzi automatizzati.

Tale diritto, tuttavia, non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

In caso di violazione dei dati personali, l’art. 33 prevede che il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

Il trasferimento dei dati personali è disciplinato agli artt. 45 e 46 del regolamento.

In particolare, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale è ammesso se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche.

Nel valutare l’adeguatezza del livello di protezione, la Commissione prende in considerazione diversi elementi, tra cui: lo stato di diritto, il rispetto dei diritti umani e delle libertà fondamentali, l’esistenza e l’effettivo funzionamento di una o più autorità di controllo indipendenti nel paese terzo o cui è soggetta un’organizzazione internazionale, gli impegni internazionali assunti dal paese terzo o dall’organizzazione internazionale in questione o altri obblighi derivanti da convenzioni o strumenti giuridicamente vincolanti.

In tema di sanzioni, l’art. 83 del regolamento prevede che ogni autorità di controllo provveda affinché le sanzioni amministrative pecuniarie inflitte ai sensi del presente articolo in relazione alle violazioni del presente regolamento di cui ai paragrafi 4, 5 e 6 siano in ogni singolo caso effettive, proporzionate e dissuasive.

Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto degli elementi indicati dalla lettera a alla lettera k.

Infine, tra le novità di maggior rilievo ascrivibili al regolamento europeo si annovera senz’altro il riconoscimento legislativo del diritto all’oblio.

Si tratta, infatti, di un diritto riconosciuto sinora solo a livello giurisprudenziale, prima dalla Corte di giustizia e, successivamente, anche dai Tribunali di merito.

Invero, con la sentenza 13 maggio 2014, n. 131/12, i giudici comunitari avevano stabilito che, in relazione ai diritti derivanti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell’Unione Europea, “l’interessato può chiedere che una data informazione, pubblicata nel web, non venga più messa a disposizione del grande pubblico, prevalendo sia sull’interesse economico del gestore del motore di ricerca, che sull’interesse del pubblico ad accedere a tale informazione in occasione di una ricerca avente ad oggetto il nome della persona interessata”.

Nonostante il tentativo di armonizzare nel territorio europeo siffatti principi mediante l’attività delle Autorità (UE e nazionale) Garanti della privacy, il legislatore europeo è intervenuto con una esplicita tutela sul punto.

L’art. 17 del regolamento prevede che l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

  • i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  • l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
  • l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
  • i dati personali sono stati trattati illecitamente;
  • i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  • i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Il diritto all’oblio, tuttavia, non trova margini di tutela allorquando ricorrano le circostanze indicate dal legislatore europeo e in particolare:

  • per l’esercizio del diritto alla libertà di espressione e di informazione;
  • per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;
  • a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o
  • per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

In materia di diritto all’oblio, segnaliamo, altresì, il recente approfondimento svolto dal Dott. Valerio Bottiglieri già oggetto di pubblicazione sulla Rivista.

Print Friendly, PDF & Email

You may also read!

SEZIONI UNITE: Elusione del pagamento dei debiti fiscali e compensazione con crediti d’imposta – II Parte

Cassazione penale, sezione terza, sentenza n. 56451 del 19/12/2017 Redatto dal Dott. Gabriele Marasco Per leggere la

Read More...

D.L. n.50/2017: le PMI costituite in forma di S.r.l. diventano delle “piccole S.p.A”.

Redatto dall’Avv. Rita Claudia Calderina Il D.L. n. 50/2017 ha realizzato una riforma dirompente nella governance delle PMI costituite

Read More...
cessione d'azienda e trasferimento lavoratori

AZIONI: Come si concretizza il trasferimento dei titoli azionari?

Cassazione Civile, Sez. I, n. 2041 del 26.01.2018 Redatto dalla dott.ssa Marcella Gigante Nel trasferimento dei

Read More...

Mobile Sliding Menu