II. Il Mercato Digitale Europeo e Il Regolamento UE sulla Privacy Flashcards
Francesco Rossi Dal Pozzo
L’attuale stadio economico globale: “data driven”
Ad oggi, i dati, ovvero le informazioni in codice binario che ne consentono il transito sulle reti di comunicazione e l’elaborazione da parte dei computer, sono al centro dell’economia globale.
-> Adeguamento dei servizi pubblici in base ai dati raccolti
-> Profilazione delle preferenze per una personalizzazione dell’offerta di beni e servizi
Cos’è la Strategia Europa 2020?
E’ stata una strategia della Commissione Europea, lanciata nel 2010, contenente sette iniziative faro per superare la crisi finanziaria del 2008 e preparare l’economia UE per le sfide del decennio successivo.
Tra queste iniziative, rileva l’Agenda digitale europea, formata da una serie di proposte dell’Unione di concerto con gli Stati Membri, per sfruttare al meglio il potenziale offerto dal progresso tecnologico-digitale. Inoltre, sono state previsti anche unn mercato unico digitale per i settori del commercio elettronico e delle telecomunicazioni.
Cos’è la Strategia del mercato unico digitale?
A seguito delle iniziative della Strategia Europa 2020, nel 2015 la Commissione ha adottato la Strategia del mercato unico digitale, definendolo come “un mercato in cui è garantita la libera circolazione delle merci, delle persone, dei servizi e dei capitali e in cui, quale che sia la loro cittadinanza o nazionalità o il luogo di residenza, persone e imprese non incontrano ostacoli all’accesso o esercizio delle attività online in condizioni di concorrenza leale e potendo contare su un livello elevato di protezione dei consumatori e dei dati personali”.
La Strategia si caratterizza per una impronta economicistica e per la sua derivazione diretta dal mercato unico al 26 TFUE.
Ai fini del mercato unico digitale, la Strategia ha individuato sedici azioni chiave interdipendenti, da attuare con atti normativi esclusivamente dall’UE. Essendo tra loro tali azioni eterogenee, sono state ripartite in 3 pilasti:
1) “migliore accesso dei consumatori e delle imprese ai beni e servizi digitali in tutta Europa*
2) “creare un contesto favorevole affinché le reti e i servizi digitali possano svilupparsi”
3) “massimizzare il potenziale di crescita dell’economia globale”
Il terzo pilastro della Strategia del mercato unico digitale
3) “massimizzare il potenziale di crescita dell’economia globale”
A differenza dei primi due pilasti, fondati sui dati, il terzo pilastro si occupa specificamente dei dati in sé e per sé, proponendosi di garantire la più ampia circolazione dei dati tra gli Stati membri, con l’intento di sfruttarne le capacità di generare valore economico.
A tale scopo, la Commissione si è posta l’obiettivo di eliminare quelle che riconosce come “controlli di frontiera”, ovvero le formalità di conservazione e elaborazione dei dati da parte delle autorità pubbliche.
In prima battuta, con il Regolamento 2018/1807/UE, si è disposta la libera circolazione dei dati non personali, ovvero quelli che non contengono riferimenti ad una persona fisica. Tale Regolamento si fonda sul principio di “libera circolazione dei dati all’interno dell’UE” con conseguente divieto di qualsiasi obbligo di localizzazione dei dati, potendo questi trovarsi in tutti i territori dell’UE. (alcuni articoli nel dettaglio p. 47-48)
Poi, al fine di agevolare il più ampio utilizzo di dati, l’UE ha adottato la Direttiva 2019/1024/UE, che stabilisce il quadro giuridico per incrementare la circolazione dei dati raccolti e generati dal settore pubblico degli Stati Membri (es. dati catastali, sismici, sanitari, metereologici …). Secondo la Direttiva, questi dati dovrebbero essere forniti in un formato elettronico comune affinché i cittadini possano servirsene per fini commerciali o non commerciali, attraverso gli open data.
Evoluzione del concetto di privacy tra diritto alla vita privata e protezione dei dati personali a livello internazionale
La privacy, intesa come diritto al rispetto della vita privata e diritto alla protezione dei dati personali è frutto di un lungo processo di evoluzione concettuale in UE. Fu coniato da due giuristi americani nel 1890.
Tale diritto era inizialmente inteso in chiave negativa come right to be let alone. Ma con la CEDU, finalmente si assiste all’enucleazione di un diritto, in positivo, di formarsi liberamente una propria sfera privata.
[Art. 12 Dichiarazione dei diritti umani; Art. 8 CEDU]
Con la Convenzione 108 del Consiglio d’Europa, si addiviene alla formulazione dell’information privacy, ossia il rispetto della vita privata di ciascuna persona fisica, con specifico riferimento al trattamento automatizzato dei suoi dati di carattere personale. La Convenzione ha poi coniato:
- il dato personale, inteso come ciascuna informazione tramite la quale è possibile identificare una persona fisica.
- il trattamento automatizzato dei dati personali, ossia l’insieme delle operazioni svolte in tutto o in parte tramite procedimenti automatizzati tra cui figurano operazioni logiche/aritmetiche su tali dati, la loro modificazione, estrazione, cancellazione o diffusione.
[Nel dettaglio pag. 50-52]
La Corte EDU, servendosi delle conquiste della Convenzione 108, ha arricchito di contenuti la protezione dei dati personali:
- Sent. Gasking v. UK: la Corte ha ritenuto sproporzionato il diniego di UK alla richiesta di ottenere informazioni personali del richiedente raccolte dai servizi pubblici dell’infanzia (es. abusi, violenze) perché, necessitandosi il consenso di tutti, si sarebbe minato il vital interest del richiedente.
- Sent. Z. v. Finland: La Corte ha affermato la necessità di oneri di sicurezza e protezione più marcati, con riferimento ai dati riguardanti lo stato di salute dell’individuio
- Sent. Rotaru: La Corte ha stabilito il divieto di trattamento di dati personali falsi o diffamatori, nonché il diritto di rettifica di questi (caso di utilizzo di tali dati da parte dell’intelligence romena)
Il processo di affermazione della protezione dei dati personali nel contesto del diritto UE
Lo sviluppo dell’acquis communautaire si caratterizza per uno sviluppo in quattro fasi.
PRIMA FASE
Nel periodo intercorrente la firma dei Trattati di Roma (1957) e quella del Trattato di Lisbona (2007) si è registrata un evoluzione rispetto alla materia della tutela dei diritti fondamentali, anche grazie all’attività giurisprudenziale dell’ECJ (a partire dalla sent. Stauder, con cui si arroga la protezione del rispetto dei diritti della persona)
Tuttavia, le ancora forti discrepanze tra le legislazioni nazionali ostacolavano la trasmissione dei dati personali tra i territori dell’UE. Così, sulla base dell’attuale art. 114 TFEU (mercato unico), fu prodotto il primo atto in materia di protezione dei dati personali: la Direttiva 95/46/CE, che riprende in molti aspetti la Convenzione 108 e la giurisprudenza della Corte EDU. Nonostante le conquiste della Direttiva, si è assistito ad un’applicazione disarmonica data dalla natura stessa dell’atto.
SECONDA FASE
Stante i limiti della Direttiva 95/46/CE, la Comunità europea ha sottoposto la disciplina sulla privacy ad un’evoluzione di cui la Carta di Nizza costituisce un elemento imprescindibile.
Tale Carta, al fine di rafforzare la tutela dei diritti fondamentali, alla luce del progresso tecnologico della società, ha espressamente riconosciuto, sia il tradizionale diritto al rispetto della vita privata, sia il diritto alla protezione dei dati di carattere personale
Come conseguenze:
- è stata messa in luce l’angolazione della Direttiva 95/46/CE sotto il profilo del rispetto dei diritti umani, perdendosi la mera concezione “mercantilistica” della direttiva
- si è avviata l’autonomizzazione del diritto alla privacy rispetto alla tutela della vita privata
TERZA FASE
Con l’introduzione del Trattato di Lisbona nel 2009, lo status giuridico della Carta di Nizza si è elevato al pari di quello dei trattati, esplicando quindi i propri effetti sia verso le istituzioni UE che verso gli stessi Stati Membri.
Inoltre, all’art. 16 TFUE si stabilisce la “facoltà dell’UE di adottare una normativa relativa alla protezione dei dati personali”. Tuttavia, si prevedono dei limiti, in forza dell’art. 52 TFUE, che (I) devono essere previsti per legge, (II) non devono minare il contenuto essenziale del diritto, (III) devono rispettare il principio di proporzionalità e (IV) devono rispondere a finalità di interesse generale o all’esigenza di proteggere diritti e libertà altrui.)
Bilanciamento libertà personale vs. disposizione dati del pubblico pag. 62
QUARTA FASE
Con le suddette forti modifiche al livello primario della legislazione europea, si iniziò a far strada la tendenza a voler costruire un Europa dei diritti fondamentali, che nel campo della tutela dei dati personali potesse adottare una “strategia globale”, per una tutela interna ed esterna.
Tuttavia, nel 2012 la Commissione propone il data protection package, che sfruttava l’armonizzazione della Direttiva del 1995 per un Regolamento a tutela dei dati delle persone fisiche e per una ulteriore Direttiva riguardante la medesima materia nel Terzo Pilastro, rispetto alla quale non era avvenuta tale armonizzazione (cooperazione giudiziaria in materia penale, cooperazione di polizia).
A conclusione di un lungo iter legislativo (4 anni), furono emanati:
- Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e la loro libera circolazione [Abrogando Direttiva 95/46/CE]
- Direttiva (UE) 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali [Abrogando Decisione Quadro 2008/977/GAI]
In seguito, il data protection package è stato completato con due ulteriori misure:
+ Regolamento (UE) 2018/1725, che ha esteso le regole del Regolamento 2016/679 e della Direttiva 2016/680 al trattamento dei dati personali effettuati dalle istituzioni, uffici, organismi UE
+ Proposta di regolamento e-privacy in riesame della Direttiva 2002/58/CE, che garantisce il rispetto della vita privata, la riservatezza delle comunicazioni e la tutela dei dati a carattere personale nel settore delle comunicazioni elettroniche
Novità della Direttiva 95/46/CE
La Direttiva 95/46/CE riprende dalla Convenzione 108 e dalla giurisprudenza della CEDU la concezione della protezione dei dati come corollario del diritto al rispetto della vita privata e il trattamento dei dati come fulcro della normativa.
Si fa più chiaro riferimento ai soggetti coinvolti:
- “interessato”: persona fisica identificabile tramite il trattamento dei suoi dati personali
- “responsabile del trattamento”: persona fisica o giuridica che determina le finalità e gli strumenti del trattamento dei dati personali
- “incaricato del trattamento”: persona fisica o giuridica che elabora i dati personali per conto del responsabile
Si dispone che il trattamento dei dati è lecito solo qualora ricorra una delle seguenti condizioni:
a) consenso dell’interessato prestato in maniera inequivocabile
b) esecuzione del contratto concluso con l’interessato
c) salvaguardia di un interesse vitale dell’interessato
d) esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri
e) perseguimento dell’interesse legittimo del responsabile del trattamento
Viene conferito un ampio ventaglio di diritti:
- diritto di ottenere informazioni riguardanti i propri dati personali
- diritto di accedere ai propri dati personali
- diritto di opposizione per ragioni legittime al trattamento dei dati
- diritto a non essere sottoposto a una decisione fondata esclusivamente su un trattamento automatizzato dei dati, volto a valutare taluni aspetti personali dell’interessato, come rendimento professionale, affidabilità creditizia, comportamento quotidiano
Si prevede anche l’obbligo per ciascuno Stato Membro di dotarsi di una o più autorità pubbliche indipendenti, incaricate di sorvegliare l’applicazione delle disposizioni di attuazione della direttiva stessa.
Insieme a tale disposizione, si prevede l’istituendo di un Garante europeo della protezione dei dati personali.
Come si distinguono il diritto al rispetto della vita privata e il diritto alla privacy/protezione dei dati personali, nella Carta di Nizza?
La Carta dei diritti fondamentali dell’Unione europea distingue i due diritti per contenuto, portata e formulazione
- In termini di contenuto, il DVP (diritto al rispetto della vita privata) di matrice tradizionale e passiva si limita a vietare interferenze dei terzi nella sfera personale del singolo, mentre il DP (diritto alla privacy) si pone in modo moderno e attivo, instaurando un sistema di controlli ed equilibri volti a tutelare gli individui ogni qualvolta si tratti dei loro dati personali.
- In termini di portata, la tutela del DVP si estende alle sole situazioni in cui tale vita privata sia stata effettivamente compromessa, mentre la tutela del DP trova sempre applicazione per il solo fatto che un qualunque dato personale sia stato oggetto di trattamento, indipendentemente dall’impatto sulla vita privata
- In termini di formulazione, a differenza della scarna formulazione del DVP, il DP enuncia anche i suoi corollari fondamentali cosi come espressi dalla Direttiva 95/46/CE.
Regolamento (UE) 2016/679: inquadramento generale
ABROGAZIONE DELLA DIRETTIVA 96/46/CE
A norma del suo art. 99
FONDAMENTO
Si fonda sull’art. 16 TFUE, che conferisce al Parlamento Europeo e al Consiglio il mandato di stabilire le norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale e la loro libera circolazione
STRUTTURA
- 173 consideranda
- 11 capi composti di 99 articoli (a confronto con i soli 34 della Direttiva precedente)
FORMA DELL’ATTO
Regolamento a norma dell’art. 288 TFUE, per cui ha portata generale, è obbligatorio e direttamente applicabile, in tutti i suoi elementi, in ciascun Stato membro [-> aspira a una maggiore omogeneità]
Viste le ingenti novità, si è concesso un periodo di due anni per adeguarsi alla disciplina.
NOVITÀ
Sistemazione estetica delle nozioni (es. dai responsabile e incaricato del trattamento ai titolare e responsabile del trattamento) e novità sostanziali, come:
- impianto definitorio modernizzato e arricchito con specifiche previsioni sulle tecniche di profilazione e si dati sensibili genetici e biometrici
- dignità e organicità ai diritti dell’interessato, prima sparsi in moto eterogeneo, tra cui diritti di informazione, di accesso, di rettifica dei dati, di limitazione del trattamento, di opposizione ad un processo decisionale automatizzato
- nuovi diritti dell’interessato, in materia di cancellazione dei dati, portabilità dei dati, reclamo ad Autorità di controllo, ricorso giurisdizionale effettivo contro le decisioni assunte da un’autorità di controllo o control il titolare o il responsabile del trattamento
- Principio di responsabilizzazione del titolare del trattamento, ossia l’obbligo di questi di adottare una serie di misure tecniche-organizzative adeguate a garantire i principi di protezione dei dati, sulla base di una valutazione che tenga conto della natura dell’ambito di applicazione, del contesto e delle finalità di trattamento.
- Il consenso dell’interessato, definito come “qualsiasi manifestazione di volontà libera, specifica, informata ed inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”
- Il consenso, affinché serva da base legittima per il trattamento dei dati, deve essere frutto di una possibilità di scelta.
Principali novità del GDPR: estensione della nozione di dato personale
L’art. 4 del Regolamento definisce i dati personali come qualsiasi informazione riguardante una persona fisica identificata o identificabile con la specificazione ulteriore che si considera tale la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
A norma degli artt. 2 e 3 del Regolamento 2018/1807, tutti i dati non facenti parte della suddetta definizione, sono considerabili dati non personali (ad esempio dati anonimi, dati metereologici, geografici, macroeconomici e quelli personali sottoposti a processi di anonimizzazione, ossia privati dei riferimenti alla persona fisica sottoposta al relativo trattamento).
Perché la distinzione tra dati personali e non personali risulta sfumata?
Seppur in teoria sia netta la differenza tra dati personali e non personali, le tecniche di re-identificazione consentono, attraverso la consultazione incrociata di vasti e numerosi archivi digitali, di ottenere le informazioni su un individuo da dati non personali
Proprio in tema di re-identificazione, il GDPR appresta una duplice tutela:
1- Si prevede che al fine di stabilire l’identificabilità di una persona, e quindi la natura personale o meno dei dati, è opportuno considerare tutti gli altri dati ed i mezzi di cui si può ragionevolmente avvalere il soggetto che pone in essere il trattamento.
2- Si individua, nelle tecniche di pseudonomizzazione del dato, il giusto compromesso tra la necessità di ridurre i rischi di re-identificazione e la possibilità di molteplici utilizzi del dato, per scopi statistici-economici.
La pseudonomizzazione è una misura prevista dall’art. 4 del GDPR quale strumento di sicurezza dei dati personali alla persona cui ineriscono, sostituendo, in maniera non definitiva, gli elementi del dato che permettono l’identificazione, con un codice unico (es. nickname)
Pertanto, il GDPR fa ricadere nella sua tutela sia i dati pseudonomizzati sia quelli anonimi ma che si possono sottoporre a re-identificazione.
Principali novità del GDPR: L’ambito di applicazione territoriale del Regolamento
L’art. 3 del Regolamento ne delimita l’ambito di applicazione territoriale.
Tale disposizione dimostra la tendenza dell’UE a garantire una tutela dei dati personali quanto più estesa e coerente al flusso di dati che, ormai, è diventato globale.
L’articolo in esame si fonda su due criteri:
- Criterio dello stabilimento sul territorio
Il Regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente da dove sia fatto il trattamento.
[Vi è stabilimento in UE ogni attività effettiva e reale, anche minima, svolta dal responsabile o titolare del trattamento nel territorio di uno Stato membro. Va intesa in senso ampio, vista la possibilità di operatori economici presenti solo online: in certi casi basta la presenza di un dipendente in UE]
[Per capire se vi è connessione tra trattamento dei dati e attività in paesi terzi, vi è bisogno di una valutazione casistica, che guardi al profitto dell’attività correlata al trattamento effettuato in paese terzo e al rapporto tra titolare/responsabile del tratt. e l’impresa in UE.]
-
Criterio della collocazione fisica e geografica degli interessati
Qualora non ricorra il primo criterio, il Regolamento è applicabile al trattamento dei dati personali di interessati che si trovino in UE, effettuato da un titolare o responsabile del trattamento non in UE, quando le attività di trattamento riguardino: a) offerta di beni o prestazione di servizi nell’Unione, indipendentemente dall’obbligatorietà di un pagamento dell’interessato, b) monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all’interno dell’Unione.
[Per l’applicazione, si necessita della sola ubicazione geografica dell’interessato, e non il suo status giuridico - tutti hanno diritto a tale tutela, non solo i cittadini UE.]
[Il fatto che l’offerta di beni sia indipendente dall’obbligatorietà di un pagamento evidenzia come il mercato sia orientato verso la transazione di dati, più che di denaro direttamente]
[Per stabilire che le attività di trattamento riguardino il monitoraggio del comportamento dell’interessato, si deve verificare se la persona sia tracciata online tramite tecniche di profilazione]
Come si attua la profilazione?
La profilazione consiste in una tecnica di trattamento automatizzato dei dati personali molto invasiva, con la quale è possibile valutare aspetti personali concernenti una persona fisica e, in particolare, al fine di analizzare o prevedere aspetti riguardanti rendimento professionale, situazione economica, salute, preferenze, interessi, affidabilità, ubicazione e spostamenti.
La profilazione si può avere tramite pubblicità comportamentale, attività di geo-localizzazione, tracciamento online a mezzo cookies …
Principali novità del GDPR: diritto all’oblio
All’art. 17, si fa riferimento al c.d. diritto all’oblio, nuovo diritto che finalmente trova collocazione normativa.
Ancora prima, l’ECJ aveva trattato il tema in Google Spain, dove si è affermato che l’attività di un motore di ricerca consistente nel trovare informazioni pubblicate o inserite da terzi su Internet, nell’indicizzarle in modo automatico, memorizzarle temporaneamente e metterle a disposizione degli utenti deve essere qualificato come trattamento di dati personali e il gestore di detto motore di ricerca deve considerarsi il responsabile del trattamento.
I giudici di Lussemburgo hanno quindi riconosciuto il diritto del singolo interessato, in presenza di determinate condizioni, a chiedere al gestore del motore di ricerca, prima, e all’autorità competente, poi, l’eliminazione dell’elenco dei risultati che appare in seguito ad una ricerca effettuata a partire dal nome di tale soggetto - la c.d. de-indicizzazione
Il diritto all’oblio, codificato nel GDPR, stabilisce il diritto dell’interessato a ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano, nonché l’obbligo per quest’ultimo di cancellare senza ingiustificato ritardo i dati personali.
Per l’esercizio di tale diritto, deve ricorrere almeno uno dei seguenti presupposti:
a) dati personali non sono più necessari rispetto alla finalità per cui sono stati raccolti o altrimenti trattati
b) interessato ha revocato il consenso su cui si basa il trattamento
c) interessato si era precedentemente opposto al trattamento
d) dati personali sono stati trattati in modo illecito
e) dati personali devono essere cancellati per adempiere a un obbligo giuridico dell’Unione o dello Stato Membro cui è soggetto il titolare del trattamento
f) dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione
L’obbligo di cancellazione in capo al titolare del trattamento, ricorrendo uno di questi presupposti, si accompagna all’obbligo di quest’ultimo di informare della richiesta dell’interessato anche gli altri titolari che stessero trattando tali dati, “in base alla tecnologia disponibile” (con tale formula si evita l’obsolescenza del Regolamento)
L’art. 17 NON si applica per:
- esercizio libertà d’espressione e informazione
- adempiere a un obbligo legale
- eseguire un compito di interesse pubblico
- per motivi di interesse pubblico nel settore sanitario
- a fini di archiviazione storica, scientifica, o statistica
- per accertare o difendere un diritto in sede giudiziaria
Nel recente caso Google 2 si è chiarita la portata del diritto all’oblio, che richiede al titolare del motore di ricerca di effettuare la cancellazione dei links solo rispetto ai domini degli Stati Membri (google.it, .de, .fr …). Le critiche mosse hanno portato alla conclusione, che, non essendo vietata la cancellazione a livello globale, potrebbe essere mossa tale richiesta anche dalle singole Autorità degli Stati membri.
Principali novità del GDPR: diritto alla portabilità dei dati
All’art. 20, il Regolamento introduce il cd. diritto alla portabilità dei dati personali, che si caratterizza per una duplice accezione:
a) diritto dell’interessato di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento
[Ricevere un dataset dei suoi dati personali, al fine di gestire e riutilizzare i propri dati personali]
b) *possibilità dell’interessato di trasmettere i propri dati personali tra più titolari del trattamento, senza che questi possano opporgli impedimenti, a meno che non ricorrano specifici casi eccezionali e ove tecnicamente possibile
Tale diritto permette di evitare un lock-in degli utenti all’interno di un ecosistema online, potendo questi trasferire i loro dati su altre piattaforme, incentivando contestualmente la competizione tra gli operatori di mercato.
Il diritto alla portabilità dei dati è condizionato a tre condizioni cumulative:
1) trattamento dei dati deve essere fondato sul consenso dell’interessato o su un contratto di cui è parte l’interessato
2) trattamento deve essere effettuato con mezzi automatizzati, non trovando applicazione relativamente ad archivi o registri cartacei
3) trattamento deve avere ad oggetto i dati personali forniti da un interessato consapevolmente e attivamente, o derivante dall’osservazione delle sue attività svolte online
