Privacy

Il Regolamento UE n. 2016/679 e l’adeguamento della normativa nazionale.

Il 24 maggio 2016 è entrato in vigore il Regolamento Generale Europeo (UE 679/2016 – Pubblicato nella Gazzetta Ufficiale europea il 4 maggio 2016) sulla protezione dei dati personali delle persone fisiche denominato GDPR (General Data Protection Regulation). Il Regolamento rappresenta la normativa di riforma della legislazione europea in materia di protezione dei dati. La sua attuazione, è stata prevista a distanza di due anni, quindi a partire dal 25 maggio 2018. Trattandosi di un regolamento europeo, non necessita di recepimento da parte degli Stati dell’Unione e verrà attuato da tutti allo stesso modo, realizzandosi così di fatto la definitiva armonizzazione della regolamentazione in materia di protezione dei dati personali all’interno dell’Unione europea.

Il GDPR, più esplicito della direttiva 95/46/CE, proclama la tutela del diritto alla protezione dei dati personali inteso come diritto fondamentale delle persone fisiche. L’art. 1 par. 2 recita “Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali”.

Le novità di maggior rilievo si individuano nell’introduzione di una nuova figura – e professionalità, quella del c.d. Data Protection Officer (“DPO”), il “responsabile della protezione dei dati”. Il DPO dovrà essere obbligatoriamente presente all’interno di tutte le aziende pubbliche nonché in tutte quelle ove i trattamenti presentino specifici rischi, come ad esempio le aziende nelle quali sia richiesto un monitoraggio regolare e sistematico degli “interessati”, su larga scala, e quelle che trattano i c.d. “dati sensibili”. Ogni azienda dovrà rendere noti i dati del proprio DPO e comunicarli al locale “Garante per la protezione dei dati personali”. Altra novità di rilievo, è l’introduzione dell’obbligo, per ogni azienda titolare del trattamento dei dati, di tenere un “registro delle attività di trattamento”, svolte sotto la propria responsabilità, nonché quello di effettuare una “valutazione di impatto sulla protezione dei dati”. Quest’ultimo adempimento, in particolare, è richiesto ad esempio in relazione ai trattamenti automatizzati, ivi compresa la profilazione, o con riguardo ai trattamenti su larga scala di categorie particolari di dati (sensibili), nonché relativamente ai dati ottenuti dalla sorveglianza sistematica, sempre su larga scala, di zone accessibili al pubblico. Il Regolamento esonera dagli adempimenti appena accennati le piccole e medie imprese, quelle dunque con meno di 250 dipendenti, a meno che, però, ” il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (sensibili)… o i dati personali relativi a condanne penali “. Il processo di adeguamento alla normativa europea è avvenuto con l’introduzione del d. lgs. 10 agosto 2018, n. 101, pubblicato in G.U. n. 205 del 4 settembre 2018, intitolato “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché’ alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. Tale decreto legislativo, che è entrato in vigore il 19 settembre 2018, apporta modifiche al Codice in materia di protezione dei dati personali (d. lgs. n. 196 del 2003), adeguando la normativa interna a quella europea. Codice della “privacy” e regolamento europeo (GDPR), dunque, coesisteranno. La normativa italiana va interpretata e applicata conformemente a quella europea, in quanto integra, ma non sostituisce il GDPR. Ai sensi dell’art. 288 TFUE, infatti, “ciascun regolamento europeo, e pertanto anche il Regolamento 679/2016 (GDPR), ha portata generale (..) è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli stati membri”.

I dati personali ed i dati sensibili.

Il codice della “privacy”, nella versione antecedente alla novella, procedeva alle definizioni secondo una tecnica più volte sperimentata dal legislatore italiano con chiari intenti di chiarezza.

Per quanto riguarda la definizione dei dati oggetto di tutela, veniva in rilievo quella di dato personale, ovvero di “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.

L’art. 4, comma 1, del d.lgs. n. 196 del 2003, oggi abrogato, conteneva alla lett. d) la nozione di dato sensibile che, indica il dato idoneo a rivelare tipi di informazioni, espressamente elencati, attinenti a differenti profili della persona, relativi a caratteristiche, stati, condizioni ovvero all’esercizio di libertà fondamentali. Una disciplina ulteriore, più restrittiva e specifica, è stata, invece, prevista per quei dati che risultano idonei a rivelare lo stato di salute e la vita sessuale del soggetto interessato.

Si tratta di una sorta di “tertium genus” di dati, comunemente considerati “sensibilissimi”, collocati all’interno della più ampia categoria dei c.d. dati sensibili dai quali si distinguono tuttavia poiché intrinsecamente più delicati e pericolosi.

Con Sez. 2, n. 17665/2018, Criscuolo, Rv. 649454-01, la S.C. precisa che nella nozione di dato personale rientra qualsiasi informazione che consenta di identificare, anche indirettamente, una determinata persona fisica e ricomprende pure i “dati identificativi”, quali il nome, il cognome e l’indirizzo di posta elettronica, traendone la conseguenza che anche per utilizzare questi ultimi dati è prescritta la previa informativa di cui all’art. 13 del d.lgs. n. 196 del 2003 ai fini dell’acquisizione del consenso degli interessati all’impiego dei dati di loro pertinenza.

Sez. 3, n. 16816/2018, Dell’Utri, Rv. 649423-01 comprende nella nozione di dato personale e sensibile, come tale oggetto di tutela, anche la salute di un minore, sia in relazione al minore stesso sia in relazione ad altre persone legate a quest’ultimo da vincoli di comunanza di vita familiare o domestica, considerando che la situazione del familiare congiunto a persona affetta da invalidità esprime in ogni caso una condizione di debolezza o di disagio sociale, di per sé potenzialmente idonea ad esporre la persona a condizionamenti o discriminazioni assimilabili a quelle tipicamente individuate dal legislatore a protezione dei dati personali. Nella caso dedotto in giudizio la S.C. ha confermato la sentenza impugnata, che aveva riconosciuto ai genitori ed al fratello di un minore la legittimazione ad agire per il risarcimento dei danni dagli stessi subiti a seguito dell’illecita diffusione, mediante la pubblica esposizione di una graduatoria di ammissione a corsi scolastici, di dati sensibili riguardanti la salute del minore stesso e funzionali all’attribuzione di privilegi concorsuali. Con riguardo all’accesso ai dati personali ex art. 7 d.lgs. n. 196 del 2003, Sez. 1, n. 32533/2018, Campese, analizzando una fattispecie in cui un dipendente di una banca aveva richiesto di poter accedere a dati personali contenuti nella documentazione della banca in relazione all’instaurazione di un procedimento disciplinare afferma che da un lato, che il diritto di accesso ex art. 7 del d.lgs. n. 196 del 2003 non può intendersi, in senso restrittivo, come il mero diritto alla conoscenza di eventuali dati nuovi ed ulteriori rispetto a quelli già entrati nel patrimonio di conoscenza e, quindi, nella disposizione dello stesso soggetto interessato al trattamento dei propri dati, atteso che scopo della norma suddetta è garantire, a tutela della dignità e riservatezza del soggetto interessato, la verifica “ratione temporis” dell’avvenuto inserimento, della permanenza, ovvero della rimozione di dati, indipendentemente dalla circostanza chetali eventi fossero già stati portati per altra via a conoscenza dell’interessato, verifica attuata mediante l’accesso ai dati raccolti sulla propria persona in ogni e qualsiasi momento della propria vita relazionale

Il trattamento dei dati personali.

Il momento qualificante dell’utilizzo dei dati personali è rappresentato dal trattamento che veniva definito nell’art. 4 del codice della “privacy” oggi abrogato come “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dat.

A seguito della novella, venuta meno una definizione generale di trattamento, viene invece tracciata la distinzione tra “comunicazione” e “diffusione” dei dati personali (art. 2-ter, comma IV), nozioni che peraltro avevano dato adito nel recente passato a dubbi interpretativi con particolare riguardo al trattamento dei dati sensibili (vedi ordinanze interlocutorie datate 9.2.2017, 10.2.2017, 10.2.2017, 9.2.2017, con cui la Prima Sezione civile aveva rimesso gli atti al Primo Presidente affinché valutasse ex art. 374, comma 2, c.p.c. l’assegnazione della controversia alle Sezioni Unite perché provveda a risolvere il contrasto giurisprudenziale emerso in relazione alla nozione di trattamento e di comunicazione dei dati sensibili (questioni peraltro ritenute anche di particolare importanza, cui è seguita S.U., n. 30981/17, Acierno, Rv. 646734-01, secondo la quale i dati sensibili idonei a rivelare lo stato di salute possono essere trattati dai soggetti pubblici e dalle persone giuridiche private che agiscano rispettivamente in funzione della realizzazione di una finalità di pubblico interesse o di adempimento di un obbligo contrattuale, soltanto mediante modalità organizzative, quali tecniche di cifratura o criptatura che rendono non identificabile l’interessato. Nella specie, la S.C. affermava che il soggetto pubblico – la Regione – e il soggetto persona giuridica privata – la banca – sono tenuti, in qualità di titolari del trattamento dei dati personali, nel procedimento di riconoscimento, erogazione ed accredito dell’indennità di cui alla l. n. 210 del 1992, ad occultare, mediante tecniche di cifratura o criptatura, il riferimento alla detta legge, in quanto idoneo a rivelare lo stato di salute del beneficiario dell’indennità).

Analizzando il trattamento dei dati per finalità giornalistiche, Sez. 1, n. 18006/2018, Lamorgese, Rv. 649524-01, stabilisce che detto trattamento, che può essere effettuato anche senza il consenso dell’interessato, ai sensi dell’art. 137, comma 2, del d.lgs. n. 196 del 2003, deve pur sempre essere effettuato secondo modalità che garantiscano il rispetto dei diritti e delle libertà fondamentali, della dignità dell’interessato, del diritto all’identità personale, nonché del codice deontologico dei giornalisti, che ha valore di fonte normativa in quanto richiamato dall’art. 139 del detto d.lgs. n. 196 del 2003. La S.C. nella fattispecie ha confermato la sentenza di merito che aveva condannato al risarcimento del danno per lesione della riservatezza, il giornalista che aveva divulgato la conversazione ripresa con una telecamera nascosta all’insaputa dell’interlocutore.

Con particolare riguardo poi alla diffusione dell’immagine, secondo Sez. 1, n. 18006/2018, Lamorgese, Rv. 649524-02, la presenza delle condizioni legittimanti l’esercizio del diritto di cronaca non comporta tout court la legittimità della pubblicazione o diffusione anche dell’immagine delle persone coinvolte che è subordinata, oltre che al rispetto delle prescrizioni contenute negli artt. 10 c.c., 96 e 97 della l. n. 633 del 1941, nonché dell’art. 137 del d.lgs. n. 196 del 2003 e dell’art. 8 del codice deontologico dei giornalisti, anche alla verifica in concreto della sussistenza di uno specifico ed autonomo interesse pubblico alla conoscenza delle fattezze dei protagonisti della vicenda narrata. Nell’ambito dell’individuazione dei limiti posti all’esercizio dell’attività giornalistica ove viene in rilievo il delicato bilanciamento tra la tutela della riservatezza e la libertà di manifestazione del pensiero sancita dall’art. 21 della Cost. si pone Sez. 3, n. 16311/2018, Scarano, Rv. 649435-01 che l’essenzialità dell’informazione riguardo a fatti di interesse pubblico comportano il dovere di evitare riferimenti allo stato di salute ed a patologie dei congiunti del soggetto interessato dai detti fatti, se non aventi attinenza con la notizia principale e quando siano del tutto privi di interesse pubblico. Nella specie, la S.C. ha confermato la sentenza impugnata che aveva ritenuto non pertinente la diffusione, da parte di un quotidiano locale e senza il consenso degli interessati, della notizia che i due fratelli di un minorenne deceduto per un’influenza, risultata fatale a causa della sindrome adreno-genitale dalla quale lo stesso era affetto, erano portatori della stessa patologia ereditaria.

Pone l’accento sulla illegittimità del trattamento in quanto violi i limiti territoriali e temporali previsti, Sez. 1, n. 15075/2018, Campese, Rv. 64912501 secondo cui è illegittimo il provvedimento con il quale l’Agenzia delle Entrate aveva disposto la pubblicazione “on line” su tutto il territorio nazionale, degli elenchi recanti i nominativi dei contribuenti che avevano presentato le dichiarazioni relative all’imposta sui redditi ed all’IVA, ai sensi dell’art. 69 del d.P.R. n. 600 del 1973 e dell’art. 66-bis del d.P.R. n. 633 del 1972 e ciò in quanto le norme indicate avevano imposto stringenti limiti territoriali e temporali alla conoscenza dei predetti elenchi ( i quali dovevano essere depositati solo presso i comuni interessati ed i competenti uffici dell’Agenzia delle Entrate e restare accessibili, ai fini della consultazione da parte di chiunque, soltanto per un anno.

In materia di consenso al trattamento di dati personali da parte di privati ex art. 23 del d.lgs. n. 196 del 2003 oggi abrogato, Sez. 1, n. 17278/2018, Di Marzio, Rv. 649516-01 dopo aver compiuto un ampio excursus sulla nozione e la latitudine del consenso nella materia de qua, precisa che detta norma nello stabilire che il consenso è validamente prestato solo se espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, consente al gestore di un sito internet, il quale somministri un servizio fungibile di condizionare la fornitura del servizio al trattamento dei dati per finalità pubblicitarie, a condizione che il consenso sia singolarmente ed inequivocabilmente prestato in riferimento a tale effetto. In taluni casi tuttavia il consenso non è richiesto. E’ quanto avviene nel caso di registrazioni di colloqui tra il dipendente e i colleghi sul luogo di lavoro ove l’utilizzo a fini difensivi non necessita del consenso dei presenti, per l’imprescindibile necessità di bilanciare le contrapposte istanze della riservatezza da una parte e della tutela giurisdizionale del diritto dall’altra e pertanto di contemperare la norma sul consenso al trattamento dei dati con le formalità previste dal codice di procedura civile per la tutela dei diritti in giudizio (vedi Sez. L., n. 11322/2018, Marotta, Rv. 648816-01).

Il diritto all’oblio.

Definito come “right to be forgotten” enuclea un vero e proprio diritto soggettivo, frutto di elaborazione dottrinale e giurisprudenziale e delle Autorità garanti europee e rientrante fra gli attributi fondamentali della personalità. Tale diritto si sostanzia dunque nella pretesa di un individuo a tornare padrone della propria storia personale e di recuperarne il controllo anche dopo che la stessa è stata oggetto di divulgazione, assumendo quindi il significato di diritto a cancellare, ad eliminare ciò che non appartiene più alla propria identità agendo quindi su quello che è stato il passato di un soggetto per tutelare il suo futuro, con ciò agevolmente ricollegandosi all’alveo del diritto all’identità personale tutelato dall’art. 3 Cost. ed all’art. 2 del C.d. Codice della Privacy.

Di rilievo centrale è il bilanciamento del diritto all’oblio, quale proiezione della personalità, con altri diritti che trovano espressione nella Carta costituzionale tra cui il diritto di manifestare liberamente il proprio pensiero di cui all’art. 21 Cost. la cui principale espressione è il diritto di cronaca, da intendersi come il diritto di portare a conoscenza dell’opinione pubblica fatti e vicende su temi politici, economici, scientifici di attualità. Con Sez. 1, n. 6919/18, Valitutti, Rv. 647763-01, la S.C., si inscrive nell’alveo dell’interpretazione della latitudine del c.d. diritto all’oblio e del suo rapporto con il diritto di cronaca svolgendo un’ampia disamina delle fonti e delle decisioni di matrice nazionale ed europea in particolare della sentenza della Corte di giustizia del 13.5.2014 nella causa Google Spain SL e Google c. Agencia Española de Protección de Datos e Costeja González in base alla quale, trascorso un certo lasso di tempo, la persona i cui dati figurano su una pagina web può rivolgersi ai gestori dei motori di ricerca per impedire che l’utenza possa servirsi di tali strumenti per trovare la notizia non più attuale. Viene altresì citata la sentenza della Corte EDU 19.10.2017 Fuschsmann/Germania che enuclea i criteri in base ai quali una informazione non è più di apprezzabile interesse per la collettività. Ai medesimi principi si richiamano peraltro i precedenti della S. C. afferenti al bilanciamento tra il diritto all’oblio ed il diritto di cronaca ove si afferma che in tema di diffamazione a mezzo stampa, il diritto del soggetto a pretendere che le vicende personali del passato non siano pubblicamente rievocate, nel caso specifico si trattava di una militanza in bande terroristiche) può essere compresso a fronte del diritto di cronaca solo quando sussista un interesse effettivo ed attuale alla diffusione della notizia, nel senso che quanto recentemente accaduto (nella specie, il ritrovamento di un arsenale di armi nella zona di residenza dell’ex terrorista) trovi diretto collegamento con la vicenda del passato rinnovandone l’attualità. A contrario, qualora tale collegamento con l’attualità non sussista la persistente diffusione dell’informazione si risolverebbe in un’illecita lesione del diritto alla riservatezza. Ciò premesso, nella pronuncia indicata, la S.C., alla luce dei principi tracciati dal diritto europeo e richiamandosi ai propri precedenti, enuclea per la prima volta un “decalogo” per operare il bilanciamento tra diritto all’oblio e diritto di cronaca, affermando che il diritto all’oblio può subire delle compressioni solo in presenza dei seguenti parametri: 1)contributo arrecato dalla notizia a un dibattito di interesse pubblico; 2) ragioni di giustizia, di polizia, scopi scientifici, didattici e culturali; 3)certezza del diritto dei terzi garantita dalla pubblicità legale ai fini della lealtà delle transazioni commerciali e, quindi, del buon funzionamento del mercato interno; 4)stato di figura pubblica; 5)notizia veritiera, di attualità e continente; 6)concessione del diritto di replica prima della diffusione della notizia. Alla luce di tali criteri la S.C. ha quindi ritenuto, in ciò ribaltando il giudizio di entrambi i giudici di merito, che nel caso di specie la trasmissione della Rai, recante “la classifica dei personaggi più scorbutici dello spettacolo”, non rivestisse i caratteri della notizia di interesse pubblico né tantomeno avesse il carattere dell’attualità riportando peraltro un evento verificatosi ben cinque anni prima. Inoltre, dal punto di vista soggettivo, ha reputato che, pur essendo il protagonista della vicenda un noto cantante, lo stesso non potesse definirsi un personaggio pubblico. Sulla scorta di tali rilievi, la S.C. ha quindi concluso per l’insussistenza dei presupposti per una compressione del diritto all’oblio del cantante, peraltro attuato nella specie da una trasmissione televisiva unicamente per finalità commerciali. Da ultimo non può non farsi cenno al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, dianzi citato, che prevede tra le maggiori novità l’espressa regolamentazione (art. 17) del diritto all’oblio prevedendo che l’ interessato, onde evitare che notizie ritenute pregiudizievoli ed offensive continuino ad essere di pubblico dominio, può ottenere la rimozione dai motori di ricerca di tutti i link e riferimenti che rimandano ai contenuti online in questione, invocando tale diritto.

Il trattamento dei dati personali da parte di forze di polizia.

Il trattamento dei dati personali da parte delle forze di Polizia confluiti negli archivi del CED era disciplinato dal Capitolo Primo, Titolo Secondo, del d.lgs n. 196 del 2003 il quale non prevedeva alcun limite per la conservazione di detti dati limitandosi a consentire alla persona cui i dati si riferiscono la rettifica, l’integrazione, la cancellazione o la trasformazione in forma anonima ai sensi dell’art. 56 che rinviava all’art. 10 della l. 1 aprile 1981 n. 121.

L’art. 57 d.lgs. n. 196 del 2003 demandava ad un apposito decreto del Presidente della Repubblica l’individuazione delle modalità di attuazione da ultimo disciplinate nel d.p.r. 15 gennaio 2018 n. 121 recante il regolamento per l’attuazione dei principi del codice della “privacy” relativamente al trattamento effettuato per finalità di polizia che ha dato rilievo ai principi di completezza pertinenza, non eccedenza ed aggiornamento dei dati ed ha introdotto una regolamentazione dei termini per la loro conservazione.

In relazione a tali dati, Sez. 1, n. 21362/2018, Mercolino, Rv. Rv. 650309-01, in una fattispecie in cui una persona sottoposta ad indagini penali, definite con l’archiviazione in data anteriore all’emanazione del regolamento per l’attuazione dei principi del codice della “privacy”, che relativamente al trattamento dei dati per finalità di polizia, è applicabile, in quanto norma di carattere sostanziale, l’art. 10, comma 3, lett. f) del predetto regolamento, che fissa in venti anni dall’emissione del provvedimento di archiviazione il termine per la conservazione dei dati con ciò realizzando un bilanciamento tra la tutela della riservatezza e l’esigenza di conservazione di detta tipologia di dati.

(fonte: Rassegna della Giurisprudenza di legittimità – Corte Suprema di cassazione – Ufficio del Massimario)