Regolamento Europeo sulla Privacy: i diritti dell’interessato

Sotto la lente, il capo terzo della nuova normativa europea sulla Privacy, riguardante i diritti dell’interessato al trattamento dei dati. Esaminando le nuove disposizioni in materia, emergono analogie e discrepanze con l’ordinamento italiano ancora in vigore.

Gianluca Pomante
Avvocato
Esperto in tema di Privacy e IT

Il capo terzo del nuovo Regolamento Europeo sul trattamento dei dati personali riguarda i diritti dell'interessato e inizia con la generica definizione degli obblighi di informazione e trasparenza che gravano sul responsabile del trattamento, stabilendo che le politiche di gestione devono consentire l'agevole esercizio dei diritti di accesso alle informazioni presenti negli archivi, espresse in un linguaggio semplice e chiaro, adeguato alla controparte, in particolare se destinate ai minori.
Ne consegue un obbligo di informazione che non è solo di natura formale ma si estende, anche, alla valutazione dell'idoneità del messaggio in relazione al destinatario della comunicazione che, finora, non era mai stato preso in considerazione dall'ordinamento italiano, almeno nell'ambito della riservatezza dei dati.
Con la seconda sezione, viene delineata la struttura minima dell'informativa che il responsabile del trattamento deve fornire all'interessato.
l regolamento non specifica se l'informazione debba essere data per iscritto o se sia sufficiente una semplice comunicazione orale, limitandosi ad ammettere l'uso del formato elettronico.
Alla luce dell'esperienza italiana, in cui l'onere della prova incombe, comunque, sul responsabile del trattamento, il suggerimento è, ovviamente, quello di documentare con ogni mezzo, inclusa la storicizzazione dei consensi acquisiti su un database, l'ottemperanza a tale prescrizione.
Analogamente a quanto già previsto dal D.Lgs. 196/2003, devono essere specificati l'identità e i recapiti del responsabile del trattamento e di suoi eventuali delegati, con una particolare attenzione per il soggetto cui è affidata la protezione dei dati, ritenuto, evidentemente, una delle figure di riferimento della nuova disciplina.
L'informativa deve, inoltre, contenere l'indicazione delle finalità del trattamento, dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati e l'elenco dei diritti che l'interessato può esercitare nei confronti del responsabile.
Nel caso in cui la comunicazione a terzi riguardi un'organizzazione o un Paese esterni all'Unione Europea, l'informativa deve indicare, anche, le clausole contrattuali che regolano il trasferimento e il livello di protezione garantito dal ricevente, richiamando una decisione di adeguatezza della Commissione.
Due nuovi elementi vengono aggiunti all'informativa cui l'utente italiano era finora abituato: l'obbligo di indicare il periodo di conservazione dei dati e l'indicazione dell'autorità di controllo e garanzia cui rivolgersi per eventuali reclami, con i relativi recapiti.
Quando i dati personali vengono raccolti presso l'interessato, il responsabile ha l'obbligo di specificare se il conferimento ha natura obbligatoria o facoltativa e le conseguenze dell'eventuale opposizione al trattamento da parte dell'interessato.
Quando, invece, i dati sono raccolti presso altra fonte, l'informativa deve essere resa all'interessato entro un termine ragionevole e, comunque, non oltre l'eventuale diffusione o comunicazione ad altro soggetto.
L'informativa non è dovuta se l'interessato dispone già delle notizie che essa contiene - ad esempio, per un preesistente rapporto con il responsabile del trattamento - se il trattamento è previsto dalla Legge, se l'impegno risulterebbe sproporzionato rispetto alle finalità di tutela o se l'eventuale comunicazione dovesse pregiudicare i diritti e le libertà di altri soggetti coinvolti, sulla base del diritto dell'Unione o di uno degli Stati Membri, ai sensi del successivo art. 21 (Pubblica Sicurezza, attività delle Forze dell'Ordine o della magistratura, tutela dei diritti, interessi pubblici dell'Unione o degli Stati Membri, attività finalizzate ad accertare e perseguire violazioni deontologiche degli appartenenti a professioni regolamentate).
Lo stesso regolamento prevede la predisposizione di modelli standard, da parte della Commissione, per agevolare la prima applicazione della nuova disciplina.

Accesso ai dati,
tracciabilità e cancellazione

Con il successivo articolo 15, la nuova norma europea elenca le modalità di accesso ai dati da parte dell'interessato, che può richiedere in qualsiasi momento la conferma dell'esistenza e dell'attualità di un trattamento a suo carico e ottenere le seguenti informazioni: finalità del trattamento, tipologia di dati trattati, destinatari e categorie di destinatari, periodo di conservazione.
La comunicazione di risposta deve indicare, al pari dell'informativa, il diritto dell'interessato di ottenere la rettifica o la cancellazione dei dati che lo riguardano, il diritto di proporre reclamo all'autorità di controllo e vigilanza, il diritto di tracciare la filiera di acquisizione e cessione dei dati.
Quest'ultimo adempimento, in particolare, deve far convergere gli sforzi dei responsabili del trattamento verso quella storicizzazione che con il D.Lgs. 196/2003 era solo auspicabile e non ancora esplicita.
Anche nel testo italiano era prevedibile la necessità di tracciare ogni record, dal momento dell'acquisizione fino a quello della cancellazione, blocco o cessione a terzi, ma tale adempimento si desumeva solo dall'insieme di regole poste a tutela dei dati, mentre nel regolamento è più volte richiamato come corollario dei vari diritti dell'interessato.
Il diritto di ottenere la cancellazione dei dati che riguardano l'interessato e di precludere ogni ulteriore utilizzo e divulgazione degli stessi viene specificamente disciplinato dall'art. 17 del nuovo regolamento, che pone l'attenzione sul difficile bilanciamento di interessi tra diritto di cronaca, diritto all'oblio e altri diritti concorrenti.
La cancellazione risulta possibile nel momento in cui i dati non sono più necessari per il perseguimento delle finalità cui erano destinati, se l'interessato ha revocato il consenso al trattamento, se è scaduto il termine di conservazione o se il trattamento è contrario o non più conforme alle norme del regolamento.
Le eccezioni riguardano l'esercizio del diritto di cronaca e i trattamenti finalizzati a scopi artistici o letterari, il trattamento di dati personali relativi alla salute effettuato nell'interesse della ricerca scientifica o a tutela della vita e della salute delle persone e, infine, quelli gestiti per finalità di ricerca scientifica, storica o per l'elaborazione di statistiche. Fin qui, nulla di nuovo rispetto a quanto già previsto dal D.Lgs. 196/2003.

Diritto di cronaca
e diritto di oblio

Sul difficile rapporto tra diritto di cronaca e diritto alla rimozione di notizie veritiere ma ormai datate - e, per questo, potenzialmente lesive della reputazione degli interessati - è recentemente intervenuto il Tribunale di Ortona, con una sentenza che non mancherà di suscitare polemiche.
La vicenda processuale nasce dalla richiesta dei proprietari di un'azienda (coinvolta nel 2008 in un fatto di rilevanza penale), indirizzata ai responsabili di un quotidiano online, di rimuovere un articolo, pubblicato nell'immediatezza dell'evento, considerato ormai lesivo della reputazione degli interessati.
Al rifiuto di procedere alla rimozione ha fatto seguito il giudizio, al termine del quale il Giudice chiamato a decidere della controversia ha ritenuto che sussista un diritto all'oblio prevalente rispetto al diritto di cronaca, ormai affievolito dal trascorrere del tempo e dal cessato interesse della collettività a conoscere, a distanza di anni, fatti non più attuali.
Comprensibile la perplessità della testata giornalistica, la quale, al di là del danno economico derivante dal risarcimento stabilito in favore della controparte (17.000 Euro oltre le spese di giudizio), sosteneva l'assenza di norme applicabili al caso di specie e, in particolare, la mancanza di un termine certo per la rimozione delle notizie, senza il quale la valutazione dell'attività giornalistica e della relativa responsabilità in ordine alla conservazione dei dati viene rimessa, in buona sostanza, alla prudente valutazione del Giudice, senza alcun criterio oggettivo.
Da tale punto di vista, il nuovo regolamento nulla aggiunge a quanto già stabilito dalla disciplina italiana, rimettendo nuovamente, di fatto, ogni decisione alla valutazione del Giudice, che dovrà tener conto della necessità di bilanciare il diritto di cronaca con quello alla riservatezza.
Anzi, da tale punto di vista, il nuovo ordinamento sembra far pendere l'ago della bilancia in favore della riservatezza, poiché, all'art. 17, co. 2, prevede che, nell'ipotesi in cui i dati siano resi pubblici, il responsabile del trattamento sarà tenuto, anche, a mantenere sotto controllo l'eventuale pubblicazione da parte di terzi, essendone comunque responsabile.
Neppure il successivo rinvio all'art. 80, sull'esercizio della libertà d'espressione e sul connesso trattamento per fini giornalistici, sembra aver posto alcun rimedio a tale contrasto, rinviando alle singole disposizioni degli Stati Membri per eventuali esenzioni e deroghe.
Del resto, la necessità di provvedere, volta per volta, alla valutazione del caso concreto, al fine di assicurare il giusto bilanciamento del diritto di cronaca e del diritto all'oblio, viene confermata dal successivo art. 19 sul diritto dell'interessato di opporsi al trattamento, allorché viene indicato che tale facoltà può essere esercitata “...salvo che il responsabile del trattamento dimostri l'esistenza di motivi preminenti e legittimi per procedere al trattamento che prevalgono sugli interessi o sui diritti e sulle libertà fondamentali dell'interessato”.
L'ago della bilancia sembrerebbe, dunque, spostato in favore del diritto alla riservatezza, con conseguente necessità di rimozione del contenuto lesivo dell'altrui interesse nel momento in cui la testata giornalistica, per far esplicito riferimento al caso di Ortona, non è in grado di dimostrare che sussiste ancora un interesse della collettività alla consultazione dell'articolo.
Insomma, anche l'Europa non sembra brillare per chiarezza espositiva e argomentativa, in ordine alla demarcazione di ambiti di applicazione della norma che pongano il cittadino al riparo da abusi e incomprensioni.

Profiling sistematico,
un fantasma orwelliano?

Si resta perplessi, invece, dalla dovizia di particolari con la quale l'art. 18, ad esempio, disciplina la portabilità dei dati da un sistema informatico all'altro, come se il problema principale non fosse quello di evitare la diffusione incontrollata del dato dal potenziale lesivo pressoché illimitato per effetto della velocità di propagazione consentita dalle reti telematiche ma fosse, piuttosto, quello di garantire la trasmissione delle informazioni ad ogni costo.
Disciplina che si evolve in senso preoccupante e si pone in netto contrasto con l'attuale normativa italiana - sulla quale, ciononostante, avrà la prevalenza - a causa dell'art. 20 sulla profilazione dell'interessato, in base al quale il cittadino dell'Unione potrà essere sottoposto a una misura che produce effetti giuridici o, comunque, significativi sulla sua persona, qualora il trattamento sia eseguito nel contesto di una previsione contrattuale o sia espressamente autorizzato da una disposizione del diritto dell'Unione o di uno Stato Membro o si basi sul consenso dell'interessato.
Insomma, controllo orwelliano ammissibile, a condizione che lo Stato Membro abbia, prima, definito uno strumento giuridico sulla base del quale operare.
Per il marketing aggressivo, tutto è possibile con il consenso dell'interessato.
Unica limitazione al profiling sistematico, da parte di aziende e Istituzioni - rispetto alle quali, ovviamente, il potere contrattuale del cittadino è pressoché nullo - il divieto di utilizzo dei dati particolari di cui al capitolo 9, il quale, tuttavia, non esclude la possibilità che ad aggregazioni di dati comunque fortemente pregiudizievoli per l'interessato si pervenga attraverso l'incrocio di più archivi di dati comuni.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome