0

L’informativa privacy: i diritti dell’interessato al trattamento dati

Quante volte avrai firmato un’informativa privacy?
Quante volte l’avrai letta davvero?
In apparenza potrebbe sembrare solo una lista sconfinata di richieste sul trattamento dei propri dati personali eppure, in realtà, l’informativa contiene anche molte facoltà che il soggetto interessato (ossia colui che fornisce i propri dati) può esercitare.
Ancora una volta, per chi ha già seguito la mia rubrica, la fonte normativa di riferimento è il famoso GDPR, ossia il Regolamento europeo n.679 del 2016 che, agli artt. 15 e ss. , elenca i diritti dell’interessato.
Di seguito andremo ad analizzare i più rilevanti.

Il diritto di accesso (art.15 GDPR)

Il primo importante diritto da considerare è il diritto di accesso che, ai sensi dell’art. 15 del GDPR, è inteso comeil diritto, in capo all’interessato, di richiedere al titolare del trattamento di prendere visione o di estrarre copia dei vari tipi di documenti a lui riferibili”.
Questa disposizione rientra nell’applicazione del più generale principio di trasparenza del trattamento dei dati personali, di qui la ragione del suo gratuito esercizio.
Se l’interessato richiede di accedere ai propri dati, il titolare ha l’onere di fornirgli la copia dei dati personali oggetto di trattamento nonché ulteriori informazioni, tra cui: le finalità del trattamento; le categorie di dati personali trattati; i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati; il periodo di conservazione dei dati personali.

Tempistiche
Quando l’interessato esercita il diritto di accesso al proprio fascicolo, il titolare è tenuto ad informarlo entro un mese dal ricevimento della richiesta e, in caso di ritardo, è obbligato a darne giustificazione precisando i motivi e comunicando la facoltà di proporre reclamo all’autorità garante o il ricorso all’autorità giudiziaria.

Il diritto di rettifica (art.16 GDPR)

Nell’ipotesi in cui i dati personali risultino inesatti, l’interessato ha la facoltà di rettificarli ottenendo l’integrazione dei dati incompleti oppure anche fornendo una dichiarazione integrativa.
N.B. Anche questo diritto deve esser reso esercitabile senza ingiustificato ritardo da parte del titolare del trattamento.

Il diritto di limitazione di trattamento (art.18 GDPR)

L’art. 18 del GDPR prevede che l’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento.
Ma in quali casi questa facoltà è esercitabile da parte dell’interessato?

• durante il periodo necessario al titolare del trattamento per verificare l’esattezza dei dati personali qualora l’interessato ne abbia contestato l’esattezza;
• se il trattamento è illecito e l’interessato, anziché opporsi alla cancellazione dei dati personali chiede, invece, che ne sia limitato l’utilizzo;
• quando, benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
• qualora l’interessato si sia opposto al trattamento dei suoi dati personali, ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.


Il diritto di opposizione (art. 21 del GDPR)

Attribuisce all’interessato il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano.
A seguito dell’esercizio di tale diritto, il titolare potrà continuare a trattare i dati in suo possesso solo se dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Il diritto alla portabilità dei dati (art. 20 del GDPR)

Ha come obiettivo quello di facilitare la circolazione, la copia o il trasferimento dei dati personali fra vari ambienti informatici senza impedimenti, favorendo la condivisione di dati personali fra titolari del trattamento sotto il controllo dell’interessato che esercita, in questo modo, una gestione diretta delle proprie informazioni personali.
Attraverso questo diritto, infatti, l’interessato ha la facoltà di ricevere in un formato strutturato e di uso comune i dati personali che lo riguardano forniti ad un titolare del trattamento in modo tale da poterli trasmettere ad un altro titolare del trattamento.
N.B. Una volta che sia dato seguito alla richiesta di portabilità, il titolare non è responsabile del trattamento effettuato dal singolo interessato o da un’altra società che riceva i dati in questione.

Ma arriviamo adesso all’analisi di uno dei diritti più importanti e discussi previsto dal GDPR per via delle gravi ripercussioni che il suo mancato esercizio può comportare nel mondo fluido e senza confini del web: il diritto all’oblio.

Ai sensi dell’art. 17 del suddetto regolamento “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo”.
Il diritto all’oblio si configura, così, come il diritto ad “essere dimenticati” relativamente ai dati risalenti nel tempo, con riguardo, soprattutto, ai precedenti giudiziari o ad eventuali condanne penali.
Affinché l’interessato possa esercitare il diritto all’oblio, occorre che si verifichi uno dei requisiti indicati dallo stesso art. 17 del GDPR:

• i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti;
• l’interessato revoca il consenso su cui si basa il trattamento;
• l’interessato si oppone al trattamento (esercita quindi il diritto di opposizione, ai sensi dell’art. 21, paragrafo 1, del GDPR, oppure perché i dati sono trattati per finalità di marketing diretto, ai sensi dell’art. 21, paragrafo 2, del GDPR);
• i dati personali sono stati trattati illecitamente;
• i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
• i dati personali sono stati raccolti relativamente all’offerta diretta di servizi della società dell’informazione ai minori.

La tutela del diritto all’oblio è considerata una espressione del diritto alla riservatezza, nell’accezione di diritto a veder “restaurata la propria intimità”.
Restano escluse dal diritto all’oblio le ipotesi in cui il trattamento dei dati è necessario per l’esercizio del diritto alla libertà di espressione e di informazione oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (art. 17, paragrafo 3, de GDPR).

Un po’ di giurisprudenza…

La prima formale esplicazione della sussistenza del diritto all’oblio quale espressione del diritto alla privacy si è avuta con la decisione Google Spain del 2014 (Google Spain contro Agencia Española de Protección de Datos (AEPD) e Mario Costeja González) in cui la Corte di Giustizia si è pronunciata in riferimento a vicende personali diffuse online che non siano più di pubblico interesse. In particolare, la Corte ha stabilito che sia meritevole di tutela l’interesse del soggetto a eliminare dagli elenchi dei risultati delle ricerche le pagine che ospitano contenuti pregiudizievoli nella circostanza in cui sia trascorso un significativo lasso di tempo dalla pubblicazione della notizia.
La tutela è apprestata anche nel caso in cui la pagina internet indicizzata contenente l’informazione non venga rimossa dal sito sorgente con la conseguenza che il motore di ricerca può essere obbligato alla rimozione dei dati personali anche se i siti sorgente non li hanno rimossi.
L’aspetto rilevante di tale pronuncia, inoltre, riguarda la facoltà di ogni soggetto si richiedere la rimozione dall’indice di Google di informazioni “inadeguate, non pertinenti, o non più pertinenti, ovvero eccessive in rapporto alle finalità per le quali sono stati trattati e al tempo trascorso”.
Infatti, ad avviso della Corte:


i diritti fondamentali prevalgono, in linea di principio, non soltanto sull’interesse economico del gestore del motore di ricerca, ma anche sull’interesse del pubblico ad accedere all’informazione in occasione di una ricerca concernente il nome di una determinata persona”.

Per una lettura integrale di quest’importantissima sentenza si rimanda al seguente link:

https://www.garanteprivacy.it/documents/10160/0/CGUE+C-131+12+GoogleSpain-Sentenza.pdf

0

Artificial Intelligence as Artist: un nuovo paradigma per il diritto d’autore cinematografico?

L’intelligenza artificiale (dall’inglese Artificial Intelligence, di seguito AI) – nel porre nuove sfide in quei settori in cui l’intelletto (ingegno) umano è la  conditio sine qua non un’opera non sarebbe altrimenti tutelabile – ha aperto la strada a nuovi paradigmi sociali, organizzativi e lavorativi.

Un hot topic che porta con se implicazioni tanto di natura etica quanto legale. Numerose sono infatti le problematiche che stanno emergendo dal suo diffuso utilizzo.

Autorialità: la creatività simulata dall’intelligenza artificiale può essere tutelata?

Una delle questio su cui ampiamente si sta dibattendo riguarda l’autorialità sulle opere create dall’AI: ci si chiede se sia possibile tutelarle al pari di quelle umane.
A fronte del silenzio normativo causato dall’assenza – sia nelle leggi nazionali sul diritto d’autore o Copyright (per i sistemi di Common Law) che per la normativa internazionale – di una dettaglia definizione di autorialità, la giurisprudenza nazionale e sovranazionale è intervenuta affermando, in numerose sentenze, che la creatività e l’originalità dell’opera riviene la propria ragion d’essere nell’ingegno dell’essere umano. A tal riguardo, con la sentenza Infopaq C-05/08 CGE, la Corte ha statuito che l’opera è tutelata quale “risultato della creazione intellettuale dell’autore”. Su questa linea, la WIPO ha tentato di definire il concetto di proprietà intellettuale collegandolo alla “creazione della mente”. In entrambi i casi, lo sforzo chiarificativo è stato vanificato – ad avviso di chi scrive – da definizioni poco dettagliate, accrescendo l’incertezza in materia. Non risulta, infatti, alcuna specifica circa la necessaria natura umana dell’autore e/o della mente.

Il dibattito sembra essersi acceso soprattutto negli ultimi anni, a seguito di un’accelerazione creativa da parte dell’AI, la quale, in misura maggiore, ha mostrato ampie abilità nella creazione spontanea di opere, senza che vi fosse alcun intervento umano. Dietro una tale capacità, secondo alcuni studiosi, vi è un processo cognitivo artificiale che simula il funzionamento neuronale del cervello umano combinando e mixando un’immensa mole di input che restituiscono un output umanamente non prevedibile.

Tuttavia, discutere di riconoscimento dell’autorialità in capo ad una macchina intelligente significa immetersi su di un campo minato. Allo stato attuale bisogna ricordare che non vi è alcun personalità giuridica riconosciuta, pertanto il discorso sembra essere aleatorio. E forse, affinchè questo riconoscimento possa trovare attuazione dovrà trascorrere ancora qualche decennio.

Dunque, allo stato attuale l’AI viene ancora considerata come mero “tool” al pari di una semplice macchina da presa o fotografica. Ma giuridicamente parlando, non vi è alcun esplicito riferimento normativo che  garantisca una protezione, seppur minima, alle opere create dall’AI. Forte, infatti, risulta essere il richiamo all’essere umano. In assenza di questo requisito fondamentale, come affermato da molti ricercatori del settore, l’opera cadrebbe in automatico nel pubblico dominio.

La necessaria umanità dietro l’opera creata rinviene la propria ratio giustificatrice nel fatto che la legge sul diritto d’autore pone la propria attenzione sull’autore (persona fisica) e non sull’opera in quanto tale. La complessità della questione risulta proprio dall’ancoraggio dell’autorialità dibattuta ad un approccio utilitaristico della normativa.

Se non Artificial Intelligence, chi?

A riguardo diverse sono le teorie che cercano di individuare il soggetto in capo a cui riconoscere una tutela autoriale. Colui che ha realizzato la macchina stessa, al programmer (colui che ha provveduto all’inserimento degli algoritmi) o allo users?Ovvimente, non si potrà giungere ad una vera e propria definizione della questione. Allo stato attuale, ogni singolo caso dovrà essere valutato di volta in volta. Pertanto, seguendo la scia di molti studiosi e avvocati del settore, l’unica azione legislativa interessante potrebbe essere la creazione di una normativa ad hoc.

Cosa dobbiamo aspettarci?

Il dibattito su temi riguardanti l’autorialità e l’originalità circa opere create dall’AI resta aperto. Prima che vengano tirate le somme saremo costretti ancora a brancolare nel buio dell’universo giuridico, affidandoci a diverse interpretazioni e orientamenti. Ciò sembra terribilmente vero soprattutto nei paesi di Civil Law, mentre qualche passo in avanti è stato compiuto nei paesi di Common law, ed in particolar modo nel Copyright, Designs and Patents Act 1988 (CDPA), la quale, all’articolo 9 (3), con un richiamo specifico al computer generetd work, sembra aver fatto un passo avanti, sebbene la norma sia stata travolta da un tornado interpretativo che spinge in direzioni diverse.

Posto che avere una visione troppo fantascientifica dell’AI come autore, almeno allo stato dell’arte, non ci porta molto lontano. È necessario comprendere, alla luce delle recenti evoluzioni tecnologiche, su cosa vada ad incidere questo cambiamento. Sicuramente bisognerà focalizzarsi sui modelli di business rendendoli più conformi all’esigenza di tutela.

In conclusione, oggi l’AI viene ancora considerata come un semplice tool, al pari di una  macchina fotografica o una macchina da presa. Personalmente trovo questa equiparazione svilente, in quanto questo sistema, soprattutto attraverso il Machine learning, è più di un semplice supporto strumentale. Per cui forse, una normativa ad hoc dovrebbe essere il prossimo passo da intraprendere, pur ammettendo che fino a quando non si procederà al riconoscimento della personalità giuridica, sarà impossibile ottenere una tutela autoriale.
Inoltre, bisognerà cambiare la prospettiva sulla teoria utilitaristica. Ossia, incentivare i ricercatori nella produzione di macchine sempre più intelligenti ed autonome, consentono il progresso della società, senza mai svilire l’uomo e il suo apporto nel lavoro.


Articolo a cura dell’Avv. Angela Patalano

0

La nuova figura professionale del DPO (Data Protection Officer)

Nel contesto aziendale e delle pubbliche amministrazioni si sente parlare, in misura sempre maggiore, di una nuova figura professionale, spesso abbreviata con l’acronimo DPO.
Parliamo del Data Protection Officer o Responsabile per la protezione dei dati, una figura nata a seguito dell’entrata in vigore del Regolamento (UE) n.679 del 2016 (GDPR) che è divenuto pienamente applicabile dal 25 maggio 2018.

Il DPO rappresenta il principale referente per la protezione dei dati personali e la sua nomina interessa tutte le aziende e gli enti che effettuano il trattamento dei dati sia nel settore pubblico che privato.

Cosa c’è di innovativo in questa figura professionale?

La figura del Data Protection Officer rappresenta l’evoluzione del Privacy Officer, previsto dalla Direttiva Europea 95/46.

Tuttavia, questo ruolo si afferma in Europa già a partire dal 1977, anno in cui la legge nazionale tedesca sulla protezione dei dati personali rese obbligatoria, in presenza di determinati requisiti, l’assunzione in ambito aziendale del Responsabile per la protezione dei dati.

Alla fine degli anni ’90 la figura del Privacy Officer si diffonde anche negli Stati Uniti determinando anche agli inizi del Duemila una crescita esponenziale del numero di Privacy Officer assunti da aziende statunitensi ed anche europee.

Al contrario in Italia la figura del Data Protection Officer ha stentato a trovare un’opportuna diffusione, tuttavia, in seguito all’ entrata in vigore del suddetto Regolamento europeo, la sua designazione è diventata obbligatoria.

Quando la nomina del Responsabile della protezione dati è obbligatoria?

Ai sensi dell’art. 37, par. 1, del Regolamento (UE) 2016/679, la nomina di un RPD è obbligatoria in tre casi specifici:

  • se il trattamento è svolto da un’autorità pubblica o da un organismo pubblico;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che richiedono il monitoraggio regolare e sistematico di interessati su larga scala;
  • se le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali o reati.

Le Linee guida sui responsabili della protezione dei dati del 5 aprile 2017 forniscono, a titolo esemplificativo, un elenco di soggetti tenuti alla nomina del RPD ed una lista delle eccezioni disponibile cliccando sul seguente link: 

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/8036793#3

Occorre chiarire che per la dicitura “monitoraggio regolare e sistematico” è da intendersi il monitoraggio effettuato periodicamente o in via continuativa come avviene, ad esempio, mediante la profilazione online.

Mentre, per “trattamenti su larga scala” si definiscono le attività che «mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato per le libertà e i diritti degli interessati».

In particolare, sono quattro gli elementi da tenere in considerazione per valutare se il trattamento viene effettuato o meno su “larga scala”:

• il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;

• il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; 

• la durata, ovvero la persistenza, dell’attività di trattamento;

• la portata geografica dell’attività di trattamento.

Per approfondire la definizione dei suddetti requisiti si rimanda alla lettura del paragrafo 91 del GDPR il cui testo integrale è disponibile al seguente link:

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6264597

A chi spetta la nomina del DPO?

Secondo quanto disposto dall’art. 37, par. 1, del Regolamento europeo, la nomina del RPD è un compito attribuito sia ai titolari che ai responsabili del trattamento, difatti, il Data Protection Officer non sostituisce il titolare e l’incaricato del trattamento, ma si affianca ad essi.

Con riferimento all’atto di nomina, occorre, poi, operare una distinzione a seconda che il ruolo sia affidato ad un soggetto esterno oppure interno dell’azienda/ente:

  • se il DPO scelto è già all’interno dell’ente è necessario formalizzare un atto di designazione come Responsabile per la protezione dei dati;
  • nel caso in cui il DPO sia, invece, un soggetto esterno all’ente, la designazione sarà parte integrante del contratto di servizi redatto secondo quanto previsto dall’art. 37 del Regolamento.

Nell’atto di designazione devono essere individuate espressamente le generalità del soggetto che opererà come RPD e devono essere indicati i compiti e le funzioni assegnate.

Quali sono i suoi requisiti?

Innanzitutto, bisogna sottolineare che il ruolo di RPD può essere ricoperto esclusivamente da una persona fisica, supportata, se necessario, da un team.

Ai sensi dell’art. 37, par. 5, del Regolamento (EU) 2016/679, il titolare del trattamento è tenuto a designare il Responsabile per la Protezione dei dati «in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati» e della capacità di assolvere i compiti lui attribuiti dall’art. 39 del Regolamento stesso.

In linea generale, dunque, il DPOdeve avere almeno le seguenti competenze:

• conoscenza approfondita delle disposizioni normative in materia di privacy, sul piano sostanziale e applicativo;

• padronanza dei requisiti tecnici per privacy by design, privacy by default e sicurezza dei dati;

• conoscenza specifica del settore merceologico nel quale opera il titolare del trattamento, con riguardo anche alla dimensione organizzativa ed alla tipologia dei dati trattati;

• capacità di eseguire ispezioni, consultazioni, analisi documentali e di file log;

• capacità di lavorare con le rappresentanze dei lavoratori.

Inoltre, come ha chiarito il Garante italiano per la protezione dei dati personali, il DPO deve poter riferirsi direttamente al vertice aziendale ed agire in una condizione di indipendenza (ossia non ricevendo istruzioni per quanto riguarda l’esecuzione dei suoi compiti) ed autonomia (disponendo di risorse umane e finanziarie adeguate).

Quali sono i compiti del DPO?

Ai sensi dell’art. 39 del Regolamento (UE) 2016/679 il RPD ha il compito di:

• informare e consigliare il titolare o il responsabile del trattamento e i dipendenti sugli obblighi previsti dalle norme in materia di protezione dei dati e verificare l’attuazione e l’applicazione delle stesse;

• fornire pareri in merito alla valutazione d’impatto sulla protezione dei dati e verificarne gli adempimenti;

• raccolta di informazioni per individuare i trattamenti svolti; 

• analisi e verifica dei trattamenti in termini di loro conformità;

• attività di informazione, consulenza e indirizzo nei confronti di titolare o responsabile dei dati.

Il controllo del rispetto del Regolamento sulla protezione dei dati non implica, tuttavia, che il DPO sia personalmente responsabile in caso di inosservanza.

Il rispetto delle norme in materia di protezione dei dati rientra, infatti, nella responsabilità d’impresa del titolare del trattamento.

Articolo a cura della Dott.ssa Camilla Marotta

0

Il diritto alla riservatezza nell’era digitale 

Quante volte avrai sentito nominare la parola privacy negli ultimi tempi?
Oggi proviamo a scoprire insieme il vero significato di questo termine.

La difficoltà generale è che quando si parla di diritti, in particolare di diritti legati allo sviluppo di nuove tecnologie, ci si trova dinanzi ad un concetto così astratto che solo tramite una maggiore conoscenza degli strumenti è possibile individuare gli effettivi aspetti concreti.

Per tale ragione approfondiamo l’argomento fornendo alcuni chiarimenti utili per meglio comprendere questo importantissimo diritto.

Cos’è la privacy?

Il diritto alla “privacy” può essere definito come il diritto di ciascun individuo a gestire le proprie informazioni personali decidendo come, quando ed in che misura queste informazioni devono essere rese note agli altri al fine di controllare la propria sfera relazionale.

In senso più generale si parla di diritto alla riservatezza inteso quale diritto ad impedire la divulgazione dei propri dati sensibili.

Questa concezione di riservatezza è frutto dell’evoluzione di una visione fortemente individualistica del concetto di sfera personale, la cui salvaguardia si considerava sufficientemente assicurata tramite l’imposizione ai terzi di un generale divieto di porre in essere comportamenti intrusivi tali da interferire con il diritto di mantenere privata la propria vita domestica e familiare.

Con l’avvento della tecnologia dell’informazione si è avuto, tuttavia, un progressivo ampliamento della nozione di sfera privata, la cui tutela non è più tesa alla conservazione di profili di segretezza quanto, piuttosto, al controllo dei propri dati personali a causa della massiccia diffusione di informazioni veicolate dalle reti telematiche, immagazzinate dalle banche dati pubbliche o private.

L’attribuzione agli interessati di un autonomo potere di controllo si sostanzia nella previsione di un diritto di accesso che, ai sensi dell’art. 15 del Regolamento generale sulla protezione dei dati (meglio noto come GDPR), conferisce all’interessato la possibilità di richiedere al soggetto titolare del trattamento dei suoi dai personali di prendere visione o di estrarre copia dei vari tipi di documenti a lui riferibili, in applicazione del più generale principio di trasparenza del trattamento dei suddetti dati.


Lo sapevi che?

La prima teorizzazione del diritto alla riservatezza risale al lontano 1890, anno in cui gli studiosi americani Warren e Brandeis pubblicarono un articolo sul tema.

Nell’immediato, l’impostazione dei due studiosi non fu seguita dalla giurisprudenza, sicchè le prime sentenze che si uniformarono al riconoscimento di un principio generale di tutela della sfera privata si ebbero solo a partire dal 1905.

Le fattispecie concrete cui era prestata tutela erano essenzialmente quattro e si manifestarono, inizialmente, in riferimento alla violazione della sfera privata di personaggi notori attraverso:

• l’intrusione nell’intimità spaziale dell’attore (intercettazioni di conversazioni private con l’ausilio di microfoni);
• le pubblicazioni non autorizzate di fatti penosi o sconvenienti della vita privata;
• l’inserimento in annunci pubblicitari con nome o foto, in mancanza di autorizzazione da parte dell’interessato; 
• i casi in cui un individuo è posto in cattiva luce agli occhi di terzi (tramite l’attribuzione, per esempio a un soggetto di pensieri od opinioni che non gli appartengono).

Oltreoceano, invece, le prime aperture nei confronti di questo nuovo diritto si ebbero intorno alla prima metà del ‘900 in Germania e, successivamente, in Francia dove, nel 1970, fu inserita nel Code Civil una norma che prevedeva chiaramente il diritto di «ognuno al rispetto della sua vita privata».

In Italia, il riconoscimento del diritto alla riservatezza si deve all’ apporto della giurisprudenza della Corte di Cassazione che, in una sentenza del 1975, concepì l’esistenza di un vero e proprio diritto alla riservatezza.

Quali norme tutelano la tua privacy?

L’insieme dei cambiamenti tecnologici ha sicuramente influenzato le possibilità e le modalità di trattamento delle informazioni personali facendosi strada la necessità di tutela del diritto all’autodeterminazione informativa inteso come diritto di scelta delle informazioni suscettibili di circolazione.

La complessità della materia ha indotto il legislatore comunitario a realizzare molteplici interventi normativi le cui disposizioni fondamentali sono attualmente racchiuse nel Regolamento Europeo n.679 del 2016 che prende atto delle nuove sfide per la protezione dei dati che l’evoluzione tecnologica e la globalizzazione comportano.

Il suddetto regolamento comunitario, meglio conosciuto con il nome GDPR (General Data Protection Regulation), ovvero il Regolamento generale sulla protezione dei dati, introduce una nuova impostazione in materia di privacy, e fornisce una disciplina unitaria sul trattamento dei dati rispondente alle attese del processo globale di digitalizzazione.

Il recente intervento ribadisce la centralità dei principi di liceità, correttezza e trasparenza così come la necessità del consenso dell’interessato in materia di trattamento dei dati personali.

Inoltre, introduce una nuova definizione di dato personale, da intendersi come qualsiasi informazione riguardante una persona fisica identificata o identificabile, e sancisce il nuovo principio di accountability, ossia il principio di responsabilità che, in ossequio all’esigenza di trasparenza nell’ambito del trattamento dei dati personali, fa ricadere sul titolare del trattamento la prova del rispetto delle nuove regole e l’obbligo di adattarsi ai nuovi istituti previsti dal GDPR attraverso una serie di azioni quali: la valutazione di impatto sulla protezione dei dati, la notificazione delle violazioni, l’idoneità delle misure di sicurezza.


Articolo a cura della Dott.ssa Camilla Marotta