GDPR: La protezione dei dati sensibili nell'era digitale

Di Annalisa Damiano^[1]

Abstract

L'articolo analizza l'importanza della protezione dei dati personali nell'era digitale, concentrandosi sul Regolamento Generale sulla Protezione dei Dati (GDPR), introdotto dall'Unione Europea come risposta alla crescente digitalizzazione e ai rischi legati alla diffusione indiscriminata dei dati personali. Il GDPR rappresenta un cambiamento significativo rispetto alla precedente Direttiva 95/46/CE, uniformando la normativa europea per garantire una protezione elevata dei dati personali e promuovere la libera circolazione degli stessi all'interno dell'Unione. Vengono approfonditi i principi fondamentali del GDPR, come liceità, correttezza, trasparenza, minimizzazione e limitazione delle finalità, oltre all'importanza del consenso e del diritto all’oblio. Tra le principali novità introdotte, spiccano la figura del Data Protection Officer (DPO) e il principio di accountability, che impone ai titolari del trattamento l'adozione di misure tecniche e organizzative per garantire la conformità normativa. L'articolo evidenzia, inoltre, il ruolo delle autorità di controllo indipendenti e dei codici di condotta nella supervisione e applicazione del regolamento. Infine, vengono esaminate le sanzioni amministrative pecuniarie previste per le violazioni, che possono arrivare fino al 4% del fatturato globale annuo di un'impresa. Tali misure severe riflettono la volontà del legislatore europeo di tutelare i dati personali come diritto fondamentale, salvaguardando la dimensione privata degli individui e promuovendo uno spazio digitale più sicuro e responsabile.

This article examines the importance of personal data protection in the digital age, focusing on the General Data Protection Regulation (GDPR), introduced by the European Union as a response to the growing digitalization and risks associated with the uncontrolled dissemination of personal data. The GDPR marks a significant shift from the previous Directive 95/46/EC by standardizing European regulations to ensure a high level of personal data protection and promote the free flow of data within the Union. The article delves into the fundamental principles of the GDPR, such as lawfulness, fairness, transparency, data minimization, and purpose limitation, along with the importance of informed consent and the right to be forgotten. Among the key innovations introduced, the roles of the Data Protection Officer (DPO) and the accountability principle stand out, requiring data controllers to adopt technical and organizational measures to ensure regulatory compliance. The article also highlights the role of independent supervisory authorities and codes of conduct in monitoring and enforcing the regulation. Finally, it examines the administrative fines for violations, which can reach up to 4% of a company's annual global turnover. These stringent measures reflect the European legislator's intent to safeguard personal data as a fundamental right, protecting individuals' private lives while fostering a safer and more accountable digital environment.

SOMMARIO: 1. Introduzione – 2. Contesto e nascita del GDPR – 3. Gli obiettivi del GDPR – 4. Ambito di applicazione del GDPR – 5. Principi fondamentali del GDPR – 6. Le più importanti novità introdotte con il Regolamento – 7. Considerazioni e conclusioni

1. Introduzione

L’evoluzione della digitalizzazione ha portato con sé l’insorgere di nuove problematiche unitamente alla necessità di trovarne adeguata soluzione. Un continuo e costantemente crescente utilizzo della rete Internet ne ha determinato la monopolizzazione, facendo sì che le nostre vite si modellino sulla scorta di un contesto economico sempre più digitale. Vecchie professioni hanno subìto trasformazioni mentre nuove figure sono nate, trovando la loro ragion d’esistere proprio in questa mutata realtà telematica. Tuttavia, un simile sistema presenta non pochi lati oscuri. Un “innocente” navigare attraverso la rete determina per l’utente il rischio di esporre inconsapevolmente i propri dati personali alla mercé di aziende affinché ne possano utilizzare indiscriminatamente per trarre profitti. Il legislatore europeo, consapevole di un tale maturato contesto, è intervenuto con una normativa che ad oggi possiamo considerare la più grande mai introdotta nel panorama comunitario volta alla protezione dei dati personali.

Il GDPR^[2], General Data Protection Regulation, è un regolamento che si compone di 99 articoli e 173 Considerando attraverso cui la privacy, da mero obbligo formale, inizia ad essere concepita quale parte integrante dell’attività posta in essere da una qualsiasi organizzazione produttiva. Ed invero, coniando il principio di cd. accountability, il GDPR pone a carico del titolare del trattamento l’obbligo di adottare comportamenti proattivi e attività dimostrabili che siano finalizzate al rispetto della normativa. 

1. Contesto e nascita del GDPR

Con l’era digitale, beni giuridici già considerati meritevoli di tutela da parte dell’ordinamento hanno subìto una propria evoluzione contestuale a quella del quadro sociale in cui sono inseriti. Benché, dunque, l’oggetto rimanga lo stesso, le modalità di aggressione sono venute a cambiare. La propria dimensione digitale è considerata dall’ordinamento un’estensione della dimensione fisica della persona, dunque necessita della medesima tutela da interferenze altrui cui il titolare non abbia dato il consenso^[3].

Il diritto alla protezione dei dati personali costituisce un importante corollario del diritto alla tutela delle persone fisiche. In particolare, è l’art 8, par.1, della Carta di Nizza, unitamente all’art 16, par. 1, del Trattato sul funzionamento dell’Unione europea (TFUE) che inquadrano nell’ambito dell’ordinamento comunitario il diritto alla protezione dei dati di carattere personale come diritto fondamentale della persona^[4].

Prima dell’entrata in vigore del GDPR, la normativa applicabile in tema di privacy era la Direttiva 95/46/CE, recepita in Italia con il cd. “Codice della Privacy” (prima L. 675/1996, poi D.Lgs. 196/2003). Scopo della Direttiva era quello di garantire una tutela armonizzata dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati, assicurando, al contempo, la libera circolazione dei dati personali tra gli Stati membri^[5]. L’obiettivo di armonizzazione del legislatore europeo, però, da subito si è scontrato con le problematiche connesse alla stessa natura della Direttiva quale atto comunitario che necessita di una legge interna per trovare applicazione sul suolo dell’ordinamento nazionale. La conseguenza è stata la frammentazione della protezione dei dati personali nel territorio dell’Unione in virtù delle divergenze tra i vari Stati membri nell’attuazione e applicazione della direttiva, nonché della persistenza di incertezze giuridiche e pregiudizi relativi all’attività economica svolta online, concepita come rischiosa per la protezione dei dati personali.

Dinanzi alla necessità di uniformare le normative degli Stati membri, è maturata la scelta del legislatore europeo di cambiare lo strumento normativo tramite cui disciplinare il settore della privacy e cybersecurity, preferendo a tale scopo un atto che trovasse diretta applicazione all’interno degli Stati membri senza la necessità di interferenze del legislatore nazionale^[6].

Così, il 26 aprile 2016 veniva adottato per volere del Parlamento europeo e del Consiglio il Regolamento 679/2016, pubblicato sulla Gazzetta ufficiale dell’Unione europea il giorno 4 maggio ed entrato in vigore decorsi 20 giorni, segnatamente il 24 maggio 2016, salutando una volta per tutte la Direttiva 95/46/CE che veniva così abrogata^[7]. Illesa, al contrario, rimane la Direttiva 2002/58/CE in tema di servizi di comunicazione elettronica.

1. Gli obiettivi del GDPR

Il legislatore europeo sin dalle prime pagine del Regolamento mostra la sua consapevolezza relativa al contesto nel quale intende inserire la nuova normativa, nonché riguardo gli obiettivi della stessa. Ed invero, esso si apre con una sfilza di Considerando, 173 disposizioni che rappresentano una sorta di impalcatura su cui reggerà l’intera costruzione normativa. In tali Considerando sono cristallizzati dal legislatore i principi cardine che sono stati per lui il motore di ricerca, cemento che dà solidità alla struttura.

Dopo aver ribadito la natura di diritto fondamentale della protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale, il legislatore chiarisce l’obiettivo di “contribuire alla realizzazione di uno spazio di libertà, sicurezza e giustizia e di un'unione economica, al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche”^[8], in linea con la stessa ragion d’essere dell’Unione.

Il legislatore è consapevole del rilevante aumento dei flussi transfrontalieri di dati personali determinato dall’integrazione economica, cui si accompagna l’incremento dello scambio dei dati all’interno dell'Unione tra attori pubblici e privati, fra cui persone fisiche, associazioni e imprese. È altrettanto consapevole del mutato contesto socio-economico in cui si inseriscono tali flussi, caratterizzato da un’evoluzione tecnologica che coadiuva l’attività imprenditoriale e che condiziona tanto le relazioni economiche quanto quelle sociali^[9]. La stessa evoluzione tecnologica è tale da rendere disponibili i dati delle persone fisiche al pubblico esponendoli su scala mondiale, facilitando altresì la loro più libera circolazione all’interno dell’Unione, nonché il loro trasferimento verso paesi e organizzazioni terze. Di qui la necessità di allineare la normativa in tema privacy affinché essa sia in grado di garantire un elevato livello di protezione alle persone fisiche per quel che concerne il trattamento dei dati personali, che oggi subisce le più varie operazioni.

Al fine di rendere effettiva l’attuazione dei principali scopi del Regolamento, appalesatisi dalla formulazione dell’articolo 1 nel garantire la tutela dei dati personali come diritto fondamentale della persona fisica e nell’eliminare ogni tipo di ostacolo alla libera circolazione degli stessi nell’ambito dell’Unione, non in subordine emerge la necessità di responsabilizzare le aziende e coloro che sono incaricati di trattare i dati personali affinché operino nel pieno rispetto della normativa entrata in vigore, pena l’applicazione di sanzioni specificatamente previste.

1. Ambito di applicazione del GDPR

Quanto all’ambito di applicazione del GDPR, l’articolo 2, dalla rubrica non equivocabile, lo delinea riguardo un aspetto: quello materiale. Lo sguardo è rivolto alla tipologia di trattamento che è posto in essere, trovando il Regolamento applicazione ove il trattamento sia interamente o parzialmente automatizzato, ovvero non automatizzato allorquando i dati personali siano contenuti in un archivio o destinati a figurarvi. Diversamente non trova applicazione quando i trattamenti siano effettuati per attività che non rientrano nell'ambito di operatività del diritto dell'Unione, ovvero quando i trattamenti siano effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE. Allo stesso modo, ad essere esclusi dall’ambito di applicazione del GDPR i trattamenti che sono effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico, o che siano effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse^[10]. Laddove siano posti in essere trattamenti dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, a trovare applicazione è il regolamento (CE) n. 45/2001, le cui norme, con gli altri atti giuridici dell'Unione applicabili a tale trattamento, si richiede che siano adeguati ai principi e alle norme del Regolamento 679 conformemente all'articolo 98.

Quanto al secondo aspetto dell’ambito di applicazione del Regolamento, quello territoriale, è l’articolo 3 a costituirne il fondamento normativo, che fa dipendere l’individuazione del campo di operatività del GDPR dal concetto di “stabilimento”^[11]. Il richiamo è al Considerando 22 (C22) che qualifica tale “un’organizzazione stabile, permanentemente dotata di uomini e mezzi, che esercita un’attività effettiva”. Dunque non rileva se il trattamento sia effettuato o meno all’interno del perimetro territoriale dell’Unione, ma ciò che rende possibile la sussunzione del trattamento effettuato bell’ambito del GDPR è la constatazione che le attività dello stabilimento all’interno del quale il trattamento è effettuato si svolgano all’interno dell'Unione^[12].

1. Principi fondamentali del GDPR

Affinché una norma sia chiara, precisa e determinata, occorre che il legislatore utilizzi delle tecniche normative che non lascino spazio ad incertezze applicative e che siano in grado di veicolare in maniera diretta il messaggio che intende far ricevere al destinatario. Tra le diverse tecniche normative, quella da cui esula il minor spazio di manovra dell’interprete è senz’altro la tecnica definitoria, tramite cui il legislatore intende dare una definizione univoca all’elemento normativo che introduce, non correndo il rischio di alimentare il fuoco dell’interpretazione creativa giurisprudenziale. È la tecnica che il legislatore utilizza nella formulazione dell’articolo 4 nell’andare a chiarire una serie di significati funzionali alla comprensione del testo normativo^[13].

Diversa è, invece, la tecnica che utilizza nell’art. 5 al fine di qualificare i dati personali enunciando i principi applicabili al relativo trattamento. Il legislatore, cioè, elenca quelle che dovrebbero essere in astratto le peculiarità dei dati personali laddove sia posta in essere la condotta osservante le norme del Regolamento, nel pieno rispetto dei principi che ne rendono effettiva la tutela.  Liceità, correttezza e trasparenza sono principi generali che spesso ritroviamo circolare all’interno del diritto dei contratti perché posti alla base di una condotta esemplare nei rapporti tra privati. Questi stessi principi sono volti a connotare anche la disciplina regolatoria del trattamento dei dati sensibili, al fine di assicurare che esso avvenga in conformità alla normativa in tema di privacy (liceità), nell’osservanza della buona fede contrattuale (correttezza) e con l’utilizzo di un linguaggio che sia semplice e comprensibile (trasparenza).

Il rischio è che l’utilizzo dei dati personali possa essere finalizzato a scopi diversi rispetto a quelli dichiarati (function creep). Per questo motivo il legislatore introduce il principio di limitazione delle finalità, le quali devono essere legittime, esplicite e specifiche^[14]. Centrale è il concetto di consenso, quello stesso concetto che è snodo in altre branche del diritto, sovranazionale ed interno. Quel consenso che può essere elemento positivo o negativo volto ad integrare il fatto tipico di reato, ovvero fattore che elimina ostacoli e limitazioni al procedere con una determinata condotta volta alla soddisfazione di un interesse ad un bene della vita. È il consenso che, in questo caso, rende possibile il trattamento dei dati personali per finalità ulteriori ove provenga dal titolare dei dati ovvero stesso dalla legge^[15]. Altrimenti, ad essere possibile è il trattamento dei dati per finalità accessorie, secondarie o compatibili a quelle dichiarate, ma non quelle diverse. Sulla scorta di una tale logica di consenso quale presupposto necessario per la legittimità del trattamento, il riconoscimento in capo alla persona fisica del diritto di opporsi al trattamento dei dati che la riguardano in qualsiasi momento, obbligando il titolare ad astenersi salvo che non dia prova dell’esistenza di motivi legittimi cogenti che consentano il procedersi del trattamento prevalendo sugli interessi, diritti e libertà dell’interessato in una logica di bilanciamento. 

Ricollegata alla medesima ratio la scelta legislativa di limitare la conservazione dei dati fino al momento di raggiungimento della finalità, il cui esaurimento determina la necessaria cancellazione degli stessi^[16]. Il legislatore prefigura l’adozione di misure tali da consentire la cancellazione ovvero l’anonimato dei dati al verificarsi della condizione risolutiva, a meno che non ne sia valutata la persistente necessità.

In virtù di un’ottica di minimizzazione, volta ad evitare le eccedenze e relativi abusi di trattamento, è specificatamente richiesto ai sensi dell’art. 25 che i dati siano pertinenti e non eccedenti le finalità richieste. Ne consegue, dunque, non solo la limitazione dei dati raccolti e trattati a quelli necessari alle finalità da perseguire, bensì anche la riduzione delle operazioni da compiersi, dei soggetti abilitati a conoscere tali dati; infine, dei tempi di conservazione. Spicca il diritto all’oblio riconosciuto al titolare dei dati, che si concretizza nel diritto di ottenere la cancellazione dei dati che lo riguardino senza ingiustificato ritardo qualora ricorra una delle circostanze specificate dall’art 17^[17].

Affinché siano raggiunte le suddette finalità, è altresì doveroso che i dati siano corretti. Ai sensi dell’art. 16^[18] è enunciato il diritto di rettifica ricollegato ad una logica di necessaria esattezza dei dati che, ove non lo siano, abbisognano di essere corretti, ovvero integrati se incompleti ed aggiornati qualora obsoleti, su richiesta del titolare senza giustificato ritardo.

1. Le più importanti novità introdotte con il Regolamento

Dopo essersi premurato di specificare l’applicabilità dei principi alle singole categorie di utenti, con particolare attenzione a categorie particolarmente sensibili, il legislatore entra nel vivo dell’operatività delle modalità di attuazione dei suddetti principi.

Per evitare che quanto espresso in sede normativa rimanga una mera evanescenza utopica, il legislatore europeo ha optato per una logica, per così dire, “intimidatoria” con lo scopo di responsabilizzare chi si trova ad utilizzare tali dati personali. La declinazione del principio di accountability ha determinato l’insorgenza di un onere in capo al titolare del trattamento di dimostrare che le misure tecniche e organizzative poste in essere siano adeguate a dimostrare che il trattamento effettuato sia conforme al Regolamento. Per tale fine, l’adozione di codici di condotta e di certificazione possono avere una valenza probatoria rilevante, benché non escluda a prescindere una siffatta responsabilità del titolare.

Nasce la figura del Responsabile per la Protezione dei Dati (Data Protection Officer/ DPO o Responsabile protezione dati/RPO^[19]) quale figura professionale cui affidare il possesso le competenze necessarie ad assicurare il pieno rispetto delle garanzie richieste dal regolamento^[20]. Ciò che chiede il titolare del trattamento al DPO è l’adozione di quelle misure tecniche e organizzative che ottemperino il doveroso requisito di adeguatezza. Tuttavia, la presenza di questa nuova figura ad accompagnare il titolare del trattamento non rassicura del tutto il legislatore europeo che, perciò, sente il bisogno di affidarsi alla costituzione di autorità pubbliche indipendenti all’interno di ciascuno stato membro cui dedica l’intero Capo VI. Incaricate di controllare l'applicazione del regolamento, a tali autorità indipendenti il Regolamento chiede di cooperare in quanto funzionale alla facilitazione dei trasferimenti dei dati personali tra i vari Stati appartenenti all’unione, coerentemente allo stesso obiettivo del GDPR.

Sono le stesse autorità di controllo indipendenti, insieme a Stati membri, comitato e Commissione che incoraggiano l’elaborazione dei cd. codici di condotta, individuati tra gli strumenti garantistici dell’applicazione della normativa^[21].

1. Considerazioni e conclusioni

Nell’ottica che abbiamo definito intimidatoria, oltre che di responsabilizzazione, il legislatore ha individuato con minuziosa scrupolosità le sanzioni^[22] applicabili nell’ipotesi di inosservanza al Regolamento, affidando all’Autorità Garante nazionale il compito di irrogare tali sanzioni e chiamando a rispondere dell’inosservanza anche il DPO. Tali sanzioni, definite amministrative pecuniarie, arrivano fino a 20 000 000 EUR, ovvero, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente. A condizionare l’applicazione di tali sanzioni sono la valutazione della natura, gravità e durata della violazione, nonché l’elemento soggettivo della stessa, se perpetuata con dolo o con colpa. Inoltre, l’adozione di misure organizzative può essere in grado di alleggerire il peso della sanzione ove sia servita ad attenuare il danno subito dagli interessati. Ad incidere nel senso opposto è, invece, la recidiva.

Benché tali sanzioni siano definite “amministrative”, il peso delle stesse può rivelarsi tale da determinare conseguenze particolarmente negative per la stessa azienda o impresa, fino a portare ad una sua “morte giuridica”. In tale ultima ipotesi, la sanzione formalmente amministrativa non avrebbe altro che una sostanza penale per la portata dei relativi effetti. È volontà del legislatore europeo, pur lasciando minimi spazi di manovra agli stessi Stati che adottano la normativa, realizzare un quadro normativo preciso e severo data la rilevanza del bene giuridico che è inteso tutelare. Trattandosi, infatti, di una proiezione della dimensione privata della persona, centrale è la necessità di precludere interferenze esterne indesiderate, soprattutto in una prospettiva, quella tecnologica, in cui ne è semplificato l’ingresso.

Si tratta di un mondo in continua evoluzione ed aggiornamento, ove le modalità di aggressione dei beni giuridici tutelati sono oggetto di sperimentazione da parte degli agenti al fine di riuscire ad eludere le norme di legge. Ciò richiede che il legislatore sovranazionale, come anche quello interno, non rimangano indietro, ma che mantengano il passo affinché riescano ad assicurare la giusta tutela a beni che ne abbisognano. D’altra parte, il diritto, come la vita in generale, è costituito da una fitta rete i cui fili si intersecano tra loro determinando un intreccio funzionale ed inevitabile. Il nascere di nuove sfide legate al mondo della tecnologia apre ad altrettante opportunità, tra cui l’insorgere di nuove figure professionali ovvero di stimoli legati al desiderio di vincere le medesime difficoltà, ed il legislatore comunitario con il GDPR ha dimostrato grande determinazione nell’affrontare tali sfide.

[1] Dott.ssa in Giurisprudenza; tirocinante ex art. 73 dl 69/2013 presso il Tribunale di Salerno, Sezione I Penale. DPO presso aziende nazionali; esperta di safeguarding.

[2] La sigla RGPD è quella adottata dal Garante per la Protezione dei Dati Personali (https://www.garanteprivacy.it/regolamentoue/formazione/) e dai Portali UE (https://europa.eu/youreurope/business/dealing-with-customers/data-protection/data-protection-gdpr/index_it.htm).

[3]Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali, "Come tutelare la persona nella dimensione digitale" - "Diritto dell'Informazione" - https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9343646.

[4]Garante Privacy, Cosa è il diritto alla protezione dei dati personali?

[5] Considerando 8 Direttiva 95/46/CE.

[6]Carmela Miranda, Dalla direttiva 95/46/CE al nuovo regolamento 2016/679/UE (GDPR). Il DPO simbolo della “rivoluzione” europea nel mondo della privacy.

[7]Ufficio delle pubblicazioni dell’Unione europea, Protezione dei dati di carattere personale - EUR-Lex, su EUR.Lex.Europa.eu. 

[8] Considerando 2 Regolamento 679/2016.

[9] Parere alla Banca d’Italia sullo schema di regolamento concernente il trattamento dei dati personali effettuato nell’ambito della gestione degli esposti, 24 febbraio 2022, 9751895.

[10] Nicholas Botti, Guida ragionata all’applicazione del GDPR.

[11]Gabriele Borghi, L’ambito di applicazione territoriale del GDPR.

[12]Lucrezia D’Avenia, Il nuovo Regolamento 2016/679 GDPR - Data Protection Law | Privacy e protezione dati personali, in Data Protection Law | Privacy e protezione dati personali.

[13] Silvia Martinelli, La nozione di "trattamento di dati personali". - Commento all'art. 4 del GDPR.

[14] Andrea Provino, GDPR: Principio di Limitazione della finalità | Purpose Limitation.

[15] Shaira Thobani, Il mercato dei dati personali: tra tutela dell’interessato e tutela dell’utente.

[16] Garante Privacy, Diritto all'oblio.

[17] Considerando 65- 66

[18] Considerando 65

[19] Marco Toiati, Il DPO nell’era dell’AI: custode della privacy e architetto dell’etica digitale, in Cyber Security 360.

[20] Guidelines on Data Protection Officers ('DPOs')- https://ec.europa.eu/newsroom/article29/items/612048.

[21] Renato Goretta, I Codici di condotta del GDPR: come proteggere la privacy ed evitare sanzioni.

[22] Yari Cohen, Le sanzioni privacy nel nuovo regolamento europeo /January 12, 2016 in PRIVACY NEWS Studio Legale SIB.