Articolo 33: notifica di una violazione dei dati personali all’autorità di controllo

Cosa si fa in caso di violazione dei dati?

Occorre notificare la violazione dei dati stessa all’autorità di controllo, il garante privacy. Chi subisce la
violazione o la perdita del dato sia in modo intenzionale che non intenzionale deve comunicarlo al garante.
Casi in cui si è abbastanza certi dell’improbabilità del rischio: smarrimento o furto di un supporto di
memoria ( chiavetta, hard disc ), se esso è protetto con più attenzioni rispetto a una semplice password,
possiamo essere ragionevolmente tranquilli perché é improbabile che un soggetto spenda tempo e denaro per
conoscere il contenuto di un supporto di memoria.
La notifica comunque va sempre fatta, al più presto, entro 72 ore decorrenti da quando il responsabile del
trattamento o il titolare ne è venuto a conoscenza. è importante quindi perché potrebbe esserci uno scarto
temporale tra il momento della violazione e il momento in cui se ne è venuti a conoscenza. La notifica va
fatta appena si è venuti a conoscenza dell’attacco informatico. Se entro 72 ore non si riesce ad effettuare la
notifica bisogna comunque comunicare quel poco che si è capito nell’immediato, comunicare il resto più
avanti può comportare anche delle sanzioni.

Soprattutto bisogna 1) descrivere le conseguenze della violazione dei dati 2) descrivere, oltre a cosa è
successo e quali rischi possono esserci, cosa si sta facendo per tamponare il problema o per evitare che
problemi analoghi ci siano in futuro.

Considerando di riferimento : 85, 87, 88.

Considerando 85:
elencazione dei potenziali rischi della violazione dei dati personali: danni fisici, materiali o immateriali alle
persone fisiche, discriminazione, furto o usurpazione di identità, perdite finanziarie, pregiudizio alla
reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale, o qualsiasi altro danno
economico e sociale significativo alla persona interessata.
Perdite finanziarie = violazione o perdita dati personali che riguarda l’ambito dell’home-banking.

Articolo 34: comunicazione di una violazione dei dati personali all’interessato

se il rischio è elevato ( per i diritti e le libertà fondamentali delle persone fisiche ) non solo la violazione va
comunicata al garante ma anche agli interessati, i cui dati sono stati violati. Rischio elevato = violazione dei
dati che concerne dati sanitari o questioni private, oppure la mole dei dati è particolarmente abbondante. Il
problema è che a volte non si riesce a comunicare ai singoli interessati. In questi casi occorre fare una
comunicazione pubblica sul sito del comune.

Articolo 35: valutazione d’impatto sulla protezione dei dati

riguarda la valutazione d’impatto, che si può ricondurre ai vari principi generali dell’articolo 5. essa
concerne una autovalutazione che il titolare deve mettere in atto nei casi in cui ci siano dei trattamenti che
utilizzino nuove tecnologie e possano presentare un rischio elevato per i diritti e la libertà delle persone
fisiche.
A livello di valutazione d’impatto entra in atto la figura del responsabile della protezione dei dati, una
figura che si occupa di consulenza che va obbligatoriamente consultata in determinate occasioni.
Inoltre, ogni pubblica amministrazione deve avere il suo Dpo. Il dpo va consultato nell’ambito di violazione
dei dati perché il garante potrebbe contattare direttamente il Dpo, che non ha inoltre una sola funzione di
punto di contatto con il garante ma guarda anche agli interessati, perché essi possono contattarlo per avere
conferme in relazioni a determinate domande concernenti il trattamento dei propri dati personali o per sapere
come esercitare uno dei diritti Gdpr.
Articolo 82: diritto di risarcimento e responsabilità
diritto al risarcimento del danno: se trattando dati ho causato un danno ingiusto sono chiamato a risarcire
quel danno, che può essere materiale o immateriale. Chi subisce un danno di questo genere perché non ha
rispettato il Gdpr ha diritto al risarcimento del danno.
Interessante il riferimento a una norma che non esiste più del codice privacy: il risarcimento dell’anno
nell’ambito di esercizio di attività pericolosa, ciò ci ricorda che trattare dati è un’attività pericolosa, anche se
questo riferimento non esiste più, possiamo riferire il diritto al risarcimento del danno a questo articolo.

Articolo 83: condizioni generali per infliggere sanzioni amministrative pecuniarie

criteri generali per quanto riguarda la quantificazione delle sanzioni, decisa dai garanti. Parametri 4 e 5:
parametri oggettivi che riguardano due scaglioni di sanzioni, uno più elevato e l’altro meno elevato. Si tratta
di una norma scritta per Google e affini; La prima sanzione arriva fino a 10 milioni di euro. Anche una
sanzione milionaria potrebbe costituire in concreto un deterrente per grandi società, quindi per le imprese è
prevista una sanzione fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Paragrafo 5: scaglione più elevato, pari al doppio, quindi fino a 20 milioni di euro e il 4% per le imprese del
fatturato mondiale totale annuo dell’esercizio precedente. Amministrazioni amministrative pecuniarie =
autorità garante effettua un processo amministrativo alla fine del quale elabora una sanzione.
È interessante notare come questi scaglioni facciano riferimento alla violazione di determinati articoli. Allo
scaglione più elevato corrisponde la violazione degli articoli 5, 6, 7, 9, la violazione dei diritti degli
interessati, i trasferimenti extra UE. Se si violano queste norme ci si espone a violazioni maggiori. lo
scaglione più basso riguarda sanzioni meno pesanti e concerne gli articoli da 25 a 39 ( 25, 28, 32, 33, 34, 37,
38, 39 ), gli ultimi tre articoli riguardano il Dpo, sanzioni meno gravi.

Articolo 17: ci si lega al discorso dei diritti della personalità.

Diritto alla cancellazione ( ‘diritto all’oblio’ ). Sono due cose diverse e il fatto che siano abbinate in
un’unica rubrica non è particolarmente felice, si rischia di confondere i due diritti grazie a questa rubrica
scritta male, non correttamente da un punto di vista di tecnica normativa. Distinzione:
- diritto alla cancellazione = diritto che può essere esercitato se ci sono determinati presupposti. Si parla di
‘cancellazione’ se i dati personali non sono necessari per la finalità per cui sono trattati + se viene revocato il
consenso + i dati personali sono stati trattati in modo illecito.
- diritto all’oblio nasce offline, si tratta di un diritto un po’ ibrido: in parte prende in considerazione il diritto
alla riservatezza e in parte il cosiddetto diritto all’identità personale, entrambi diritti della personalità. Ibrido
perché via di mezzo tra questi due diritti. il diritto all’identità personale riguarda il diritto dei soggetti a
essere rappresentati nel contesto sociale con le caratteristiche che li contraddistinguono attualmente.
Quando un dato è trattato illecitamente si può chiedere la cancellazione. il diritto alla cancellazione è diverso
dal diritto all’oblio, che in internet non funziona come una censura, esercitare il diritto all’oblio in internet
nel caso di articoli scientifici pubblicati su archivi online nei giornali non significa cancellare quell’articolo
dal sito del quotidiano, il diritto all’oblio non cancella il contenuto d’articolo, va semplicemente a togliere il
link a quella pagina dall’elenco dei risultati del motore di ricerca ( chiamato anche indice ) : non c’è una vera
e propria censura, si rende semplicemente più difficilmente trovabile un contenuto, esercitare un diritto
all’oblio e vedere approvata la propria ricerca comporta quindi una deindicizzazione. Nel diritto all’oblio in
internet non è necessario in nessun modo un secondo articolo. Il presupposto al diritto all’oblio è una
trattazione lecita, mentre il presupposto al diritto di cancellazione è una trattazione illecita.

INCAPACITA DI AGIRE

Casi di incapacità di agire: due tipologie di incapacità: l’incapacità legale e quella naturale.

Incapacità naturale.
Naturale = articolo 428 c. c., rubricato ‘atti compiuti da persona incapace di intendere e di volere’. Se un atto
è stato compiuto da una persona incapace e di intendere di volere esso è annullabile. Riferimento a persona
sebbene non interdetta. Stiamo parlando di soggetti maggiorenni perché per legge se non si hanno 18 anni si
è incapaci di agire. Incapacità di intendere e di volere può essere dovuta a qualsiasi causa anche se
transitoria, che cos’è? Quali causi la comportano? Ad esempio anche lo stato di ubriachezza. Bisogna
dimostrare che l’atto giuridico è stato compiuto in queste condizioni affinché esso venga annullabile.
Annullabilità = tutela. Questa può riguardare anche i contratti; É la persona la cui volontà è stata viziata che
può scegliere se mantenere o annullare un contratto firmato in un momento in cui era incapace di intendere e
di volere.

Incapacità legale.

Casi di incapacità di agire previsti dalla legge: i minori sono incapaci di agire, ma ci sono casi in cui la legge
prevede determinate procedure e l’intervento di un giudice in relazione a soggetti maggiorenni che siano in
tutto o in parte privi di capacità di agire.
I tre istituti seguenti riguardano la protezione del soggetto debole maggiorenne:
- Interdizione
- Inabilitazione
- amministrazione di sostegno.
Essi guardano in ordine decrescente i profili di incapacità: all’interdizione corrisponde un’incapacità di agire
molto significativa, inabilitazione = meno significativa, amministrazione di sostegno = modello ancora più
morbido, personalizzabile, e solo per alcuni casi comporta l’incapacità di agire.
Interdizione: due tipi: giudiziale, dove interviene un giudice che valuta la situazione di un soggetto e lo
dichiara interdetta, legale, che è una ‘sanzione accessoria’, interdizione dei pubblici uffici.

Interdizione giudiziale: articolo 414, rubricato ‘persone che possono essere interdette’.
L’abituale infermità di mente non è relativa solo all’ambito psichiatrico, pensiamo anche a situazioni
patologiche come il coma permanente. Questa persona non è in grado di provvedere ai propri interessi, di
agire e deve subentrare un altro soggetto, il tutore. In questi casi, nell’ambito dell’interdizione, vi è dunque
un tutore, che si sostituisce in tutto e per tutto al soggetto interdetto e cura i suoi interessi.

Articolo 415, rubricato ‘persone che possono essere inabilitate’. L’inabilitazione è posta a tutela del soggetto
debole maggiorenne che abbia un’infermità meno grave di quella che porta all’interdizione; c’è qualche
sprazzo di capacità di agire.
esempi al comma 2:
- prodigalità = spendere senza controllo
- abuso abituale dio bevande alcoliche o di stupefacenti
- sordo e cieco, inabilitati se non hanno ricevuto un’educazione sufficiente, ad esempio capacità do capire il
linguaggio dei segni.
Queste condizioni portano all’inabilitazione, l’incapacità di agire riguarda per lo più l’ambito economico,
non c’è un tutore in questo caso ma un curatore che assiste il soggetto beneficiario, come se si chiedesse una
doppia firma.
Abbiamo poi un terzo tipo di tutela.

Amministrazione di sostegno: articolo 404 (tutta questa disciplina è stata modificata nel 2004, anno in cui si
iniziò a parlare di amministrazione di sostegno ), rubricato ‘amministrazione di sostegno’. Esso dispone che,
in casi di situazioni d’impossibilità parziale o temporanea di provvedere ai propri interessi, casi di
compimento di atti giuridici, il soggetto beneficiario può essere assistito da un amministratore di sostegno,
nominato da un giudice tutelare, che nel decreto di nomina stabilisce cosa questa figura è legittimata a fare,
tutto quello che il giudice non scrive non può essere svolto dall’amministratore di sostegno, ma lo può fare il
soggetto beneficiario ( elasticità dell’istituto ).