top of page

La tutela dei dati personali

Tutti sappiamo che esiste, ormai da diverso tempo, quella che viene comunemente chiamata “legge sulla privacy”, ma pochi di noi sono davvero informati sugli effetti pratici di questa normativa. 

 

Per permettere di orientarsi in questa materia, in modo semplice ed efficace lo Studio Maglio  & Partners ha deciso di mettere a disposizione di tutti una guida operativa di facile applicazione a vantaggio di tutti coloro che per motivi professionali devono svolgere attività di trattamento dei dati.

 

  1. Cos'è la privacy

  2. Cosa sono i dati personali 

  3. I principi fondamentali da conoscere per proteggere i dati personali

  4. Sei domande e sei risposte sul Regolamento Europeo UE  2016/679 (tratte da un' intervista all'avv, Marco Maglio sull'impatto del GDPR sull'attività economica e sull'assistenza legale rispetto a questo tema)

 

 

 

 

1. Cosa è la privacy

 

 

La privacy è un diritto fondamentale oggi riconosciuto dall’ordinamento giuridico di tutti i paesi europei e delle principali nazioni del mondo.

 

 

La sua affermazione come posizione giuridica tutelata ha richiesto un lento processo di riconoscimento in quanto fino alla fine del 1800 la legge proteggeva esclusivamente il diritto di proprietà e tutelava le persone rispetto alle invasioni fisiche della loro abitazione.

 

Solo alla fine del 1800 negli Stati Uniti è stato riconosciuto il diritto ad essere lasciati soli, cioè il diritto a impedire alle altre persone di invadere la sfera privata di ognuno di noi, indipendentemente dal luogo in cui tale violazione avveniva. Lentamente questo concetto è stato accettato e riconosciuto anche in Europa anche se nel corso degli anni ha subito una interessante evoluzione.

 

 

Fin dalla sua origine la privacy è stata intesa come uno strumento per proteggere la propria riservatezza e difendersi dai comportamenti invadenti di chi voleva violare questa aspettativa al segreto.

 

In un certo senso la privacy è lo strumento attraverso il quale ognuno di noi può disegnare un confine tra se stesso  e gli altri.

 

 Si tratta di una situazione giuridica che disciplina il modo in cui una persona vive in società nei confronti delle altre persone.

 

Proprio per questo motivo il concetto stesso di privacy ed il suo significato nel corso degli anni hanno subito profondi mutamenti, in relazione al mutare della società e degli strumenti tecnologici utilizzati comunemente.

 

Con l’affermazione delle moderne tecniche di comunicazione e la facilità di diffusione e duplicazione delle informazioni si è compreso che non era più sufficiente proteggere il diritto ad “essere lasciati in pace” e a non subire intromissioni non gradite nella propria vita privata.

 

Diventava invece sempre più importante evitare che le altre persone potessero abusare delle informazioni riferite ad un soggetto, raccogliendole a sua insaputa e utilizzandole per finalità non consentite. Se non venisse garantita questa tutela, ognuno di noi sarebbe sottoposto a pressioni, richieste e potrebbe subire conseguenze negative che limiterebbero fortemente la sua libertà e l’esercizio dei suoi diritti.

 

Per questo motivo nel corso del 1900 la privacy ha esteso il suo significato diventando uno strumento giuridico per garantire anche questa specifica situazione.

 

Il punto fermo di questa evoluzione è che ogni persona è titolare del diritto di disporre dei dati che la descrivono e che ne qualificano l’individualità.

 

La privacy è diventata così il diritto ad esercitare un controllo sulle informazioni che ci riguardano. In questo senso la privacy consiste: a) nel diritto di sapere che qualcun altro sta raccogliendo informazioni sul nostro conto e per quale finalità desidera utilizzarle; b) nel diritto di decidere se vogliamo consentire questa raccolta ed utilizzo o se preferiamo negare questo consenso.

 

Da questa evoluzione del concetto di privacy deriva l’attuale legislazione in materia di dati personali.

 

Quindi per capire il reale significato di queste regole è importante comprendere che  la tutela della privacy oggi si occupa principalmente di garantire il diritto fondamentale di esercitare il pieno e consapevole controllo sui nostri dati personali.

 

Quando si parla di privacy quindi oggi non si fa riferimento solo al diritto alla riservatezza, ma anche al nostro diritto di scelta circa l’uso che vogliamo gli altri facciano dei nostri dati personali.

 

Proprio per questo oggi la privacy è considerata un presupposto fondamentale per esercitare tutti i diritti che lo Stato ci riconosce. Infatti possiamo davvero sentirci liberi e privi di condizionamenti solo se possiamo essere certi che nessuno abbia raccolto informazioni sul nostro conto per motivi illeciti o senza il nostro consenso

 

2. Cosa sono i dati personali

 

Per poter comprendere bene le regole a protezione della privacy dobbiamo chiarire che cosa si intende per dato personale.

 

Troppo spesso si dà per scontato questo aspetto che, invece, è essenziale per comprendere le regole ed applicarle correttamente.

 

Secondo la normativa il dato personale è qualunque informazione relativa a persona fisica identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

 

Dato personale è anche un’immagine, un suono e qualunque notizia o informazione che sia riferibile ad un soggetto determinato o determinabile.

 

Tutti i codici identificativi, sia quelli ricavati da dati anagrafici (p. es. il codice fiscale), sia i codici univoci attribuiti ad una persona in base a criteri predefiniti (p. es. i codici cliente) sono dati personali.

 

Dato personale è quindi qualsiasi informazione riferita (o anche semplicemente riferibile tramite un codice) ad una persona: anche il numero di targa di una vettura riferita ad un proprietario o il numero di una polizza riferita ad un assicurato. Anche il tipo di riviste alle quali la persona è abbonata o la tipologia di acquisti effettuati per corrispondenza o tramite il telefono.

 

È assai comune pensare che il dato personale si identifichi con il nome e il cognome della persona interessata. Questo non è corretto. Il nome della persona interessata è semplicemente lo strumento attraverso il quale un’informazione può essere attribuita ad un soggetto determinato.

 

A questo proposito va ricordato che raramente i dati personali sono gestiti in modo isolato. Solitamente sono inseriti in una “banca dati” che viene definita come qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati, tali da facilitarne il trattamento.

 

Può succedere che in una banca dati siano contenuti solo il nome ed il cognome della persona interessata. A bene riflettere però anche in questo caso il nome e cognome della persona interessata non sono il “vero” dato personale. Semmai l’informazione preziosa che qualifica la banca dati, nella quale sono inseriti i dati anagrafici dell’individuo, è costituita dal fatto che in quella lista sono stati inseriti soggetti che sono accomunati da una caratteristica concreta (p. es. sono tutti acquirenti di prodotti per corrispondenza).

Una categoria particolare di dati personali sono i dati sensibili: si tratta dei dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Secondo questa definizione, in verità assai ampia e probabile fonte di problemi applicativi, la qualità di dato sensibile è collegata alla idoneità del medesimo a costituire strumento di conoscenza per rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale e a rivelare lo stato di salute e la vita sessuale della persona. In linea teorica, quindi qualsiasi dato, anche quello in apparenza più neutro e innocuo, può essere strumento idoneo a rivelare uno degli elementi sopra ricordati. Ad esempio, perfino il nome di una persona può essere idoneo a rivelare alcuni aspetti “sensibili” della sua sfera personale. Analizzando il cognome degli abitanti di una città sarà possibile discriminare, con buon margine di approssimazione, gli abitanti che hanno una certa origine etnica. Quindi non è tanto il dato personale ad essere in sé sensibile; quanto, piuttosto, l’uso del dato stesso che un soggetto possa farne.

 

Questa tipologia di dati è sottoposta ed un livello di protezione più elevato di quello previsto per i dati non sensibili.

 

 

3. I principi fondamentali da conoscere per proteggere i dati personali

 

Dopo aver chiarito cosa sono i dati personali passiamo a considerare su quali capisaldi si basa la legislazione per proteggere queste informazioni ed evitare abusi che violino la riservatezza delle persone cui si riferiscono quei dati.

 

Malgrado le norme che proteggono i dati personali siano molto complesse ed articolate, è possibile individuare alcuni principi fondamentali ai quali le regole si ispirano: è necessario conoscere questi principi per comprendere quali criteri garantiscono la protezione dei dati personali.

 

I principi fondamentali ricavati dalla lettura della normativa e dai provvedimenti delle autorità sono:

 

1.           Il diritto di ogni individuo alla protezione dei dati personali che lo riguardano

 

Si tratta della regola fondamentale (non a caso formulata in apertura del Codice in materia di dati personali, dall’articolo 1 del D. Lgs. 196/03) che attribuisce ad ogni individuo il diritto di pretendere che l’uso dei suoi dati personali si svolga nel rispetto dei suoi diritti e libertà fondamentali, nonché della sua dignità, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. A tal fine  il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento.

 

2.           Il principio di necessità nel trattamento dei dati

 

È il criterio che mira a limitare le raccolte ed i trattamenti di dati non necessari: a questo scopo la normativa (art. 3 del D. Lgs. 196/03) impone di configurare i sistemi informativi e i programmi informatici  riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi o attraverso opportune modalità che permettano di identificare l’interessato solo in caso di necessità.

 

In pratica si introduce un criterio di limitazione nella raccolta dei dati. Vanno raccolti solo i dati necessari per il trattamento che si intende  realizzare.

 

3.           Il principio di finalità

 

 È il principio che collega l’attività di raccolta dei dati personali con l’uso che di quelle informazioni viene fatto. In pratica questo principio consiste nell’obbligo posto a carico di chi effettua la raccolta di far conoscere all’interessato – all’atto della raccolta – la ragione per la quale i dati sono raccolti: questa finalità deve essere legittima, determinata e non incompatibile con l’impiego dei dati

 

4.           Il principio di autodeterminazione informativa

 

 Questa regola fissa il principio per il quale ognuno di noi ha il diritto di determinare l’ambito di comunicazione dei dati che lo riguardano. Quindi ogni individuo ha diritto di stabilire se ed in che misura le informazioni a lui riferite possono circolare ed essere conosciute dagli altri.

 

5.               Il principio di  correttezza

 

È un principio che riguarda la condotta di chi usa i dati personali: questo soggetto deve comportarsi garantendo la liceità e la correttezza del trattamento, tanto durante la raccolta quanto durante l’elaborazione vera e propria dei dati. Il trattamento è lecito quando è conforme alla legge, mentre è corretto quando la raccolta di dati avviene presso l’interessato in modo trasparente e non mediante ricorso ad artifizi e raggiri.

 

6.               Il principio di precauzione

 

 Nell’utilizzo dei dati personali occorre prevenire ogni forma di illecito utilizzo di trattamento di dati personali, anche per mera negligenza o imperizia. Pertanto chi tratta dati personali deve adottare qualsiasi cautela per evitare l’accesso a dati di provenienza non definita e di cui non sia possibile ricostruire le modalità di formazione.

 

In coerenza con questi principi fondamentali la normativa fissa esplicitamente alcune regole molto precise circa le modalità del trattamento ed i requisiti dei dati.

 

In particolare i dati personali oggetto di trattamento devono essere:

 

a) trattati in modo lecito e secondo correttezza;

 

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

 

c) esatti e, se necessario, aggiornati;

 

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

 

I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati

4.  Breve intervista all'avv. Marco Maglio sul Nuovo regolamento europeo ed economia dei dati personali in Italia

 

1) Se dovesse sintetizzare le caratteristiche essenziali del regolamento europeo in materia di dati personali cosa direbbe?

 

 

RISPOSTA: Il regolamento generale europeo sul trattamento dei dati personali è uno strumento essenziale per permettere una più efficiente gestione delle informazioni che sono ormai la materia prima per tutte le attività economiche. In questo senso si tratta di una normativa importante che aggiorna le regole approvate più di vent’anni fa quando ancora internet era nella sua prima fase di sviluppo ed i dati personali erano una entità molto più statica di quanto lo siano oggi. Ora i dati personali si generano da soli, potremmo dire, mentre noi usiamo gli oggetti che accompagnano le nostre vite: i pc, i tablet, gli smartphone, ma anche le auto collegate con le smartbox, gli elettrodomestici nelle case che utilizzano la domotica, le tecnologie indossabili e l’internet delle cose. Vent’anni fa i dati personali erano solo quelli che ognuno di noi forniva consapevolmente compilando moduli e form. Direi che basterebbe questa riflessione per far capire quanto sia cambiato il mondo e quanto sia necessario disporre di norme di nuova generazione che tengono conto di questa nuova realtà.

Senza dubbio si tratta di una normativa che rappresenta un salto di qualità notevole rispetto a un’impostazione tradizionale risalente a oltre 20 anni fa; infatti la prima direttiva comunitaria, del 1995, mostra ormai i segni del tempo. Era necessario dotarsi di una normativa di nuova generazione che tenesse conto del fatto che oggi i dati non vengono più forniti dalle persone solo in modo consapevole, ma vengono anche generati in modo inconsapevole da ciascuno di noi usando strumenti, collegandosi a internet, guidano le auto, indossando wearable device capaci di raccogliere informazioni preziose sulla nostra salute. I dati personali si accompagnano ai cosiddetti Metadati che danno valore aggiunto alle informazioni individuali. Insomma, i dati sono generati dalle attività quotidiane delle persone. Così i dati personali si generano mentre noi viviamo: si tratta di una dinamica che accompagna ognuno di noi nella nostra esistenza quotidiana. Forse oggi Cartesio non direbbe più “ Cogito ergo sum” ma “Genero dati personali quindi esito”.

Tutto questo è alla base del fenomeno dei big data, ed è anche il motivo per cui servivano dei criteri di gestione e delle regole di organizzazione che tenessero conto delle nuove tecnologie da un lato, dei possibili pericoli insiti in un utilizzo non appropriato dall’altro. Questo, dunque, è il tema del regolamento, ed ecco perché questo regolamento è così importante: si tratta di un testo con una valenza gigantesca in quanto nasce con l’intento di proteggere un patrimonio, una risorsa che è il dato personale, aiutando le imprese europee (e non solo) a valorizzarlo. E questo importante obiettivo può essere raggiunto trasformando la privacy da adempimento formale a processo produttivo. Un modo per creare valore attraverso le informazioni e i dati personali contenuti nei database.

Non solo: c’è poi la questione del ruolo cruciale assunto dalla protezione dei dati personali come presupposto delle nostre libertà individuali. Se le banche-dati esistenti vengono usate in modo indiscriminato è molto facile condizionare le persone, e indurle a comportamenti che possono restringere le loro libertà. Se non c’è un presidio vero nell’ambito delle informazioni personali sorgono rischi seri.

2) Quali sono le principali problematiche che un avvocato riscontra nel corso della sua attività per quanto concerne le aziende che trattano grandi quantità di dati ?

RISPOSTA: la difficoltà maggiore per queste società consiste nel fatto che le tecnologie si evolvono ad una tale velocità che è spesso difficile garantire una verifica adeguata del rispetto delle norme vigenti. Si tratta quindi di resistere alla tentazione di esplorare le nuove frontiere che queste aziende ogni giorno si trovano a dover superare senza valutare l’impatto legale e sociale di ciò che i big data rendono possibile. E’ un problema essenzialmente di velocità, anche perché non sempre i professionisti legali sono in grado di comprendere ciò che le tecnologie dei big data rendono possibile. Si tratta di un classico problema di crescita, che per le aziende dei big data è costante e velocissima.

3) Quanto è consapevole il mondo legale italiano del boom dell'economia basata sullo sfruttamento dei dati? e il legislatore nazionale?

 

RISPOSTA: Il mondo legale è spesso poco preparato e considera questi temi con il fastidio di chi non capisce di che cosa si sta parlando. E’ un problema di dimestichezza con le materie tecnologiche e con i temi del marketing (che con i big data sono strettamente correlati). Questo malgrado le norme italiane siano spesso all’avanguardia nel gestire questi temi. Basti pensare che in Italia affrontiamo il tema della gestione dei documenti informatici da oltre dieci anni con norme decisamente evolute e raffinate. Ma bisogna essere ottimisti perché le nuove generazioni di giuristi sapranno cogliere questa opportunità e rendere possibile lo sviluppo dei big data su basi solide dal punto di vista legale.


 

4) In quale settore economico italiano l'attenzione verso le tecniche di utilizzo dei dati è più accentuata?

RISPOSTA: Direi che le assicurazioni sicuramente guardano a questo argomento con convinto interesse. Ma anche il mondo farmaceutico, le aziende in prima linea nel settore del marketing e la pubblica amministrazione dimostrano sempre di più di capire quanto sia importante disporre di grandi masse di dati e di tecnologie in grado di estrarre conoscenza da queste informazioni.

5) Quali sono le competenze necessarie a un avvocato che voglia occuparsi di questo settore?

RISPOSTA: Oltre alla conoscenza delle norme di settore un buon avvocato è quello che si appassiona a ciò che le norme vogliono disciplinare. Quindi un bravo avvocato in materia di dati personali, big data e tecnologia è anche un esperto di flussi di informazioni e di organizzazione. Non a caso negli Stati Uniti chi si occupa di questi temi, anche dal punto di vista legale, viene sempre più spesso definito un Privacy Engineer. Ecco direi, con un piccolo paradosso, che un legale capace si occupa di questi temi con lo spirito organizzativo e propositivo tipico di un ingegnere. E ancora direi che per far bene questo lavoro ci vuole soprattutto tanta passione e curiosità intellettuale. Solo così si possono affrontare realtà in costante mutamento.

6) Come giudica l’economia italiana basata sui dati?

 

RISPOSTA: ritengo che abbia le classiche caratteristiche che rendono unico il nostro Paese. Siamo piccoli rispetto ai colossi di oltre oceano, ma siamo in grado di vedere ciò che gli altri nemmeno immaginano. E soprattutto siamo in grado di realizzarlo. Grazie alle tante occasioni di confronto che ho con realtà straniere posso dire con orgoglio che non manca niente all’Italia per essere protagonista assoluta nel mercato ampio dei big data. L’auspicio è che le istituzioni favoriscano queste potenzialità dando spazio a chi vuole trattare i dati per estrarre conoscenza al servizio del prossimo. In questo senso mi aspetto che nascano iniziative per favorire non solo le start up innovative, ma anche quelle che individuano nuove modalità di sfruttamento delle informazioni presenti nei dati aperti che le pubbliche amministrazioni da diversi anni hanno l’obbligo di rendere disponibili. Quella è una vera miniera d’oro a cielo aperto e sarebbe bello se in Italia si moltiplicassero le iniziative di big data che puntano sulla valorizzazione di questi asset pubblici.

 

 

 

 

Ancora 1
Ancora 2
Ancora 3
Ancora 4
bottom of page