MC n. 2-3 del 2017/2018

Il Regolamento Europeo n.679/2016 (GDPR) è intervenuto, in maniera significativa, sul sistema di tutele previsto, a livello europeo, per il trattamento dei dati personali con particolare riferimento alle persone fisiche. La normativa, divenuta direttamente efficace nei paesi membri il 25 maggio 2018, è stata accomodata all’ordinamento italiano, attraverso un lavoro di restyling del D.Lgs. n. 196/2003 così come modificato dal D.lgs. n. 101/2008. Le direttrici su cui si sviluppa la regolamentazione europea possono riassumersi: (i) nel principio di accountability che consente al titolare del trattamento di individuare le misure tecniche ed organizzative più idonee per la sicurezza dei dati ed il corretto esercizio dei diritti dell’interessato; (ii) nella valorizzazione del sistema di tutele dell’interessato finalizzata al concreto esercizio dei tradizionali diritti di accesso, cancellazione e rettifica, nonché all’esercizio dell’innovativo diritto alla portabilità del dato e del diritto all’oblio specie con riferimento alla diffusione attraverso internet. Il momento di sintesi delle attività e del sistema delle deleghe si rinviene nel registro delle operazioni di trattamento previsto dall’art. 30 del GDPR che ne costituisce la cartina di tornasole. Infine, l’introduzione della figura del Data Protection Officer (DPO) prevista obbligatoriamente per alcune categorie di soggetti e con riferimento a talune tipologie di trattamento è tesa a bilanciare e sostenere il titolare nella scelta delle misure tecniche e organizzative che possono garantire la migliore gestione dei dati. La opportuna valorizzazione dell’indipendenza e dell’autorevolezza di tale figura professionale costituisce anche un momento di sensibilizzazione e formazione del personale, nonché di revisione della valutazione di impatto (risk assessment) del trattamento secondo quanto previsto dall’art. 35. L’impianto si completa attraverso un sistema sanzionatorio che aggrava le responsabilità e valorizza il ruolo di supervisore affidato all’Autorità Nazionale di riferimento.

 

Continue Reading →

Il sistema delle responsabilità e delle sanzioni

Sul presupposto che il sistema delle sanzioni si colloca nell’indiscusso alveo della certezza del diritto, connaturale ad ogni fonte normativa, non si può prescindere da un suo inquadramento nella complessiva struttura del peculiare intervento in esame, a
partire dalle sue principali logiche giuridiche.
Nella tecnica legislativa comunitaria i regolamenti prevedono dei considerando che rendono in termini espliciti molti dei presupposti giuridici tradotti nel successivo articolato. E’ sicuramente fondamentale l’intero Capo I del GDPR dedicato alle “Disposizioni
generali”, introdotto da un significativo art.1 “Oggetto e finalità” il quale, letto unitamente ai considerando da 1 a 11, consente di individuare gli obbiettivi legislativi della Commissione europea che possono sintetizzarsi nei termini seguenti: assicurare
un livello coerente ed elevato di protezione delle persone fisiche con riguardo al trattamento dei dati personali

Continue Reading →

Il trasferimento dei dati personali verso paesi terzi o organizzazioni internazionali (con particolare riferimento al sistema bancario)

In Europa, a partire dal 25 maggio 2018, la materia del trattamento dei dati o dei flussi transnazionali e di trasferimento di dati all’estero, è disciplinata dal nuovo Reg. (UE) 2016/679 del 27 aprile 2016, concernente la protezione delle persone fisiche con riguardo
al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che a tutti gli effetti sostituisce, la regolamentazione contenuta nella, ormai vecchia, direttiva 95/46, che per circa trenta anni ha costituito il punto di riferimento normativo per i paesi europei.
Il Regolamento mira ad assicurare un’armonizzazione di disciplina completa a livello europeo, in materia di protezione dei dati personali, cosicché si avrà una disciplina effettivamente comune a tutti i Paesi membri dell’Unione europea, salvo che per quei profili che il Regolamento lascia all’iniziativa dei singoli Stati membri regolamentare diversamente.

Continue Reading →

Codici di condotta, certificazioni e DPO: tra autoregolamentazione e best practice

I motivi per cui la UE ha emanato il regolamento UE 679/16 sono in gran parte riconducibili alla necessità di porre un freno alle ondate dilaganti di telefonate, di mail, di proposte cartacee (spesso illegali) basate spesso sull’acquisizione di dati per una gestione non propriamente etica e trasparente, anzi – spesso – ricollegabili alla rivendita di data base anagrafici.
Ma anche l’escalation di attacchi hacker che, negli ultimi anni, ha messo in serio pericolo la sicurezza dei dati personali di milioni di persone, nonché, l’acquisizione e lo sfruttamento incondizionato di tali dati operato ai danni dei singoli individui ha generato
nel legislatore europeo la consapevolezza della necessità di una normativa più stringente capace di tutelare realmente i cittadini europei.
Con la costante diffusione di internet e dei servizi commerciali via rete elettronica, sono infatti, aumentate le necessità di regolamentare la gestione dei dati del singolo individuo nel proprio paese di domicilio o in paesi comunque “connettibili” al domicilio.

Continue Reading →

La tutela dei diritti nella IT, Cyber security e GDPR

Lo scorso 8 agosto 2018 il Consiglio dei Ministri ha approvato il testo definitivo del decreto di armonizzazione dell’ordinamento italiano al Regolamento (UE) n. 679/2016, meglio noto come GDPR.
Fermo rimanendo che l’impianto generale del decreto legislativo appare immutato, con la sostituzione in blocco di alcuni Titoli e capi del D.Lgs. n. 196/2003 e la modifica di specifici articoli, commi e parole, il nuovo testo contiene alcune precisazioni di rilevante
impatto.
Rimane ferma la previsione dell’art. 1, per la quale si chiarisce l’applicabilità generale del GDPR al trattamento dei dati personali. Tale previsione appare significativa in quanto in assenza non sarebbero assoggettabili al GDPR i trattamenti effettuati per attività la difesa, la sicurezza nazionale, la sicurezza interna e l’ordine pubblico, quelli effettuati dagli Stati membri nell’esercizio di attività relative alla politica estera e di sicurezza comune dell’Unione nonché nell’esercizio di attività che rientrano nell’ambito di applicazione del titolo V, capo 2, TUE ossia le politiche relative ai controlli alle frontiere, all’asilo e all’immigrazione.
In tale ambito il nuovo Codice Privacy riporta una serie dettagliata di regole contenuta ora nel Titolo 1-bis.
La principale novità, anche rispetto al precedente schema, è che il trattamento collegato ad un interesse pubblico viene inquadrato sia dal punto di vista soggettivo sia oggettivo.

Continue Reading →

Il titolare del trattamento tra risk analysis, accountability e sistema degli adempimenti

Il concetto di “Accountability” potrebbe essere tradotto semplicemente con “principio di rendicontazione”, “responsabilità” o, meglio ancora, “prova della responsabilità”. Tale termine richiama almeno due accezioni distinte e fondamentali allo stesso tempo:
– il dar conto all’esterno, in particolare al complesso degli stakeholder, in modo esaustivo e comprensibile, del corretto utilizzo delle risorse e della produzione di risultati in linea con gli scopi istituzionali;
– l’esigenza di introdurre logiche e meccanismi di maggiore responsabilizzazione interna alle aziende e alle reti di aziende relativamente all’impiego di tali risorse e alla produzione dei correlati risultati.

Continue Reading →

Il diritto all’oblio

Il diritto all’oblio è da intendersi quale diritto dell’individuo a non restare indeterminatamente esposto ai danni ulteriori che la reiterata pubblicazione di una notizia può arrecargli all’onore e alla reputazione.
Si tratta di un diritto di creazione giurisprudenziale, in particolare della Corte di Giusti-zia Europea dal 2014, recepito in parte nel Regolamento europeo sulla protezione dei dati personali n. 2016/679, emanato il 25 maggio 2016 e entrato in vigore il 25 maggio
2018. Il diritto all’oblio, come meglio si espliciterà nel prosieguo, nasce nel mondo offline e riguarda la ripubblicazione non necessaria di una notizia risalente nel tempo, che originariamente era stata pubblicata in modo lecito. In Cassazione Civile, sez. III, 9 aprile
1998, n. 3679, la Corte afferma che “viene in considerazione un nuovo profilo del diritto di riservatezza recentemente definito anche come diritto all’oblio, inteso come giusto interesse di ogni persona a non restare esposta indeterminatamente a danni ulteriori
che arreca al suo onore e alla sua reputazione la reiterata pubblicazione di una notizia in passato legittimamente divulgata”.
Era pacifico che non si potesse mai trattare di cancellazione dell’informazione, ma di divieto di ripubblicazione senza motivo e senza alcun interesse pubblico. La specificità di internet pone il diritto all’oblio in una luce diversa, poiché la notizia risalente continua a permanere nello spazio virtuale in una sorta di “eterno presente”. Quindi, il tema è non tanto la ripubblicazione, ma la possibilità di un agevole accesso a quella notizia.

Continue Reading →

Le modalità attuative per l’esercizio dei diritti dell’interessato

Nel presente capitolo dedicato alle “modalità attuative per l’esercizio dei diritti dell’interessato”, si intende considerare la Sezione Seconda, Terza, Quarta e Quinta del Regolamento Generale sulla Protezione dei Dati Generali, ovvero il Regolamento n.2016/679, approvato il 27 aprile 2016 e pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016, entrato in vigore il 25 maggio dello stesso anno ed operativo a partire dal 25 maggio 2018, conosciuto con il suo acronimo GDPR; adeguato dal legislatore italiano con il Decreto Legislativo del 1 agosto 2018 n. 1012, che entrerà in vigore il 19 settembre 2018.

Continue Reading →

La tutela dell’interessato: profili generali

Occorre premettere come piattaforma di impostazione al tema in rassegna, che il diritto alla privacy nasce come un diritto alla riservatezza, il diritto di “essere lasciati soli”.
Esattamente, il concetto di privacy interpretato come bene, lo possiamo scorgere in un articolo scritto nel 1890 da Samuel L. Warren e Louis D. Brandeis, due giuristi di Boston che potremmo definire gli antesignani della relazione tra diritto dell’informazione con
quello di riservatezza, e pubblicato dalla rivista giuridica Harvard Law Review.
Certamente va ricordato, però, che, oltre a Warren e Brandeis, il problema di una tutela della privacy nei confronti dell’individuo fu affrontato anche, nel 1888, dal giudice Thomas Cooley2. Egli, imbattendosi in un saggio sugli illeciti extracontrattuali3, dunque
tematica diversa dalla privacy, incidentalmente, riuscì ad individuare l’esistenza di un Va sottolineato che Warren e Brandeis intesero la privacy come una dilatazione del diritto di proprietà che inglobava elementi immateriali come i sentimenti, i pensieri e le
emozioni, che sino ad allora erano rimasti sforniti di tutela.

Continue Reading →

General Data Protecion Regulation GDPR: profili generali

Il diritto alla riservatezza è comunemente associato al termine anglosassone, the right of privacy. La definizione nasce e viene originariamente concepita soprattutto in una prospettiva di carattere negativo come il diritto ad essere lasciati soli, e si manifesta
come un generico diritto ad impedire invasioni nella propria esistenza. Questa prospettiva di ius ad escludendum, deve certamente ritenersi superata, specie se proiettata nella società dell’informazione, in cui vi è un’interazione continua dell’individuo con la collettività. Nell’ordinamento italiano, il fondamento costituzionale del diritto alla riservatezza, si trova all’art. 2 della Costituzione, come espressione del diritto dell’individuo allo sviluppo della propria personalità; sviluppo che non può essere visto in termini esclusivamente negativi, essendo irrinunciabile una componente positiva di scelte, di accettazioni e di interazioni con l’esterno. Storicamente, la nascita del diritto
alla riservatezza si fa coincidere con un saggio pubblicato nel 1890 sull’Harward Law Review, scritto da Samuel Warren e Louis Brandeis, rispettivamente senatore e giudice degli Stati Uniti, i quali nel lontano 1890 intentarono una causa contro la Evenienza
Gazzette di Boston che aveva pubblicato “indiscrezioni” sulla vita matrimoniale della moglie dello stesso Warren. I due giuristi statunitensi si posero il problema del rapporto fra l’individuo e la società del tempo, che cominciava a proporsi con schemi diversi
da quelli dell’epoca precedente, questi si ritrovarono a riflettere su quali informazioni riguardanti la vita personale di un individuo dovessero essere di pubblico dominio e quali, invece, meritassero una tutela dalla curiosa invadenza altrui, iniziò così una
discussione sistematica sul concetto stesso di privacy. In altri termini i due giuristi americani affermarono l’esistenza di un diritto alla privacy, visto come diritto ad essere lasciati in pace, la cui lesione dava luogo ad un vero e proprio tort che consentiva di
richiedere il risarcimento del danno.

Continue Reading →