top of page

Il Regolamento (UE) 2016/679: la nuova Privacy



INTRODUZIONE

Il 4 maggio 2016 è stato pubblicato il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che abroga la direttiva 95/46/CE.

Si tratta del Regolamento generale sulla protezione dei dati personali, ossia del c.d. Regolamento privacy europeo.

Il Regolamento armonizza – rectius, cerca di armonizzare – la disciplina della protezione dei dati personali che a livello comunitario era stata dettata appunto dalla Direttiva 95/46/CE, variamente trasposta nei diversi Stati membri dell’Unione.

Per quanto riguarda l’Italia sappiamo che la materia era stata dapprima governata dalla non troppo felice L. n.675/96, quindi dal D.Lgs. n.196/03, c.d. Codice privacy, entrato definitivamente in vigore a colpi di proroghe nell’arco dei successivi due anni.

Come si intuisce, da un lato la disciplina della protezione dei dati personali a livello comunitario era dettata nei vari Stati membri da normative che, pur operanti sotto l’ombra formale della medesima direttiva 95/46/CE, spesso invece presentavano sfumature, anche rilevanti, che le distinguevano tra di loro e creavano dei solchi tra Stato e Stato; dall’altro era divenuta sempre più anacronistica solo raffrontando il dato testuale con l’esponenziale sviluppo delle tecnologie di comunicazione, in primissimo luogo di internet e delle tecnologie mobile.

Si consideri inoltre come negli ultimi tempi la Corte di Giustizia fosse intervenuta con pronunce strategiche nei delicati temi del trattamento dei dati personali da parte dei motori di ricerca in relazione al c.d. diritto all’oblio (caso Costeja Gonzalez/Google Spain) e nel trasferimento dei dati personali al di fuori dell’Unione (in primis verso gli Usa), sostanzialmente sancendo l’illegittimità del c.d. regime del Safe Harbor, ossia di quel regime di “autocertificazione” per cui determinati sistemi nazionali extraeuropei potevano attestare che i propri operatori (ad esempio le società statunitensi) operassero autoconformando le proprie condotte a una disciplina analoga a quella comunitaria in tema di privacy.

Ancora, l’introduzione della riforma sui cookie, ossia sui file di testo che vengano a installarsi sui dispositivi degli utenti durante la navigazione web e che permettono una serie di tracciature (da quelle più semplici, di natura tecnica, a quelle statistiche, a quelle di una vera e propria profilazione commerciale), nell’ultimo paio d’anni aveva ulteriormente fatto irruzione nel sistema europeo (per l’Italia con la riforma dell’art.122 del Codice privacy, in vigore dal 2 giugno 2015).

A livello comunitario non era quindi più possibile affidarsi unicamente a una direttiva (cioè a uno strumento normativo di non diretta applicazione, ma richiedente la trasposizione nei singoli Stati), soprattutto nel momento in cui il sistema sociale stesso, in particolare nella c.d. società dell’informazione (internet e nuove tecnologie in genere), stava mutando e venendo a configurare ormai un unicum territorialmente inscindibile (internet è per definizione a-territoriale), per cui era divenuta ormai impellente l’adozione di una nuova disciplina uniforme e in particolare di diretta applicazione: appunto il Regolamento.

ENTRATA IN VIGORE

Si ritiene utile invertire l’ordine di esposizione ed anticipare fin da subito che il Regolamento, entrato in vigore il ventesimo giorno successivo alla sua pubblicazione, si applica dal 25 maggio 2018.

Ciò in quanto il Regolamento demanda ai singoli Stati Membri la facoltà di adeguare le rispettive normative interne nazionali in senso più stringente rispetto alle proprie disposizioni “minime”.

I singoli Stati Membri hanno quindi l’onere di valutare l’eventuale introduzione interna di un sistema più protezionista entro il prossimo biennio, decorso il quale il Regolamento costituirà comunque esso stesso la disciplina di immediata e diretta applicazione in materia.

AMBITO DI APPLICAZIONE

Ambito di applicazione soggettivo

Il Regolamento disciplina la protezione dai dati personali quale diritto fondamentale dell’Unione ed in particola mira a creare uno spazio di libertà, sicurezza e giustizia teso al progresso economico e sociale, al rafforzamento e alla convergenza delle economie nel mercato interno e al benessere delle persone fisiche (considerando 2), a prescindere dalla loro nazionalità e residenza.

Fin dai primi considerando ed in seguito dalle prime disposizioni, in primo luogo il Regolamento chiarisce quindi come la disciplina, dal lato dei destinatari della protezione, sia dettata esclusivamente a tutela delle persone fisiche, in quanto il «dato personale» è una qualsiasi informazione riguardante appunto (solo) una persona fisica identificata o identificabile (il c.d. «interessato»).

I dati delle persone diverse (persone giuridiche ed assimilate) non rientrano quindi nell’alveo generale di applicazione della normativa ed in ciò il Regolamento ha mantenuto quella linea che a livello comunitario – ed anche in Italia, dal 2012 – aveva negli ultimi anni ristretto l’oggetto della protezione appunto solo alle persone fisiche.

Ambito di applicazione territoriale

Dal lato degli obblighi attivi alla protezione il Regolamento ha invece innovato introducendo anche nel sistema privacy il concetto di “stabilimento”, per cui la disciplina si applica:

  • sia al trattamento dei dati personali effettuato nell'ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione;

  • sia al trattamento dei dati personali di interessati che si trovano nell'Unione, effettuato da un titolare del trattamento o da un responsabile del trattamento che non è stabilito nell'Unione, quando le attività di trattamento riguardano:

a) l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;

oppure

b) il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione;

  • sia al trattamento dei dati personali effettuato da un titolare del trattamento che non è stabilito nell'Unione, ma in un luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico (considerando 22 e ss. ed art. 3).

Ambito di applicazione oggettivo

Il Regolamento chiarisce poi di applicarsi al trattamento automatizzato e non di dati personali e di non applicarsi invece ai trattamenti:

a) effettuati per attività che non rientrano nell'ambito di applicazione del diritto dell'Unione;

b) effettuati dagli Stati membri nell'esercizio di attività che rientrano nell'ambito di applicazione del titolo V, capo 2, TUE;

c) effettuati da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico; d) effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse.

Il Regolamento esplica infine di non voler pregiudicare in ogni caso l’applicazione della direttiva 2000/31/CE su taluni aspetti della società dell’informazione, con particolare riferimento ai profili di responsabilità (e relative esclusioni di responsabilità) dei prestatori intermediari di servizi, ossia dei c.d. Internet Service Provider (responsabilità per l’attività di mere conduit, caching e hosting).

Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell'Unione, il Regolamento rinvia infine al Regolamento (CE) n. 45/2001.

I PRINCIPI DELLA PRIVACY: PRINCIPI CONSOLIDATI E PRINCIPI DI NUOVA INTRODUZIONE

Il Regolamento ha riservato una particolare attenzione ai principi informatori della materia, utilizzati in modo rilevante anche dalla recente giurisprudenza della Corte di Giustizia in fase di interpretazione della vecchia direttiva del 1995, ad esempio laddove ha enucleato l’ormai noto diritto all’oblio proprio sulla base dei principi di «pertinenza» e «non eccedenza».

Accanto a tali due principi basilari, per cui il dato deve essere trattato negli stretti limiti e contesti per cui esso effettivamente serve allo scopo («minimizzazione dei dati»), nonché a quelli generali di «liceità, correttezza e trasparenza», oltre che di «esattezza» ed aggiornamento e di «integrità e riservatezza», la riforma comunitaria ha introdotto o chiarito altri importanti principi, come tali:

  • quello della «limitazione della finalità», secondo cui il trattamento è lecito fintantoché non sia incompatibile con l’originaria finalità per cui esso era stato concesso (ed in questo il principio si avvicina molto alla pertinenza e non eccedenza);

  • quello della «limitazione della conservazione», per cui i dati personali possono essere conservati per il tempo necessario al raggiungimento dello scopo ed eccezionalmente possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, venendo detti interessi di natura lato senso pubblicistica a compensare nel bilanciamento l’interesse privato alla riservatezza.

LE CONDIZIONI DI LICEITA' DEL TRATTAMENTO: IL CONSENSO AL TRATTAMENTO ED I CASI DI SUA ESCLUSIONE; L'INFORMATIVA

I casi di consenso e di sua esclusione per necessità del trattamento

A norma del Regolamento, viene mantenuta la condizione minima di liceità del trattamento, rappresentata ordinariamente dal consenso dell’interessato, ovviamente informato e specifico per singole finalità (e qui rinviamo al tema dell’informativa, a seguire).

Altrettanto ovviamente il consenso è revocabile e l’eventuale revoca non inficia la liceità del trattamento passato, intervenendo solo per il futuro.

Tale consenso può invece essere sostituito dal requisito della necessità del trattamento che può configurarsi nei seguenti casi:

  • quando il trattamento è necessario all'esecuzione di un contratto di cui l'interessato è parte o all'esecuzione di misure precontrattuali adottate su richiesta dello stesso;

  • quando il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

  • quando il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato o di un'altra persona fisica;

  • quando il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

  • quando il l trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Sul punto il Regolamento, come già anticipato, demanda agli Stati Membri la possibilità di mantenere o introdurre disposizioni più specifiche nei propri ambiti nazionali.

La specificità del consenso

Nei casi in cui il consenso sia condizione per la liceità del trattamento, esso deve risultare da apposita dichiarazione scritta che, laddove la richiesta riguardi anche altre questioni, sia chiaramente distinguibile dalle altre materie, comprensibile e facilmente accessibile, esposta in un linguaggio semplice e chiaro.

Norme particolari sono dettate per l'offerta diretta di servizi della società dell'informazione (servizi web e simili) ai minori, per cui in questi casi il consenso è lecitamente prestato dal minore stesso ove egli abbia almeno 16 anni: una sorta di “maggiore età” ai fini privacy per il trattamento di dati online ed assimilati.

Per età inferiori il consenso deve invece provenire da chi rappresenti la potestà genitoriale.

Anche in questo caso gli Stati Membri possono peraltro derogare alle disposizioni regolamentari, in senso anche più liberale, abbassando il suddetto limite di età a 13 anni.

Il trattamento dei dati sensibili e giudiziari

L’art. 9 del Regolamento detta inoltre tutta una serie di regole specifiche per trattamenti particolari, con particolare riferimento ai dati idonei a rivelare l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (ossia i dati già conosciuti come “dati sensibili”).

Per questi dati la regola ordinaria è quella del divieto di trattamento, tranne le eccezioni ivi disciplinate tra cui è il caso di menzionare, oltre a quella dell’avvenuto consenso per una o più finalità specifiche, le seguenti:

  • trattamento necessario in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, conformemente al diritto dell'Unione o degli Stati membri od al contratto collettivo;

  • trattamento necessario per la tutela di un interesse vitale;

  • trattamento effettuato da organizzazione senza scopo di lucro nell'ambito delle legittime attività perseguite per finalità politiche, filosofiche, religiose o sindacali, in relazione ai dati degli membri (attuali ed ex) e delle persone con cui tali enti abbiano contatti legittimi;

  • trattamento necessario per l’esercizio di un diritto in sede giudiziaria;

  • trattamento necessario per motivi di interesse pubblico rilevante;

  • trattamento necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali;

  • trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici;

  • trattamento necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Anche in questo caso gli Stati Membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.

Analoghe regole sono dettate per il trattamento di dati giudiziari.

L’informativa

Il trattamento è inoltre lecito qualora sia rispettata la condizione, minima ed indispensabile oltre che generalmente preventiva, dell’informativa.

L’informativa deve riguardare quanto già previsto dalla legislazione attuale (per l’Italia, dall’art. 13 del Codice Privacy, di recente in abbinamento con l’art. 122 per quanto riguarda la gestione dei cookie), ossia:

  • le generalità del titolare;

  • le finalità del trattamento;

  • i destinatari nel caso di comunicazione dei dati;

  • il legittimo interesse perseguito nei casi applicabili (cioè quando il trattamento è legittimato dal suo perseguimento).

Le novità introdotte dal Regolamento riguardano invece la previsione di specifiche informazioni:

  • circa la base giuridica del trattamento, per cui quindi l’informativa dovrà espressamente descrivere il quadro normativo all’interno del quale il trattamento andrà ad eseguirsi, ciò al fine di poter comprendere se esso sia legittimo o meno in relazione al diritto dell’Unione e degli Stati Membri, tenuto conto in particolare delle eventuali restrizioni che essi potranno apportare a singole parti della disciplina applicabile;

  • circa l'intenzione del titolare di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e circa l'esistenza o l'assenza di una decisione di adeguatezza della Commissione (ossia di una decisione analoga a quella già adottata agli inizi degli anni 2000 per il c.d. Safe Harbor, poi in realtà ritenuta illegittima dalla Corte di Giustizia), con il riferimento