Privacy

Tutela dei dati personali

GDPR

Dicembre 2020
Privacy e protezione dei dati personali Privacy vs protezione dati personali

● Il concetto di privacy fa riferimento al diritto alla riservatezza delle

informazioni personali e della propria vita privata ed è usato per:
○ impedire la divulgazione di informazioni in assenza di specifica autorizzazione;
○ chiedere la non intromissione nella sfera privata da parte di terzi.

● La protezione dei dati personali, invece, si riferisce al sistema di

trattamento dei dati stessi, che potrebbe portare a identificare direttamente o
indirettamente una persona. Nella sua definizione, oltre al principio di
riservatezza, troviamo quello della disponibilità e dell’integrità dei dati
personali.
Privacy nel lessico comune
● I trend di ricerca sul web della parola “privacy” sono nettamente superiori a
quella di “protezione dati personali”.
● Nel lessico comune, il termine privacy è utilizzato sia per far riferimento alla
riservatezza di uno spazio fisico ed emotivo, essenzialmente individuale, sia
alla protezione dati delle persone fisiche.
● Anche il Garante della Protezione dei Dati Personali (GPDP, vedi in seguito)
si è adattato, mantenendo, come identificativo in internet, la dizione di
“Garante per la privacy” al fine essere meglio indicizzato dai motori di ricerca.
L’origine del concetto di privacy
● La prima definizione di privacy proviene da un’idea giuridica nordamericana
del 1890, fondata sul “diritto ad essere lasciato solo” (to be let alone).
Due giuristi statunitensi, Samuel Warren e Louis Brandeis, diedero alle stampe un saggio intitolato “The
Right to Privacy. The Implicit Made Explicit”. Era il 1890 e i due giovani avvocati di Boston preparavano una
causa contro le indiscrezioni sulla vita matrimoniale della moglie dello stesso Warren da parte del giornale
“Evening Gazette” di Boston.

● In Europa, il concetto di protezione dati personali lo troviamo rappresentato

per la prima volta, nel 1909 a Parigi, da un giovane giurista francese (E. H.
Perreau), in un articolo di una rivista di diritto civile, poi diventato famoso,
intitolato “Des Droits de la personnalitè”.
Privacy europea
● Il concetto europeo di protezione dei dati personali proviene dal timore che una profilazione
dell’individuo possa essere potenzialmente discriminatoria.

Negli anni ‘30, il governo olandese istituì un registro anagrafico in cui venivano riportati i dati identificativi dei cittadini
(nome, indirizzo, identità economica, culturale o sociale, confessioni religiose).
Quando i nazisti invasero i Paesi Bassi utilizzarono il registro per identificare, perseguitare ed assassinare molte
persone a causa delle loro origini etniche, religiose e razziali.
Nel 1943 la resistenza olandese tentò di distruggere il registro civile ad Amsterdam per impedire le persecuzioni
naziste verso gli ebrei (ed altre categorie).

● In questo contesto, nel dopoguerra, è sorta la necessità di proteggere i dati personali (ed i relativi
trattamenti) dall’ingerenza di un’autorità pubblica.

● Tale necessità si è poi concretizzata nell’articolo 8 della Convenzione Europea dei Diritti dell’Uomo
firmata a Roma nel 1950 dai 12 Stati all’epoca membri del Consiglio d’Europa (vedi art. 8)
Privacy americana (1)
● Negli USA esiste una legge federale (Privacy Act 1974), ma tutt’ora, secondo
questo articolo:
○ non sussiste un approccio sovranazionale come in Europa (top-down), quanto piuttosto un
miscuglio di leggi federali e statali, nel quale si segue l’enfatizzazione del diritto di governo dei
singoli Stati (bottom-up);
○ non si esclude l’idea di avere in futuro un’agenzia federale per la tutela della privacy;
○ le esistenti organizzazioni che si occupano di privacy (come Privacy for America) essendo
principalmente delle rappresentanze industriali, fanno in modo di garantire l’approvazione di
leggi che tengano conto dei bisogni dell’industria.

● Ne consegue che, a differenza dall’Europa, la privacy non si configura come

un diritto fondamentale dell’individuo, ma come un diritto del consumatore, da
bilanciare con le esigenze delle imprese.
Privacy americana (2)
● Dopo gli eventi dell’11 settembre 2001, le libertà e i diritti civili dei cittadini
americani, sono stati sacrificati pesantemente al principio della sicurezza
nazionale (+ sicurezza - privacy)
● Nel 2018, la California ha emanato il California Consumer Privacy Act
(CCPA), entrato in vigore nel 2020
○ Si applicherà solamente ai cittadini dello Stato, anche se aziende come Facebook e Google
dovranno adeguarsi per non avere due regimi di privacy diversi (uno per la California e uno
per il resto degli USA)

○ Nel novembre 2020 è stato approvato una proposta di modifica al CCPA che porterà a una più
ampia tutela dei diritti della privacy (non solo per i consumatori) California Privacy Rights Act
(CPRA) che entrerà in vigore nel 2023
Privacy in Italia
● La prima elaborazione del diritto alla privacy in Italia si ha nel 1956 con una sentenza della Corte di
Cassazione, a seguito di un ricorso da parte degli eredi del tenore Enrico Caruso nei confronti di una
casa produttrice di un film sulla sua vita (bilanciamento tra riservatezza e diritto di cronaca).

● Nel 1975, si riconobbe il diritto alla privacy in un’altra sentenza della Corte di Cassazione, relativa
ad una delle controversie instaurate dall’ex-imperatrice persiana Soraya Esfandiary contro alcuni
giornali che avevano pubblicato alcune sue fotografie in atteggiamenti intimi con un uomo, nelle
mura della sua abitazione.

● Nel 1996 si ha la prima legge che garantisce il trattamento dei dati personali nel rispetto dei diritti,
delle libertà fondamentali e della dignità delle persone fisiche con particolare riferimento alla
riservatezza ed all’identità personale, nonché l’istituzione di un’Autorità amministrativa indipendente
(il GPDP, vedi più avanti).

● Nel 2003 le norme relative alla privacy e alla protezione del dati confluiscono in un Codice in materia
di protezione dei dati personali
Cronologia della normativa italiana (ed europea)
1985: Accordi di Schengen
1995: direttiva dell’UE 95/46/CE
(relativa alla tutela delle persone fisiche con
riguardo al trattamento dei dati personali)
L. 675/1996 (in vigore dal maggio ’97)
D.Lgs 196/2003 (Codice in materia di
protezione dei dati personali)
gennaio 2012:
approvata proposta nuovo regolamento
europeo per protezione dati personali
maggio 2016:
pubblicato sulla gazzetta ufficiale dell’UE il
Regolamento 2016/679 (GDPR)
maggio 2018:
il Regolamento 2016/679 diventa operativo
agosto 2018:
integrazione del GDPR nella normativa
italiana del 2003 (D.Lgs 101/2018)
Prima di una specifica normativa, l'unica tutela è fornita
dalla giurisprudenza della Suprema Corte di Cassazione
Col passare del tempo, alla L.675/1996 si affiancano
ulteriori leggi, riguardanti singoli e specifici aspetti del
trattamento dei dati. La sopravvenuta complessità
normativa creatasi in seguito porta all’emanazione del
D.Lgs 196/2003, che ha riordinato interamente la materia.
Technology is changing faster
6 anni per applicare il
than regulators can keep up -
GDPR: nel frattempo here's how to close the gap |
la tecnologia si è World Economic Forum
evoluta... (weforum.org)
La Commissione UE ha deciso che fino al 2024 il
regolamento non sarà aggiornato, nonostante necessiti
di interventi (vedi questo articolo)
Definizioni (art. 4 D.Lgs 196/2003) - dati
● "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione,
l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

● "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione,
identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un
numero di identificazione personale;

● "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;

● "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

● "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da
r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni
amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli
articoli 60 e 61 del codice di procedura penale;
Definizioni (art. 4) - persone
● "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od
organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del
trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

● "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo preposti dal titolare al trattamento di dati personali;

● "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

● "Interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
Definizioni (art. 4) - azioni, banche dati, autorità
● "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal
rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio
dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali
sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a
disposizione, consultazione o mediante interconnessione;

● "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la
loro messa a disposizione o consultazione;

● "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato
identificato o identificabile;

● "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

● "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più
siti;

● "garante", l'autorità di cui all'art. 153 L.675/1996 (vedi in seguito)

Il diritto alla protezione dei dati personali nell’UE
● Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo ai sensi della Carta
dei diritti fondamentali dell'Unione europea (art. 8)
● il Regolamento (UE) 2016/679 (GDPR) disciplina il trattamento dei dati personali:
○ indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione europea;
○ quando svolto da titolari o responsabili che sono stabiliti in Ue o in un luogo soggetto al diritto
di uno Stato membro dell’Ue in virtù del diritto internazionale pubblico (per esempio
l’ambasciata o la rappresentanza consolare di uno Stato membro)
○ quando il titolare o il responsabile non è stabilito nell’Unione europea ma le attività di
trattamento riguardano:
■ l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione europea,
indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
■ il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo
all'interno dell'Unione europea.
Diritto di accesso dell’interessato (GDPR art. 15)
L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati
personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
a. le finalità del trattamento;
b. le categorie di dati personali in questione;
c. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se
destinatari di paesi terzi o organizzazioni internazionali;
d. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati
per determinare tale periodo;
e. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati
personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f. il diritto di proporre reclamo ad un’autorità di controllo;
g. qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e,
almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di
tale trattamento per l’interessato.

Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. Se l'interessato presenta la richiesta
mediante mezzi elettronici le informazioni sono fornite in un formato elettronico di uso comune.
Come esercitare il diritto di accesso
● L'interessato può presentare un'istanza al titolare, senza particolari formalità (ad esempio, mediante
lettera raccomandata, telefax, posta elettronica, ecc.) → vedi modulo istanza sul sito del Garante

● L'istanza può essere riferita:

○ a specifici dati personali
○ a categorie di dati
○ ad un particolare trattamento
○ a tutti i dati personali che lo riguardano, comunque trattati.

● All'istanza, il titolare deve fornire idoneo riscontro:

○ senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento;
○ tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della
complessità e del numero di richieste. In tal caso, il titolare deve comunque darne
comunicazione all'interessato entro 1 mese dal ricevimento della richiesta.
Reclami e segnalazioni (al Garante)
● Se ritiene che il trattamento dei dati che lo riguardano non è conforme alla disposizioni vigenti
ovvero se la risposta ad un'istanza non perviene nei tempi indicati o non è soddisfacente,
l'interessato può rivolgersi all'autorità giudiziaria o al Garante per la protezione dei dati personali, in
quest'ultimo caso mediante un reclamo (art. 77 GDPR) → vedi modulo reclamo sul sito del Garante

● Chiunque può rivolgere, ai sensi dell’art. 144 del D.Lgs 196/2003, una segnalazione che il Garante
può valutare anche ai fini dell'emanazione dei provvedimenti di cui all'art. 58 del GDPR → vedi
pagina contatti del Garante

● Il Regolamento europeo non prevede più l'istituto del ricorso per far valere i diritti di accesso ai dati
personali (che pertanto non è più esperibile davanti al Garante a partire dal 25 maggio 2018).
Il Garante (per la Protezione dei Dati Personali)
● Il Garante per la Protezione dei Dati Personali (GPDP, art. 153 D.Lgs 196/2003) è un organo
collegiale indipendente costituito da 4 componenti (2 eletti dalla Camera e 2 dal Senato) scelti tra
persone esperte di diritto e informatica (entrambe le qualificazioni)

● I componenti eleggono nel loro ambito un presidente (il cui voto prevale in caso di parità) e un
vicepresidente (che assume le funzioni del presidente in caso di sua assenza o impedimento)

● Il presidente e i componenti durano in carica 4 anni e non possono essere rieletti

● Alle dipendenze del Garante è posto l'Ufficio del Garante (art. 156)
Compiti del Garante (art. 154)
● controllare che i trattamenti di dati personali siano conformi al Regolamento nonché a leggi e regolamenti nazionali e
prescrivere, ove necessario, ai titolari o ai responsabili dei trattamenti le misure da adottare per svolgere
correttamente il trattamento nel rispetto dei diritti e delle libertà fondamentali degli individui;

● esaminare reclami;

● (nel caso di trattamenti che violano le disposizioni del Regolamento) rivolgere ammonimenti al titolare del trattamento
o al responsabile del trattamento e ingiungere di conformare i trattamenti alle disposizioni del Regolamento; imporre
una limitazione provvisoria o definitiva del trattamento, incluso il divieto di trattamento; ordinare la rettifica, la
cancellazione di dati personali o la limitazione del trattamento;

● predisporre una relazione annuale sull'attività svolta e sullo stato di attuazione della normativa sulla privacy da
trasmettere al Parlamento e al Governo;

● partecipare alle attività dell'Unione europea ed internazionali di settore.

Diritto alla rettifica, alla cancellazione, alla limitazione del
trattamento, alla portabilità dei dati personali
L'interessato può richiedere a chi sta trattando i suoi dati personali che questi siano:

a. rettificati (perché inesatti o non aggiornati), eventualmente integrando informazioni incomplete;

b. cancellati, se:
- i dati non sono più necessari ai fini del perseguimento delle finalità per le quali sono stati raccolti o trattati;
- l'interessato revoca il consenso o si oppone al trattamento; oppure
- i dati sono trattati illecitamente o devono essere cancellati per adempiere a un obbligo legale;
e se non vi sono altri trattamenti per i quali i dati sono considerati necessari (libertà di espressione e informazione,
svolgimento di compiti nel pubblico interesse, trattamenti connessi alla sanità pubblica, ecc.).

c. limitati nel relativo trattamento, se:

- i dati non sono esatti o sono trattati illecitamente e l'interessato si oppone alla loro cancellazione;
- nonostante il titolare non ne abbia più bisogno ai fini del trattamento, i dati sono necessari all'interessato per far
valere un diritto in sede giudiziaria;

d. trasferiti ad un altro titolare (c.d. diritto alla portabilità), se il trattamento si basa sul consenso o su un contratto
stipulato con l’interessato e viene effettuato con mezzi automatizzati.
Diritto di opposizione
E' possibile opporsi al trattamento dei propri dati personali:
a) per motivi connessi alla situazione particolare dell’interessato, da
specificare nella richiesta;
b) (senza necessità di motivare l’opposizione) quando i dati sono trattati per
finalità di marketing diretto.
Sicurezza del trattamento (GDPR art. 32)
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità
del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare
del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un
livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

● la pseudonimizzazione e la cifratura dei dati personali;

● la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e
dei servizi di trattamento;
● la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o
tecnico;
● una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine
di garantire la sicurezza del trattamento.
● Nel valutare l’adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che
derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o
dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Notifica di violazione (GDPR art. 33)
In caso di violazione dei dati personali, il titolare del trattamento notifica la
violazione all'autorità di controllo competente (a norma dell'art. 55) senza
ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto
a conoscenza, a meno che sia improbabile che la violazione dei dati personali
presenti un rischio per i diritti e le libertà delle persone fisiche.

Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è

corredata dei motivi del ritardo.
Motivazioni all’obbligo di sicurezza
Le motivazioni le ritroviamo nell’evoluzione tecnologica ed informatica registrata
nelle organizzazioni pubbliche e private e nell’uso sempre più pervasivo dei social
network che hanno portato ad un incremento del rischio che gli utenti ormai
corrono quotidianamente attraverso la comunicazione e diffusione dei dati
personali.

Rischio questo, connesso ad una profilazione tuttora più spinta derivante

dall’adozione sistematica di algoritmi sempre più sofisticati tanto da essere
predittivi dei nostri comportamenti. Non solo negli acquisti o nelle vendite ma
anche delle nostre performance lavorative.