Articoli

GDPR 2016/679: la UE cambia la privacy

18 Ottobre 2017 (14:30 / 17:30) – Unione Confcommercio Milano, Corso Venezia 47, Sala Turismo.

A distanza di quasi vent’anni dall’entrata in vigore della prima legge italiana in materia di privacy, lo scorso 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale Europea il Regolamento UE n. 2016/679: GDPR – General Data Protection Regulation, che vedrà la sua totale applicazione a partire dal 25 maggio 2018 e che è obbligatorio nei suoi elementi e direttamente applicabile a tutti gli Stati membri.

Il GDPR 2016/679 interessa aziende di ogni ordine e grado, enti pubblici e altri individui che debbano gestire, conservare, trasferire o trattare dati personali. Esso si applica anche qualora il trattamento dei dati personali di cittadini UE venga effettuato in Stati extra-UE e contiene inoltre alcuni rischi di tipo penale che interessano i titolari del trattamento dei dati ed i responsabili aziendali, oltre a sanzioni amministrative che possono raggiungere anche 20 milioni di euro!

Assofranchising, in collaborazione con Risk Solver, organizza un convegno per illustrare il GDPR e l’impatto che esso avrà sulle aziende europee a poco più di 6 mesi dall’entrata in vigore del Regolamento.

L’Avv. Vincenzo Colarocco sarà relatore.

La partecipazione è gratuita previa registrazione obbligatoria a questo link.

Download (PDF, 32KB)

 

Regolamento privacy, per il DPO competenze specifiche, non attestati formali

Avv. Flaviano Sanzari

Le pubbliche amministrazioni, così come i soggetti privati, dovranno individuare il Responsabile della protezione dei dati personali con particolare attenzione, verificando la presenza di competenze ed esperienze specifiche. Non sono richieste attestazioni formali sul possesso delle conoscenze o l’iscrizione ad appositi albi professionali. Queste sono alcune delle indicazioni fornite dal Garante della privacy alle prime richieste di chiarimento in merito alla nomina di questa nuova  importante figura  – introdotta dal Regolamento UE 2016/679 –  che tutti gli enti pubblici e anche molteplici soggetti privati dovranno designare non più tardi del prossimo maggio 2018.

L’Ufficio del Garante, in particolare, ricorda che i Responsabili della protezione dei dati personali – spesso indicati con l’acronimo inglese DPO (Data Protection Officer) – dovranno avere un’approfondita conoscenza della normativa e delle prassi in materia di privacy, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento. Nella selezione sarà poi opportuno privilegiare soggetti che possano dimostrare qualità professionali adeguate alla complessità del compito da svolgere, magari documentando le esperienze fatte, la partecipazione a master e corsi di studio/professionali.

Ad esempio, gli esperti individuati dalle aziende ospedaliere, in considerazione della delicatezza dei trattamenti di dati effettuati (come quelli sulla salute o quelli genetici), dovranno preferibilmente vantare una specifica esperienza al riguardo ed assicurare un impegno pressoché esclusivo nella gestione di tali compiti.

L’Autorità ha inoltre chiarito che la normativa attuale non prevede l’obbligo per i candidati di possedere attestati formali delle competenze professionali. Tali attestati, rilasciati anche all’esito di verifiche al termine di un ciclo di formazione, possono rappresentare un utile strumento per valutare il possesso di un livello adeguato di conoscenza  della disciplina, ma non equivalgono ad una “abilitazione” allo svolgimento del ruolo del DPO. La normativa attuale, tra l’altro, non prevede l’istituzione di un albo dei “Responsabili della protezione dei dati” che possa attestare i requisiti e le caratteristiche di conoscenza, abilità e competenza di chi vi è iscritto. Enti pubblici e società private dovranno quindi comunque procedere alla selezione del DPO, valutando autonomamente il possesso dei requisiti necessari per svolgere i compiti da assegnare.

Il Garante si riserva di fornire ulteriori orientamenti, che saranno pubblicati sul sito istituzionale, anche all’esito dei quesiti e delle richieste di approfondimento sul Regolamento privacy, raccolti nell’ambito di specifici incontri che l’Autorità ha in corso con imprese e Pubblica Amministrazione.

Responsabile l’impresa per cessione di banche dati a fini elettorali senza il consenso

Avv. Flaviano Sanzari

La Corte di Cassazione Civile, con la sentenza n. 18619/2017, è intervenuta sul tema della responsabilità delle imprese nel caso di cessione di banche dati per fini elettorali senza consenso ed informativa privacy, ritenendo in particolare applicabile l’aggravante prevista dall’art. 164 bis del Codice privacy anche nel semplice caso di acquisizione della banca dati, non rilevando ai fini della sanzione amministrativa che i soggetti presenti nel data base non siano stati poi successivamente raggiunti da sms elettorali.

Nel caso di specie, un’azienda (A) aveva commissionato ad altra azienda (B) la realizzazione di una campagna pubblicitaria mediante l’invio di sms ad un data base di anagrafiche appartenente ad una terza azienda (C), che era titolare del trattamento.

L’azienda B si era poi rivolta ad un’altra azienda (D), incaricandola dell’invio dei messaggi ai destinatari dell’archivio e aveva nominato una dipendente di quest’ultima società responsabile del trattamento.

Il Garante per la protezione dei dati personali aveva irrogato nel caso in esame una sanzione amministrativa di 64.000 euro alla società B per avere ceduto a terzi (la società D) dati presenti in un data base, in mancanza di specifico consenso degli interessati ai sensi dell’artt. 13 e 23 del Codice privacy.

L’azienda impugnava l’ordinanza del Garante privacy di fronte al Tribunale di Milano. Il Tribunale accoglieva in parte, con la sentenza n. 1748 del 5 febbraio 2014 e rideterminava la sanzione del Garante privacy di 64.000 euro a 20.000 euro, compensando integralmente le spese di lite.

Il Tribunale di Milano osservava come la sopra citata designazione a responsabile del trattamento non rendeva conformi i trattamenti di dati effettuati, in quanto la nomina non era stata effettuata, come richiesto dalla normativa, dalla società C titolare del trattamento, ma era stata effettuata direttamente dall’impresa B, la quale non era stata tuttavia autorizzata a cedere a sua volta a terzi i dati presenti nell’archivio della prima società.

Il Tribunale confermava la sanzione amministrativa del Garante privacy ma riteneva di escludere l’aggravante prevista dall’art. 164 bis del D.Lgs. 196 del 2003, che prevede l’aggravamento delle sanzioni in ipotesi in cui la violazione coinvolga numerosi interessati.

Secondo il Tribunale di Milano, alla luce dell’istruttoria era stato accertato esclusivamente il numero di utenze presenti nel database (oltre 200.000) ma non il numero dei soggetti effettivamente risultanti destinatari degli sms elettorali inviati dalla società B.

Il Tribunale ha, così, ridotto l’importo della sanzione da 64.000 a 20.000 euro, di cui 8.000 euro per violazione dell’art.13 (Omessa e inidonea informativa) e 8.000 euro per la violazione dell’art 23 (consenso al trattamento dei dati).

Il Tribunale ha optato per una riduzione dell’importo della sanzione amministrativa alla luce della limitata rilevanza economica del contratto tra C e B, della mancanza di precedenti violazioni in tema di trattamento di dati personali, delle condizioni economiche dell’agente. Secondo il Tribunale, la violazione del trattamento dei dati è di modesta gravità, in considerazione dell’assenza di prova circa l’effettivo numero di utenti raggiunti dagli sms.

Il Garante per la protezione dei dati personali proponeva ricorso in Cassazione contro la sentenza e rappresentava, ai sensi dell’art. 360, primo comma, del cpc, la violazione e falsa applicazione degli artt. 13, 23 e 164 bis, terzo comma del Codice della Privacy.

Secondo la Cassazione, la circostanza rilevata dal Tribunale di Milano, per cui non vi sarebbe stata prova del numero di soggetti presenti nel data base raggiunti dagli sms elettorali, è irrilevante ai fini della sanzione amministrativa contestata.

Secondo la Cassazione, la valutazione del Tribunale di Milano di insussistenza dell’aggravante prevista dall’art. 164 bis del Codice del Privacy è quindi erronea.

Il Tribunale di Milano non si è infatti focalizzato sulla cessione non autorizzata di dati, ma sul successivo trattamento di dati ed utilizzo per fini elettorali, che configurano altre violazione della normativa sulla protezione dei dati.

La Cassazione ha pertanto accolto il ricorso, ha cassato il provvedimento impugnato e ha rinviato la decisione al Tribunale di Milano, in persona di diverso magistrato.

La sentenza in esame è di interesse per gli operatori e le imprese, che dovranno pertanto ripensare e rimodulare i propri trattamenti di dati alla luce della normativa privacy ed anche alla luce dell’inasprimento delle sanzioni previste dal nuovo regolamento privacy europeo (sanzioni fino a 10-20 milioni di euro o percentuali del 2/4% del fatturato se superiori).

Dati personali contenuti in una biobanca: annullato il blocco statuito dal Garante Privacy

Avv. Flaviano Sanzari

Con la recente sentenza n. 1569/2017, il Tribunale di Cagliari ha annullato il provvedimento del Garante Privacy di blocco del trattamento dei dati personali contenuti in una biobanca, emesso lo scorso 6 ottobre 2016 nei confronti di una società inglese specializzata in ricerca scientifica e sviluppo di farmaci antitumorali.

Nella fattispecie, la ricorrente è una società con sede legale a Londra, che ha l’obiettivo specifico di studiare e sviluppare nuovi farmaci di precisione, che agiscono principalmente sulle cellule cancerose, con un impatto minimo sulle cellule sane.

La difficoltà nello sviluppare un farmaco con tali caratteristiche, è proprio quella di individuare con precisione i geni, ovvero i segmenti di DNA che causano le malattie tumorali, in quanto il corredo genomico di ogni individuo è influenzato da contaminazioni genetiche e ambientali.

Pertanto, allo scopo di proseguire nella propria attività di ricerca scientifica, la società ricorrente aveva acquistato dal fallimento della società Shar.Dna S.r.l., dichiarata fallita dal Tribunale di Cagliari il 27.5.2012, il complesso aziendale comprendente una banca di dati genetici e campioni biologici estratti da circa 11.700 individui abitanti in Ogliastra e appartenenti ad una comunità che, rimanendo per molti anni isolata, ha sviluppato una omogeneità genetica tale da consentire di ricostruire tracce genetiche comuni in quasi tutti i donatori, così da arrivare sino all’anno 1600.

Il complesso aziendale della Shar.Dna S.r.l., così composto, è stato aggiudicato alla ricorrente, la quale ha costituito in Italia una società ad hoc per poter proseguire in Sardegna le attività di ricerca scientifica sul genoma umano e sui farmaci antitumorali.

A distanza di pochi mesi, il Garante per la Protezione dei Dati Personali, in risposta ai reclami e le segnalazioni inoltrate da un centinaio di donatori che lamentavano l’impossibilità di esercitare i loro diritti in relazione alla revoca del consenso al trattamento dei dati personali, già rilasciato in precedenza ovvero alla manifestazione del consenso al loro trattamento da parte del nuovo titolare, ha emesso in data 6.10.2016 il provvedimento impugnato, con il quale, ai sensi degli artt. 154, comma 1, lett. d), 143, comma 1, lett. c) e 144 del Codice Privacy, ha disposto in via d’urgenza e con effetto immediato, nei confronti della società ricorrente, la misura temporanea di blocco del trattamento dei dati personali contenuti nella biobanca.

In particolare, in tale provvedimento il Garante Privacy ha posto una vera e propria questione relativa al mutamento del titolare del trattamento dei dati personali e, ritenendo necessaria una verifica sulla sussistenza di un valido presupposto legittimante rispetto al nuovo soggetto giuridico divenuto titolare del trattamento, ha ritenuto che tale presupposto debba derivare da una nuova manifestazione del consenso da parte degli interessati, previa informativa ad hoc, così come previsto dalla disciplina sulla protezione dei dati personali in relazione all’utilizzo di dati sensibili e genetici per scopi di ricerca scientifica (Autorizzazione Generale n. 8/2014 del Garante Privacy).

Il Tribunale di Cagliari, chiamato a pronunciarsi proprio su tale aspetto, pur evidenziando la sussistenza di un’ampia ed articolata motivazione sulla quale si è basato il provvedimento del Garante Privacy, ha tuttavia accolto il ricorso della società inglese, rilevando la totale assenza dei presupposti richiesti dalla legge per l’adozione del provvedimento impugnato, nonché l’omesso bilanciamento degli interessi coinvolti nel caso in esame.

Il primo aspetto che emerge nella pronuncia in esame riguarda l’assenza, nel nostro ordinamento giuridico, di una disposizione di legge che disciplini in modo specifico proprio l’ipotesi in cui l’originario titolare del trattamento dei dati personali venga sostituito da un altro titolare: tale questione, tra l’altro, sembra non essere mai stata affrontata nemmeno dalla giurisprudenza italiana di merito o di legittimità.

In tal senso, il Tribunale di Cagliari, richiamando l’Autorizzazione Generale n. 8/2014 del Garante Privacy, ha evidenziato che solamente il punto 8.1 prevede che, nel caso in cui i progetti di ricerca realizzati su dati genetici non siano direttamente collegati con quelli originari per i quali è stato originariamente acquisito il consenso informato degli interessati, è necessaria l’acquisizione di una nuova manifestazione del consenso.

Ciononostante, tuttavia, non vi è alcuna disposizione in relazione al subentro di un nuovo titolare del trattamento dei dati personali che continui a trattare i dati personali per la realizzazione dei medesimi scopi scientifici per i quali il consenso degli interessati è stato originariamente già raccolto.

Per tali ragioni, il Tribunale adito ha ritenuto errata la soluzione adottata dal Garante per la Protezione dei Dati Personali, in quanto difetta di un idoneo presupposto giuridico, non potendo condividersi la considerazione secondo la quale “l’intuitus personae appare caratteristica essenziale del conferimento del dato”.

Infatti, come risulta dalla lettura del consenso informato originario, lo stesso aveva ad oggetto la partecipazione al programma di ricerca sulle malattie complesse comuni ad alcuni paesi dell’Ogliastra, in considerazione dell’alta omogeneità genetica, che favorisce l’identificazione dei geni associati ad alcune malattie specifiche; ebbene la ricorrente ha dimostrato di perseguire le medesime finalità di ricerca scientifica per le quali è stato prestato il consenso originario.

Inoltre, richiedere una nuova manifestazione del consenso in ragione del mutamento della soggettività del titolare non può considerarsi quale presupposto sufficiente per l’adozione del provvedimento impugnato, anche in ragione del fatto che, molto spesso, laddove il titolare del trattamento dei dati personali sia una società di capitali, la stessa potrebbe mutare i suoi scopi senza mutare la sua soggettività.

In definitiva, il Tribunale si è pronunciato in favore della società ricorrente, accogliendo il ricorso e per l’effetto annullando il provvedimento di blocco del trattamento dei dati personali adottato dal Garante per la Protezione dei Dati Personali, stabilendo che l’imposizione di una misura cautelare di blocco del trattamento dei dati personali, motivata dalla necessità di acquisire una nuova manifestazione del consenso, oltre che non essere prevista da alcuna disposizione di legge, è altresì esorbitante rispetto alle finalità e alla tutela dei soggetti coinvolti, che avevano prestato originariamente il consenso, tenuto conto che la ricorrente: a) persegue le medesime finalità dell’originario titolare del trattamento dei dati personali; b) è una società operante a livello internazionale nella ricerca scientifica; c) si propone di operare stabilmente, attraverso la società italiana costituita ad hoc, nel territorio sardo l’attività di ricerca scientifica; d) non vi è motivo di ritenere che si renda responsabile di violazioni di norme di legge in materia di trattamento di dati personali; e che e) il singolo interessato può sempre esercitare i propri diritti così come previsti dal Codice in materia di protezione dei dati personali.

Non viola la privacy la moglie che chiede alla banca l’estratto conto del marito

La moglie che chiede e ottiene dalla banca notizie sull’estratto conto del marito, da usare poi nella causa di separazione, non viola nessuna norma sulla privacy. La Corte di Cassazione, con la recente ordinanza n. 20649 depositata il 31.8.2017, ha respinto – dichiarandolo inammissibile – il ricorso di un uomo che chiedeva alla moglie i danni per avere invaso illecitamente il diritto alla riservatezza dei propri dati. La Suprema Corte ha precisato che, con l’ordinanza impugnata, la Corte d’Appello aveva richiamato la motivazione dei giudici di prima istanza, secondo i quali, nel richiedere informazioni o documenti all’istituto di credito, la signora non aveva violato nessuna norma di legge, né aveva tenuto un comportamento fraudolento. In più, la Corte territoriale aveva aggiunto che l’attore non aveva offerto alcuna indicazione del danno che riteneva di aver subìto.

La Corte di Cassazione ha ritenuto, quindi, di non doversi pronunciare nel merito, rilevando come il ricorrente avesse impugnato solamente il capo relativo alla dichiarata legittimità della condotta della donna e non quello sui danni, da solo idoneo, tuttavia, a sorreggere la decisione.

Diritto all’oblio: il tempo non è l’unico elemento da considerare

Avv. Flaviano Sanzari

Il trascorrere del tempo è senz’altro l’elemento più importante nell’ambito delle richieste riguardanti l’esercizio del cosiddetto “diritto all’oblio”, il quale, tuttavia, può incontrare altri rilevanti limiti, come precisato dalla giurisprudenza comunitaria e dal lavoro condotto dal Gruppo dei Garanti europei.

A tal proposito, l’Autorità italiana ha fatto applicazione di questi insegnamenti esaminando un recente ricorso presentato da un alto funzionario pubblico, che chiedeva la rimozione di alcuni url dai risultati di ricerca ottenuti digitando il proprio nominativo su Google. Questi url, infatti, rinviavano ad articoli nei quali erano riportate notizie relative ad una vicenda giudiziaria nella quale lo stesso era stato coinvolto e che si era conclusa con la sua condanna. Si trattava di una vicenda molto risalente nel tempo (circa 16 anni fa) e l’interessato era stato nel frattempo integralmente riabilitato.

Uno degli articoli di cui si chiedeva la rimozione era stato pubblicato nell’imminenza dei fatti ed altri, invece, più recenti, avevano ripreso la notizia originaria, riproponendola in occasione dell’assunzione di un importante incarico da parte dell’interessato.

Prima di entrare nel merito, il Garante ha affermato – contrariamente a quanto sostenuto dalla difesa di Google – che era necessario prendere in esame tutti i risultati di ricerca ottenuti a partire dal nome e cognome dell’interessato, anche quelli associati ad ulteriori specificazioni, quali il ruolo ricoperto o la circostanza dell’avvenuta condanna. Tale interpretazione è in linea con la sentenza “Google Spain”, nella quale si afferma che le istanze di deindicizzazione devono essere prese in considerazione per tutti gli url raggiungibili effettuando una ricerca “a partire dal nome”, senza escludere  quindi la possibilità che ad esso possano essere associati ulteriori termini volti a circoscrivere la ricerca stessa.

Chiarito questo punto, l’Autorità è entrata nel merito ed ha ordinato a Google di deindicizzare l’url che rinviava all’unico articolo avente ad oggetto, in via diretta, la notizia della condanna penale inflitta al ricorrente, il quale all’epoca ricopriva un ruolo diverso da quello attualmente svolto. L’Autorità ha ritenuto infatti che, considerato il tempo trascorso e l’intervenuta riabilitazione, la notizia non risultasse più rispondente alla situazione attuale.

Viceversa, con riguardo agli articoli ai quali rinviavano gli ulteriori url indicati dal ricorrente, il Garante ha riconosciuto che questi, pur richiamando la medesima vicenda giudiziaria, “inseriscono la notizia in un contesto informativo più ampio, all’interno del quale sono fornite anche ulteriori informazioni” legate al ruolo istituzionale attualmente ricoperto dall’interessato e che tali risultati erano di indubbio interesse pubblico “anche in ragione del ruolo nella vita pubblica rivestito dal ricorrente, che ricopre incarichi istituzionali di alto livello”. Pertanto, riguardo alla richiesta di una loro rimozione, ha dichiarato il ricorso infondato.

Non viola la privacy la telecamera privata puntata sulla scala condominiale

La Corte di Cassazione Penale, con la recente sentenza 12 luglio 2017, n. 34151, si è pronunciata su un ricorso proposto avverso la sentenza con cui la Corte d’appello, andando di contrario avviso rispetto al Tribunale, aveva assolto un imputato dal reato di interferenze illecite nella vita privata. L’uomo aveva installato una telecamera sul muro del pianerottolo condominiale, nella parte contigua alla porta d’ingresso della propria abitazione, con cui inquadrava la porzione di pianerottolo prospiciente la porta suddetta, nonché la rampa delle scale condominiali e una larga parte del pianerottolo condominiale, in tal modo videoregistrando chiunque entrasse nel raggio d’azione della telecamera. La Suprema Corte – nel respingere la tesi della parte civile, vicino di casa dell’imputato, secondo cui la Corte d’appello aveva male interpretato l’art. 615/bis c.p. e la giurisprudenza formatasi sul punto, in quanto il pianerottolo condominiale costituirebbe “appartenenza” di un luogo di “privata dimora” ai sensi dell’art. 614 c.p. (richiamato dall’art. 615 bis c.p.) – ha invece affermato che le scale di un condominio e i pianerottoli delle scale condominiali non assolvono alla funzione di consentire l’esplicazione della vita privata al riparo da sguardi indiscreti, perché sono, in realtà, destinati all’uso di un numero indeterminato di soggetti e di conseguenza la tutela penalistica di cui all’art. 615 bis c.p. non si estende alle immagini eventualmente ivi riprese.

Tempo scaduto per la conservazione: vecchi dati telefonici da distruggere

Scade l’obbligo, per gli operatori telefonici e gli internet provider, di conservare i dati del traffico telefonico e telematico più vecchi, precedenti cioè i termini ordinari di conservazione. Ed è allarme sulle inchieste per i reati più gravi, mafia o terrorismo, che di questi termini più ampi si sono fin qui potute giovare.

L’obbligo sulla cosiddetta data-retention, infatti, era stato introdotto dal decreto antiterrorismo del 2015 (Dl n. 7), che per esigenze investigative ha imposto, fino al 30 giugno 2017, il mantenimento di tutti i dati di traffico, in deroga ai vincoli del codice della privacy, a partire dal 21 aprile 2015 (data di entrata in vigore della legge di conversione del decreto legge).

Ora, superata la scadenza del 30 giugno senza che il legislatore sia intervenuto (e, a quanto risulta, senza che abbia mostrato la volontà di intervenire), tornano ad applicarsi le regole base, quelle cioè previste dal codice della privacy, per cui i dati del traffico telefonico devono essere conservati per 24 mesi dalla comunicazione e quelli telematici per 12 mesi. Ciò vuol dire che, oggi, i gestori telefonici devono tenere solo le informazioni relative alle comunicazioni effettuate da due anni a questa parte (cioè, dal 3 luglio 2015 fino a oggi), mentre gli operatori internet devono conservare i dati relativi agli accessi dell’ultimo anno (vale a dire dal 3 luglio 2016 a oggi). Di conseguenza, tutti i dati precedenti, possono (devono?) essere distrutti da chi li detiene.

Con buona pace delle inchieste sui reati più gravi, dal terrorismo alla mafia come detto, che il decreto legge del 2015 intendeva invece tutelare.

Privacy Shield: a settembre la prima revisione dell’accordo Usa-Ue

Avv. Flaviano Sanzari

Il Gruppo che riunisce le Autorità Garanti europee (WP 29) ha reso note le raccomandazioni indirizzate alla Commissione Ue in vista della prima revisione congiunta dell’Accordo “Privacy Shield” relativo al trasferimento dei dati dall’Unione agli Stati Uniti. L’Accordo sullo “scudo privacy”, adottato il 12 luglio 2016, si fonda su un sistema di autocertificazione in base al quale le organizzazioni statunitensi che intendono ricevere dati personali dall’Unione europea s’impegnano a rispettare un insieme di principi in materia di privacy fissati dal sistema medesimo. Lo “scudo” prevede un riesame periodico dell’accertamento di adeguatezza, al fine di verificare che le constatazioni relative al livello di protezione assicurato dagli Stati Uniti nell’ambito dello Scudo continuino ad essere giustificate in fatto e in diritto.

La prima revisione periodica dell’accordo del Privacy Shield è prevista per il prossimo settembre 2017, quando la Commissione europea incontrerà i rappresentanti delle organizzazioni statunitensi interessate, in primo luogo la Federal Trade Commission e il Dipartimento del Commercio e, per le questioni relative alla sicurezza nazionale, i rappresentanti dell’intelligence e il Mediatore (Ombudsperson) istituito dallo Scudo.

Per garantire che le autorità statunitensi siano in grado di rispondere costruttivamente alle preoccupazioni riguardanti l’applicazione concreta dell’accordo, il Gruppo dei Garanti Ue comunicherà alla Commissione le informazioni e i chiarimenti su cui, anche alla luce dei commenti e delle criticità già evidenziate nel parere del dell’aprile scorso,  concentrerà la sua attenzione.

Per quanto riguarda la parte commerciale, alcune preoccupazioni erano state sollevate, ad esempio, sulle garanzie riguardo a decisioni automatizzate o in relazione all’assenza di indicazioni specifiche per l’applicazione dei principi del Privacy Shield da parte delle società che operano, quali responsabili del trattamento, per titolari stabiliti in Ue. Per quanto riguarda gli aspetti di law enforcement e sicurezza nazionale, il WP 29 chiederà garanzie  in merito al rispetto dei principi di necessità e proporzionalità nella eventuale raccolta massiva di dati personali,  nonché sulle nomine dei quattro membri del Privacy and Civil Liberties Oversight Board (agenzia indipendente che si occupa della tutela della privacy e delle libertà fondamentali nell’ambito delle attività governativa statunitense per la lotta al terrorismo), sulla nomina del Mediatore e sulle procedure che ne disciplinano il funzionamento.

 

Regolamento Privacy UE: reclami, ricorsi e azioni per il risarcimento del danno

Avv. Flaviano Sanzari

Rispetto alla disciplina del Codice Privacy (D.Lgs. 196/2003), il nuovo Regolamento UE 2016/679 reca alcune novità anche in materia di reclami, ricorsi e azioni esperibili in ipotesi di trattamento di dati non conforme alla legge. In particolare, (1.) sono ora assenti gli strumenti della segnalazione e del ricorso amministrativo all’autorità di controllo (Garante), (2.) vi è dissociazione tra autorità adita e autorità decidente nell’ipotesi di attività di trattamento transfrontaliere per quanto riguarda l’istituto del reclamo e, per finire, (3.) vi è la previsione che il titolare (e/o il responsabile) sarà tenuto a risarcire il danno se non dimostra che esso non gli è “in alcun modo” imputabile.

  1. Il Titolo I (“Tutela amministrativa e giurisdizionale”) della Parte III (“Tutela dell’interessato e sanzioni”) del Codice Privacy, con gli articoli da 141 a 152, disciplina gli strumenti:

– del reclamo circostanziato al Garante (per rappresentare una violazione della normativa ‘privacy’);

– della segnalazione al medesimo (quando non è possibile presentare un reclamo circostanziato ed al fine di sollecitare un controllo da parte del Garante sul rispetto della disciplina);

– del ricorso, da presentare al Garante o dinanzi alla competente Autorità giurisdizionale al fine di ottenere quanto riconosciuto dall’art. 7.

Sono invariabilmente strumenti a disposizione degli interessati, cioè delle persone cui sono riferiti i dati oggetto dei trattamenti.

Poi, è prevista l’ipotesi in cui un provvedimento del Garante accolga o rigetti il ricorso di cui sopra: in tal caso, tanto l’interessato quanto il titolare del trattamento avranno il diritto di proporre opposizione, con ricorso al competente tribunale ex art. 152. Per l’art. 152, anzi, “tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del presente codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, nonché le controversie previste dall’articolo 10, comma 5, della legge 1° aprile 1981, n. 121, e successive modificazioni, sono attribuite all’autorità giudiziaria ordinaria” (per inciso, il comma 5 dell’art. 10 della L. 121/1981 così recita: “Chiunque viene a conoscenza dell’esistenza di dati personali che lo riguardano, trattati anche in forma non automatizzata in violazione di disposizioni di legge o di regolamento, può chiedere al tribunale del luogo ove risiede il titolare del trattamento di compiere gli accertamenti necessari e di ordinare la rettifica, l’integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi”).

Il Regolamento 2016/679, invece, al Capo VIII (“Mezzi di ricorso, responsabilità e sanzioni”), dedica 6 disposizioni alla materia – artt. dal 77 all’82 – dando vita agli strumenti del:

– reclamo (art. 77) e del

– ricorso giurisdizionale nei confronti dell’autorità di controllo (art. 78) e nei confronti del titolare e/o del responsabile del trattamento (art. 79).

Seguono la disciplina della rappresentanza degli interessati (art. 80) e quella dell’ipotesi in cui, essendo le norme del Regolamento valide in tutta l’UE, più azioni giurisdizionali aventi il medesimo oggetto siano (state) azionate in differenti Paesi (art. 81).

Infine, l’art. 82 disciplina la fattispecie dell’azione risarcitoria, a fronte di un danno (anche immateriale) cagionato mediante una violazione della disciplina sul trattamento dei dati personali.

Il Regolamento, quindi, conferma lo strumento del reclamo, ma perde – almeno, così appare – la segnalazione e il ricorso all’autorità di controllo.

Tuttavia, nulla sembra ostare ad una permanenza degli istituti del Codice Privacy, se non c’è contrasto con la disciplina del Regolamento. Il quale, oltretutto, con l’art. 77 fa “salvo ogni altro ricorso amministrativo o giurisdizionale” da parte dell’interessato che “ritenga che il trattamento che lo riguarda violi il presente regolamento.” E’ probabile che il legislatore (italiano) vorrà intervenire a formalizzare un assetto che individui inequivocamente gli strumenti a disposizione dell’interessato in via amministrativa. Per il resto, il reclamo previsto dal Regolamento non differisce nella sostanza da quello del Codice Privacy. L’attributo “circostanziato”, che caratterizza il reclamo “italiano”, pare dovuto all’esigenza di differenziarlo rispetto alla segnalazione.

  1. L’art. 77 individua l’autorità di controllo presso cui il reclamo deve essere presentato, ossia quella dello Stato UE in cui l’interessato “risiede abitualmente”, ovvero “lavora”. In alternativa, è possibile rivolgersi a quella dello Stato in cui la presunta violazione ha avuto luogo.

Nel caso di trattamenti transfrontalieri, la vicenda può complicarsi, potendo succedere che l’autorità di controllo adita (dall’interessato) non corrisponda a quella (evidentemente, di altro Stato membro) chiamata a decidere sul reclamo.

In base all’art. 56, par. 1, “l’autorità di controllo dello stabilimento principale o dello stabilimento unico del titolare (…) è competente ad agire in qualità di autorità di controllo capofila per i trattamenti transfrontalieri”. Se, però (par. 2), l’eventuale violazione “riguarda unicamente uno stabilimento nel suo Stato membro o incide in modo sostanziale sugli interessati unicamente nel suo Stato membro”, l’autorità di controllo adita può dirsi competente per assumere la decisione, anche se sarà comunque l’autorità di controllo capofila (par. 3) – una volta informata – a dire l’ultima parola sul punto.

Due sono le possibili decisioni:

– l’autorità capofila decide di non trattare il caso e allora vi provvederà l’autorità adita, ma “conformemente agli articoli 61 e 62”, che disciplinano, rispettivamente, le fattispecie di “assistenza reciproca” e di “operazioni congiunte delle autorità di controllo”;

– l’autorità capofila decide di trattare il caso e, per conseguenza, l’autorità adita (par. 4) potrà presentarle un progetto di decisione, che la prima valuterà, tenendola “nella massima considerazione”. La procedura di riferimento è dettata dall’art. 60, che, al par. 7, stabilisce che la decisione viene adottata dall’autorità capofila, la quale a sua volta provvede a notificarla al titolare, ad informarne le autorità di controllo interessate e il comitato europeo per la protezione dei dati. Spetta, quindi, all’autorità di controllo presso cui il reclamo è stato proposto la comunicazione della decisione al reclamante.

  1. Specifica trattazione, all’interno del Regolamento, nella parte riguardante la tutela giurisdizionale, è dedicata all’azione di risarcimento del danno, “causato da una violazione del presente regolamento”.

I soggetti convenuti sono il titolare e/o il responsabile, eventualmente anche in solido per l’intero ammontare del danno (art. 82.4), ove la responsabilità pertenga al medesimo danno cagionato. Stessa solidarietà, alla medesima condizione, può riguardare più titolari del trattamento.

L’esonero dalla responsabilità è legato alla dimostrazione (verosimilmente, una autentica probatio diabolica) da parte del titolare e/o responsabile che “l’evento dannoso non gli è in alcun modo imputabile.” Il meccanismo è quello dell’inversione dell’onere della prova, per cui in mancanza di tale dimostrazione una responsabilità sarà comunque accertata in capo a detti soggetti.

Interessante è la previsione di cui all’art. 80, che al par. 1 riconosce il diritto dell’interessato di dare mandato, per essere rappresentato in giudizio, ad un organismo, ad un’organizzazione, ad un’associazione senza scopo di lucro, debitamente costituiti secondo il diritto di uno Stato membro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore “privacy”. Questi soggetti hanno la possibilità di proporre non solo le azioni sin qui viste, ma anche – ove previsto dal diritto interno dello Stato membro – di rivolgersi al giudice per la richiesta di risarcimento del danno.

Chiude la disposizione il par. 2, che riconosce ai soggetti sopra richiamati il diritto di proporre reclamo e di presentare ricorsi giurisdizionali anche laddove non abbiano ricevuto mandato dagli interessati, ma pur sempre per tutelare la posizione di costoro a fronte di violazioni del Regolamento nello svolgimento di attività di trattamento dei dati.