Il concetto di privacy alla luce della normativa prevista in materia: concetti base, principi e step necessari al corretto adeguamento

Ormai quotidianamente sentiamo parlare di privacy e della necessità di procedere con i relativi adeguamenti in materia, ma cosa si intende all’ atto pratico? Cosa è necessario e come possiamo conformarci alla normativa vigente?

In questo articolo analizzeremo meglio la nascita del concetto di privacy e lo sviluppo che ha avuto nel corso degli anni, il suo ambito di applicazione e quali sono gli i principi a fondamento della normativa sul punto, oltre agli interventi necessari per le aziende affinché questi risultino adeguate alla normativa in materia.

L’evoluzione del concetto di privacy negli anni

I primi riferimenti al concetto di privacy li possiamo già trovare nella Convenzione europea dei diritti dell’uomo del 1950 che stabiliva come non può esservi ingerenza di una autorità pubblica nell’esercizio del diritto alla propria libertà individuale, con l’eccezione di ingerenze previste dalla legge come misure necessarie per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell’ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui.

Questo fondamentale concetto è stato poi riportato e ampliato in successivi altri accordi internazionali, come quello di Schengen, e nella Carta dei diritti fondamentali dell’Unione europea che, all’art. 8 della stessa, recita:

“1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.

2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica.

3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente.”

Per quanto concerne l’Italia un primo e importante accenno al concetto di privacy è contenuto nell’articolo 2 della nostra Costituzione, che incorpora il concetto di privacy tra i diritti inviolabili dell’uomo (sentenza n. 38 del 1973 Corte Costituzionale). Altresì, un’elaborazione del concetto di privacy lo troviamo a livello giurisprudenziale con la sentenza della Corte di Cassazione n. 4487 del 1956: questa identificava tale diritto nella tutela delle situazioni e vicende personali e familiari che, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile.

La normativa italiana sulla privacy fino all’entrata in vigore del GDPR

Nonostante quindi già nella nostra Costituzione e in alcune sentenze molto risalenti si parlasse del concetto di privacy, inteso come diritto inviolabile della persona, per assistere ai primi interventi legislativi si è dovuto attendere molto tempo: l’Italia è stata infatti tra gli ultimi paesi in Europa ad approvare una legge volta alla tutela della privacy, la n. 675/1996, con la quale è stata attuata la Direttiva 95/46/CE del Parlamento Europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati.

Questo lungo percorso è andato a completarsi ed uniformarsi con il Decreto n. 196 del 2003 “Codice in materia di protezione dei dati personali” detto anche “Testo unico sulla Privacy” o “Codice della privacy”, che ha ampliato il percorso legislativo compiuto dall’Italia in materia di dati personali a partire dalla legge n. 675/96, chiarendo che la privacy non è solo il diritto a non vedere trattati i propri dati senza consenso, ma anche l’adozione di cautele tecniche e organizzative che tutti, comprese le persone giuridiche, devono rispettare per trattare in maniera corretta i dati altrui.

Infine, per uniformare le normative sulla privacy nazionali e migliorare la protezione dei dati personali dei cittadini europei dentro e fuori dall’Unione Europea, il 4 maggio 2016 è stato pubblicato in Gazzetta Ufficiale il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, cosiddetto GDPR, in sostituzione della direttiva 95/46/CE.

In seguito all’entrata in vigore del GDPR, il testo del “Codice della Privacy” è stato aggiornato con le modifiche apportate dal Decreto di adeguamento al GDPR (Decreto Legislativo 10 agosto 2018, n. 101), dal D.M. 15 marzo 2019 e dal D.L. 14 giugno 2019, n. 53.

Concetti base contenuti nel GDPR: Privacy by design e privacy by default

La normativa privacy attualmente in vigore impone al titolare del trattamento l’adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati da trattamenti illeciti.

L’articolo 25 del GDPR introduce in particolare il principio di privacy by design e privacy by default, due nuovi “elementi” che impongono alle aziende l’obbligo di avviare un progetto prevedendo, fin da subito, gli strumenti e le corrette impostazioni a tutela dei dati personali.

Privacy by design: è in realtà un concetto risalente, ripreso e trasposto all’interno dell’attuale normativa privacy che impone al titolare di implementare le misure tecniche e organizzative adeguate al trattamento, cioè quelle misure adatte ad attuare i principi di protezione dei dati personali in maniera efficace.

Nella scelta di tali misure il titolare del trattamento deve tenere conto dei progressi tecnologici disponibili sul mercato, dei costi di attuazione, la natura, l’ambito di applicazione, il contesto e le finalità del trattamento, dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento.

Con tale valutazione si determina la responsabilità del titolare o del responsabile del trattamento, tenendo conto della natura, della portata, del contesto e delle finalità del trattamento, nonché della probabilità e della gravità dei rischi per i diritti e le libertà degli utenti.

Privacy by default: Il principio di privacy by default prevede che per impostazione predefinita le imprese trattino solo i dati personali nella misura necessaria e sufficiente per le finalità previste e per il periodo strettamente necessario a tali fini. Occorre, quindi, progettare il sistema di trattamento di dati garantendo la non eccessività dei dati raccolti. Il principio in questione ovviamente tocca tutti gli aspetti del trattamento, non solo la quantità e qualità dei dati, ma anche il periodo di trattamento e le persone che possono accedere ai dati.

Principi a fondamento del Regolamento UE n. 679/16

I principi cardine a fondamento della normativa sono:

• Il principio di Liceità, correttezza e trasparenza: i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato;
• Minimizzazione dei dati: i dati personali devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità
• Esattezza: i dati personali devono essere esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti
• Limitazione della conservazione: i dati personali devono essere conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati
• Integrità e riservatezza: i dati personali devono essere trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione dalla distruzione o dal danno accidentali.

In particolare, il concetto centrale su cui fa leva tutta la normativa, è quello del consenso: ai sensi dell’art. 4, n. 11, GDPR il consenso dell’interessato è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”.

Inoltre, anche alla luce delle Linee guida sul consenso ai sensi del regolamento 2016/679, risulta ancora più chiaro le modalità di trattamento. Circa le linee guida, si riporta testualmente:

“The crucial role of consent is underlined by Articles 7 and 8 of the Charter of Fundamental Rights of the European Union. Furthermore, obtaining consent also does not negate or in any way diminish the controller’s obligations to observe the principles of processing enshrined in the GDPR, especially Article 5 of the GDPR with regard to fairness, necessity and proportionality, as well as data quality”.

In altre parole occorre che i dati siano utilizzati secondo adeguatezza, pertinenza e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

I diritti dell’interessato ai sensi della normativa privacy

Se da una parte vengono elencati gli obblighi per i Titolari del trattamento, dall’altra vengono elaborati dei diritti a favore dell’interessato del trattamento, ovvero: l’informativa sul trattamento che deve essere presentata in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. L’interessato con l’informativa ha il diritto di essere informato sulla finalità del trattamento, sugli eventuali destinatari/utilizzatori dei dati, sul periodo di conservazione dei dati, sulle modalità per richiedere la rettifica o la cancellazione.

• Il Diritto di accesso: L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano.
• Il Diritto di rettifica e di cancellazione (o diritto all’oblio). L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica o la cancellazione dei dati personali inesatti che lo riguardano senza ingiustificato ritardo.
• Il Diritto alla portabilità dei dati. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti.
• Il Diritto di opposizione: L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali

Gli step necessari ai fini di un corretto adeguamento privacy: registro trattamenti, nomine responsabili e designati

Quando si procede all’adeguamento di una realtà ( più o meno strutturata) sarà indispensabile redigere alcuni documenti, tra i quali: il Registro dei Trattamenti, ex art. 30 GDPR.

Ogni titolare del trattamento ed il suo rappresentante è tenuto a conservare un registro delle attività di trattamento svolte sotto la propria responsabilità. All’interno di tale registro devono essere contenuti le seguenti informazioni:

• (i) il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati
• (ii) le finalità del trattamento;
• (iii) una descrizione delle categorie di interessati e delle categorie di dati personali;
• (iv) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali.

Il Titolo IV della precedente versione del Codice della Privacy, rubricato “soggetti che effettuano il trattamento”, individuava, tra le altre figure, quelle del responsabile e dell’incaricato al trattamento. Le differenze tra i due ruoli consisterebbero di fatto in una minore autonomia operativa del secondo rispetto al responsabile del trattamento e, conseguentemente, di un minore grado di responsabilizzazione, essendo un mero esecutore di compiti.

Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento ex art. 28 GDPR che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.

L’art. 29 del GDPR richiede invece che chiunque agisca sotto l’autorità del Titolare, e che abbia accesso a dati personali, debba essere destinatario di istruzioni relative al trattamento dei dati stessi.

Sebbene il Regolamento Europeo faccia riferimento a “soggetti autorizzati”, la nuova formulazione del Codice della Privacy utilizza la locuzione “soggetti designati”.

Si tratta di una mera distinzione terminologica in quanto non sono rinvenibili differenze sostanziali tra le due figure. L’art. 2-quaterdecies del Codice recita: “Il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell’ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità”. A questo scopo, il comma 2 dello stesso articolo prevede che il titolare o il responsabile del trattamento individuino le modalità più opportune per autorizzare al trattamento le persone che operano sotto la propria autorità diretta.

Il soggetto designato al trattamento dei dati personali è una persona fisica e non giuridica. Solitamente è “interno” alla struttura organizzativa aziendale, dipendente o collaboratore del titolare del trattamento.

Già in precedenza, con riferimento alla figura dell’incaricato l’Autorità Garante nazionale aveva rimarcato la sua compatibilità con le previsioni del GDPR, attraverso la seguente nota:

“Le disposizioni del Codice in materia di incaricati del trattamento sono pienamente compatibili con la struttura e la filosofia del regolamento, in particolare alla luce del principio di “responsabilizzazione” di Titolari e Responsabili del trattamento che prevede l’adozione di misure atte a garantire proattivamente l’osservanza del regolamento nella sua interezza. In questo senso, e anche alla luce degli artt. 28, paragrafo 3, lettera b), 29, e 32, paragrafo 4, in tema di misure tecniche e organizzative di sicurezza, si ritiene che Titolari e Responsabili del trattamento possano mantenere la struttura organizzativa e le modalità di designazione degli incaricati di trattamento così come delineatesi negli anni anche attraverso gli interventi del Garante”.