Impatto sugli studi legali del nuovo Regolamento UE 679/2016 in materia di protezione dei dati

personali.Avv. Mauro AlovisioDott.ssa Lara Merla

06/12/2016

ITER DEL REGOLAMENTO

• -27 APRILE 2016. Approvazione da parte del Parlamento e del Consiglio.

• -4 MAGGIO 2016. Pubblicazione in Gazzetta Ufficiale dell’Unione Europea.

• -25 MAGGIO 2018. Direttamente ed uniformemente applicabile in tutti gli stati membri UE (senza necessità di recepimento con atti nazionali, ma solo ad eventuale integrazione).

PUNTI CHE INNOVANO LA DISCIPLINA PRIVACY EUROPEA

• 1) Estensione dell’ambito di applicazione territoriale• 2) Privacy by design e privacy by default• 3) Obbligo tenuta registri attività di trattamento - Data Breach

e adesione a codici di condotta.• 4) Eventuale valutazione preventiva di impatto sulla

protezione dei dati• 5) Nomina del responsabile della protezione dei dati (Data

Protection Officer)• 6) Rafforzamento dell’informativa privacy• 7) Nuovi diritti: diritto all’oblio e Data Portability• 8) Inasprimento del regime sanzionatorio

Principio di accountability

• Tradotto come «responsabilizzazione» e «obbligo di rendicontazione»

• Trattamento conforme a norme del regolamento• Adesione a codici di condotta per evitare sanzioni pecuniarie

(art. 40)• Meccanismo di certificazione da parte di organismi europei

(art. 42)• Introduzione della figura del DPO (dipendente o soggetto

esterno all’ente con requisiti di competenza, autonomia di risorse, esperienza, indipendenza ed assenza di conflitti di interesse = preferibile membro esterno all’ente!

Compiti del DPO

- Sorvegliare sulla corretta applicazione del Regolamento,- della normativa privacy interna,- attribuzione delle responsabilità nella P.A. o impresa,- informare, sensibilizzare e formare il personale,- consulenze e rilascio di pareri scritti

Diritto all’OblioThe Right to be forgotten

• Il Regolamento introduce il diritto ad «essere dimenticato» o meglio «a non essere più ricordato» per fatti che in passato furono oggetto di cronaca. (art. 17)

• connessione con art. 2 Cost. in quanto è diritto strumentale all’esercizio dei diritti inviolabili della persona, come quello alla dignità.

Contrasto con altri diritti

• Diritto di cronaca• Libertà di parola• Diritto all’informazione• Interesse pubblico

Art. 27 comma 3 Cost.Autore di un reato

• Esso si esprime nel senso di una funzione rieducativa della pena.

• Il diritto all’oblio favorisce il reinserimento sociale del condannato.

Art. 36 c.p. rubricato: «pubblicazione della sentenza penale di condanna» – sanzione accessoriaPubblicazione «online» sul sito del Ministero della Giustizia. La durata di detta pubblicazione è stabilita dal Giudice in misura non superiore a 30 gg. In mancanza la durata è di 15 gg.

Vittima del reato

• Casi in cui a richiedere la cancellazione è stata la vittima del reato o la sua famiglia nel caso di fatti di «cronaca nera».

• (si pensi ai casi di violenza sessuale)

Art. 17 del Regolamento• Diritto alla cancellazione («diritto all’oblio»)• 1. L’interessato ha il diritto di ottenere dal titolare del

trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

• a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

• b) l’interessato revoca il consenso su cui si basa il trattamento se questi è unica condizione allo stesso;

• c) l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;

• d) i dati personali sono stati trattati illecitamente • e) i dati personali devono essere cancellati per adempiere un

obbligo legale previsto dal diritto UE o dello Stato membro cui è soggetto il titolare del trattamento;

• f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

• 2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali

• della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

• ECCEZIONE!• 3. I paragrafi 1 e 2 non si applicano nella misura in cui il

trattamento sia necessario:- per l’esercizio del diritto alla libertà di espressione e di

informazione; - per l’adempimento di un obbligo legale che richieda il

trattamento previsto dal diritto dell’UE o di uno Stato membro;

- per motivi di interesse pubblico nel settore della sanità pubblica;

• ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici… nella misura in cui il diritto di cui al paragrafo 1 rischia di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o

• per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Cos’è la de-indicizzazione

• Nella pratica il diritto all’oblio si esplica per lo più attraverso la richiesta di de-indicizzazione ossia le informazioni restano reperibili nel «sito sorgente» ma non sono facilmente raggiungibili da una veloce ricerca in rete in quanto occorre visitare il sito in cui queste furono pubblicate per la prima volta.

Art. 18 e 19 del Regolamento• Art. 18 – Diritto di limitazione di trattamento• L’interessato ha il diritto di ottenere dal titolare del

trattamento la limitazione del trattamento quando: -contesta l’esattezza dei dati personali, - il trattamento è illecito e l’interessato si oppone alla cancellazione e chiede invece che ne sia limitato l’utilizzo, - se i dati sono necessari all’interessato per l’accertamento , l’esercizio o la difesa di un diritto in sede giudiziaria, - nel caso di attesa di conoscere la legittimità dei motivi del titolare che vuole trattare i dati rispetto alla richiesta dell’interessato che si oppone.

• Il titolare informa l’interessato nel caso di revoca legittima della limitazione del trattamento.

• Art 19 – Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento.

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate…salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.

Alcuni principi…

Principio della pertinenzaFatti riproposti anche a distanza di molto tempo purché veritieri e pertinenti con l’attualità. Vale a dire aventi una strettacorrelazione con nuovi fatti, per esempio di cronaca, e solo se vi è un interesse pubblico alla loro diffusione.

Obbligo di aggiornamentoSussiste un obbligo di aggiornamento continuo da parte delle testate giornalistiche per i propri siti online? NO, tale obbligo sussiste solo su istanza dell’interessato.Vedi Cass. Sent. 5525/2012

Caso Google Spain vs Agenzia Spagnola per Protezione dei dati e il Sig. Gonzalez

• Sent. C- 131/12 del 2014 – ai primordi del diritto all’oblio.Art. 7 e 8 della Carta dei Diritti Fondamentali dell’Unione Europea.Rinvio pregiudiziale alla Corte di Giustizia alla quale si chiede:1) Un motore di ricerca con sede in USA (come Google) è

soggetto alla legislazione europea di privacy e data protection?

2) Un motore di ricerca è responsabile dei dati personali che tramite esso vengono trattati? Si tratta della famigerata responsabilità degli ISP.

3) E’ obbligato a rimuovere gli indici e i link su volontà dell’interessato? Sempre?

Cosa ci disse in quel caso la Corte di Giustizia Europea

• Nel caso di specie condannò Google Inc. a cancellare le indicizzazioni relative ai propri dati personali su richiesta dei cittadini europei interessati, a meno che non vi siano ragioni particolari, come il ruolo pubblico del soggetto.

• La Corte ha così imposto a Google di rispondere da allora in avanti alle richieste di rimozione dei link alle pagine web che contengono il nominativo del richiedente dai risultati sul motore di ricerca. In virtù del diritto all’oblio i motori di ricerca devono rimuovere ogni contenuto a seguito di ogni richiesta del cittadino, salvo il «pubblico interesse».

• La Corte non specifica cosa debba intendersi come «pubblico interesse» lasciando quindi l’ardua decisione ai motori di ricerca che lo stabiliscono ogni volta con riguardo al caso concreto!

E la certezza del diritto??

A livello pratico…

• Google e gli altri motori di ricerca hanno a disposizione sul loro sito dei moduli che il soggetto deve compilare per inoltrare la richiesta di cancellazione.

• Sarà ovviamente Google stessa e non un’autorità giudiziaria a stabilire se ottemperare alla richiesta del cittadino o meno.

• Viene fatta salva, in ogni caso, la possibilità di ricorrere al Giudice in caso di diniego.

Circa le domande della slide 18…• 1) Si, col nuovo Regolamento qualunque impresa o P.A. che

tratta dati personali, a qualunque scopo, anche gratuitamente, di un cittadino europeo, è tenuta a rispettare la normativa di detto Regolamento e quindi ad applicare tutti gli accorgimenti e la soggezione agli obblighi nel medesimo previsti. –(vedi in proposito Opinion n. 8/2010 del Gruppo di Lavoro ex art. 29 Direttiva 46/95/CE).

• 2) Circa la responsabilità degli ISP.Sussiste un principio di irresponsabilità generale degli ISP statuito nella Direttiva 2000/31 CE in cui si dice che l’Internet Service Provider non ha un obbligo di sorveglianza sulle informazioni che vengono scambiate sulla sua piattaforma ma ciò solo se opera come mero intermediario ed in modo neutro.

Problema…

• Gli algoritmi su cui si fondano e tramite i quali lavorano gli ISP sono neutri?

• Direi di NO…

Tornando al punto 2…Caso Google Inc. vs Vivi Down

La Terza Sezione Penale della Suprema Corte di Cassazione del 17 dicembre 2013 conferma la sentenza della Corte d’Appello di Milano che aveva assolto alcuni manager di Google condannati in primo grado per illecito trattamento di dati personali.Viene quindi confermata l’assenza di un dovere di sorveglianza sui contenuti pubblicati dagli utenti e l’assenza dell’obbligo giuridico in capo a Google di impedire eventuali reati.Essi hanno solo un obbligo di rimozione di contenuti illeciti conseguenti a ordine del Giudice o in ottemperanza a diritti riconosciuti al cittadino dal nuovo Regolamento privacy.

La metafora del babbà al rum

«Così come il pasticcere non è tenuto ad avere la licenza per la vendita di alcolici nel caso di produzione di babbà al rum, anche il Provider non è tenuto ad assumersi la responsabilità circa il contenuto di informazioni che vengono pubblicate, lette e scambiate per suo tramite».

Avv. Carlo Blengino

Circa il dovere di rimozione…

• Il Provider è tenuto a rimuovere contenuti che violano norme del Regolamento solo se venuto a conoscenza o su istanza dell’interessato o di loro portatori di interessi.

• Sanzioni in mancanza di rimozione previsti dal Regolamento.

Fino a 20 milioni di euro o, per le imprese fino al 4% del fatturato totale mondiale annuo dell’esercizio precedente, se superiore.

Circa il punto 3…

• Obbligo di rimozione dei link e di de-indicizzazione. • Si, sussiste tale obbligo specificato dall’art. 17 del

Regolamento, salvo eccezioni. • VEDI ART. 17 PARAGRAFO 3 DEL REGOLAMENTO

1) Libertà di espressione e informazione2) Adempimento di obbligo legale3) Interesse pubblico4) Fini di archiviazione nell’interesse pubblico, di ricerca scientifica o storica o a fini statistici5) Accertamento, esercizio o difesa di un diritto in sede giudiziaria

IL CASO DEGLI AVVOCATI• Sentenza del Tribunale di Roma del 03/12/2015 n. 23771 (diritto

all’oblio per Avvocati)• Il Tribunale nel caso di specie rigetta la richiesta di un avvocato di

de-indicizzazione di link che riportavano notizie circa la sua presunta colpevolezza per aver commesso reati contro il patrimonio.

• In tal decisione il Tribunale afferma che: « nel caso di personaggi famosi o aventi comunque un ruolo pubblico, politico ecc, nei quali rientrano anche coloro che esercitano l’avvocatura, in ragione anche della propria attività lavorativa, tra il (solitamente) prevalente diritto all’oblio e l’interesse pubblico nell’essere correttamente informati prevale quest’ultimo. (ragion di più se i fatti, pur non avendo una correlazione col presente, sono relativamente recenti).

DIRITTO ALLA PORTABILITA’ DEI DATIART. 20

• 1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

• a) il trattamento si basi su consenso o su contratto• b) il trattamento sia effettuato con mezzi automatizzati• 2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a

norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.

• 3. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

• 4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.

RATIO DELLA DISPOSIZIONE

• Possibilità di tramettere i propri dati personali da un titolare del trattamento ad un altro.

• Es. potrò cambiare Provider di posta elettronica senza perdere i contatti ed i messaggi salvati.

• Eccezioni• dati contenuti in archivi di interesse pubblico• impossibilità tecnica

E’ VIETATO….

• Il trasferimento di dati personali verso Paesi situati al di fuori dell’UE o organizzazioni internazionali che non rispondono agli standard di adeguatezza in materia di tutela di dati previsti dal Regolamento.

CASO FACEBOOK - WHAT’S APP• Fine agosto 2016. • What’s app modifica la sua policy per scopi (pare) di

marketing. Mette a disposizione di FB informazione estrapolate dagli utenti di What’s app.

• 2 casi di opposizione. Italia e Germania.IL CASO TEDESCOL’ autorità tedesca per la tutela della privacy ha imposto a FB di cancellare qualunque dato abbia ottenuto tramite What’s app dei 35 milioni di utenti tedeschi .Questo in ragione del fatto che, seppur il Regolamento non è ancora in vigore, il colosso di Menlo Park ha la sua sede legale europea in Irlanda e perciò deve sin da ora ottemperare alla normativa privacy europea.

Il CASO ITALIANOIl Garante privacy italiano ha aperto un’istruttoria per valutare se la violazione della privacy degli utenti è reale o meno, in particolare chiede a What’s app:- La tipologia di dati che mette a disposizione di FB- le modalità di acquisizione del consenso

Anche il Working Party ex art. 29 ha espresso «serie preoccupazioni» in merito alla condivisione di dati tra i due colossi (riuniti in uno solo dal 2014).Per ora DIFFIDA FORMALE, dal 2018 l’UE potrà multare le imprese che non rispettano il Regolamento con pesanti sanzioni amministrative.

Problema per i «non socials»

• Il nostro Garante sottolinea quanto tale profilazione di dati da parte di FB non riguardi solo i suoi utenti ma anche soggetti solo iscritti a What’s app o addirittura soggetti non iscritti a nessuno dei due ma solo presenti nelle rubriche di affiliati al social network o all’app di messaggistica più famosa al mondo.

Zuckerberg nell’estate scorsa ha confessato di utilizzare sistemi GPS per suggerci nuove amicizie… privacy? Dati sensibili?

Tuttavia…

• Qualche settimana fa FB ha dichiarato di aver sospeso la condivisione di dati degli utenti con What’s app. Tranne, precisano, i dati back-end degli utenti per fini amministrativi.

• Allora, forse gli Stati hanno ancora quel minimo di potere contrattuale con le compagnie ICT (quasi tutte californiane) da permettere a noi giuristi di perpetrare la definizione di «stato sovrano»?

• Non siamo ancora nel mondo della DITTATURA DEGLI ALGORITMI?

L’NDIRIZZO IP E’ DATO PERSONALE?

• Cosa si intende per DATO PERSONALE?• Art. 4 punto 1) del Regolamento • «dato personale»: qualsiasi informazione riguardante una

persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Indirizzo IP

• L’indirizzo IP: indirizzo di Protocollo Internet è un sequenza di numeri binari che, assegnata da un fornitore di accesso alla rete a un determinato dispositivo, ne permette l’univoca identificazione e ne consente l’accesso alla rete.

• INDIRIZZO IP DINAMICO: quando il fornitore di accesso alla rete assegna al dispositivo del cliente un indirizzo IP temporaneo per ciascun collegamento internet, modificandolo in occasione di ciascun accesso.

Causa C-582/2014• Si tratta di un rinvio pregiudiziale innanzi alla Corte di Giustizia

dell’UE.In fattoIl Sig. Breyer propone un’azione inibitoria contro la Germania a causa della memorizzazione, da parte dei siti istituzionali da questa gestiti, degli indirizzi IP associati al suo sistema host ogni volta che vi effettuava un accesso.In dirittoLa Corte Federale tedesca solleva questione pregiudiziale dove chiede: - l’ indirizzi IP memorizzato da un fornitore di servizi in relazione ad un accesso al suo sito internet costituisce per quest’ultimo un dato personale già nel momento in cui il terzo (Provider) dispone delle info aggiuntive necessarie ai fini dell’identificazione della persona interessate?

Cosa dice la Corte

«l’indirizzo IP dinamico che fornisce la data, l’ora ed il luogo, benché approssimativo, di un collegamento, se associato ad alte informazione (che il Provider può facilmente reperire) consente indubbiamente l’identificazione del titolare del dispositivo utilizzato per l’accesso alla pagina web. Esso è pertanto un DATO PERSONALE, in quanto rende il soggetto «persona identificabile» ex art. 4 punto 1 Regolamento.

Alcuni concetti finali…• Anonimizzazione: processo attraverso il quale il dato, una

volta personale, è stato privato di tutti gli elementi identificativi.

• Pseudoanonimizzazione: ex art. 4 par. 5. il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti ad un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali info aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

• Gli pseudoanonimi sono comunque dati personali.

Grazie per l’attenzione

Lara Merla