L'autore è membro dello Studio Legale Mastrandrea di Bologna  |   Credits   |   Note legali   |   Cookies

- MICHELE MANCINI . it -

Il diritto (e non solo) secondo un giovane avvocato bolognese

Privacy 3 – Trattamento e suoi principi

Home » SOLUZIONI » Privacy e GDPR » Privacy 3 – Trattamento e suoi principi

PRIVACY, N. 3 – TRATTAMENTO E SUOI PRINCIPI.

Le regole di fondo che presiedono ad ogni trattamento di dati personali.

 

– I principi cardine della disciplina –

Dopo aver esaminato le peculiarità delle varie tipologie di dati è ora il caso di addentrarci nelle regole generali, ossia nei principi regolatori, del trattamento di dati personali.

Abbiamo già precedentemente definito il concetto di “trattamento” e quello di “dati personali”. Si è già detto che il primo è alquanto esteso, pertanto ben potrebbe accadere di star trattando dati personali senza esserne consapevoli e così violando le relative regole. Infatti, occorre innanzitutto considerare che il trattamento, oltre alle norme specifiche per determinati settori e categorie di dati, deve in particolare rispettare alcuni basilari principi.

 

LICEITA’ E CORRETTEZZA

– Non solo lecito, ma anche “fair” –

Un principio forse logico ed implicito, ma che è stato bene prevedere espressamente nella normativa, è quello per cui i dati devono essere trattati in maniera “lecita” e “corretta”. Il primo requisito è di immediata comprensione: si tratta di un’operazione che deve avvenire nel rispetto del diritto vigente, in particolare per quanto riguarda le c.d. condizioni di liceità, ossia (potremmo dire) l’autorizzazione ad effettuarla (per consenso dell’interessato o in base ad altra base giuridica, come vedremo oltre). Ma ciò non basta, visto che pur nel rispetto delle regole formali e scritte (che non possono prevedere in anticipo ogni possibile condotta) il trattamento potrebbe essere comunque contrario al comune senso del “giusto” desumibile dal complesso delle norme vigenti. Perciò il trattamento deve essere altresì corretto (“fair” in inglese) e cioè comunque tale da salvaguardare diritti ed interessi dei soggetti coinvolti come è giusto attendersi tra parti che si rapportino le une alle altre in buona fede.

 

– Le condizioni di liceità –

Scendendo più nel dettaglio, un trattamento è lecito se viene effettuato sulla base di almeno una delle seguenti c.d. condizioni di liceità:

1) col consenso espresso dell’interessato (ad es., il consenso è stato prestato dall’utente spuntando l’apposito riquadro nella pagina web che lo richiedeva per procedere);

2) per adempiere ad un obbligo di legge (ad es., il datore di lavoro che ha l’obbligo di comunicare alla P.A. alcuni dati dei propri dipendenti);

3) per salvaguardare interessi vitali della persona fisica (ad es., il paziente è privo di sensi ma è urgente ottenere e trattare dati biologici che lo riguardano per prestare la terapia salvavita). E’ importante notare che tale condizione non vale laddove l’interessato sarebbe nella possibilità di prestare il consenso;

4) per adempiere ad un obbligo di legge (ad es., il datore di lavoro che ha l’obbligo di comunicare alla P.A. alcuni dati dei propri dipendenti) o per l’esecuzione di compiti di interesse pubblico (ad es., il professionista abilitato a rilasciare certificazioni di sicurezza che registra alcuni dati per poterlo fare e comunicarlo alla P.A.). E’ però dubbio se si possa prescindere dal consenso anche laddove l’interesse pubblico non sia granché rilevante (salvo comunque il diritto di opposizione dell’interessato, di cui si dirà oltre) o se il rispetto dell’obbligo di legge o l’interesse pubblico sarebbero perseguibili anche senza comunicare tali dati;

5) per l’esercizio di pubblici poteri (ad es., i dati raccolti dall’Agenzia delle Entrate nell’indagare circa eventuali fenomeni di evasione);

6) quale condizione necessaria per eseguire un contratto o misure precontrattuali adottate su richiesta dell’interessato (ad es., il sito di e-commerce che registra l’indirizzo del compratore per potergli spedire la merce). Tale ultima condizione di liceità ha il fine di non richiedere una distinta manifestazione di consenso laddove sia già stata manifestata la volontà di concludere un contratto che di per sè implica il trattamento;

7) per legittimo interesse del titolare del trattamento (ossia, per ora semplificando, colui che se ne rende principale responsabile) o anche di soggetti terzi, purché su di esso non prevalgano interessi, diritti e libertà fondamentali dell’interessato, anche alla luce di ciò che quest’ultimo può ragionevolmente aspettarsi dal proprio rapporto col titolare del trattamento. Si tratta di una condizione di liceità estremamente spinosa e da valutare con grande cautela caso per caso, visto che sarà da compiersi ex ante un “test” di bilanciamento degli interessi contrapposti (per cui normative e studi prescrivono dettagliati passaggi ed accorgimenti) che potrebbe poi essere risolto in senso opposto ex post dall’Autorità preposta alla vigilanza! Esempi espressi secondo la normativa potrebbero essere (ma non sempre, poiché dipende dal caso concreto) la finalità di marketing diretto, la gestione dei dati dei dipendenti all’interno di un gruppo d’imprese, il fine di prevenire frodi, la necessità di analizzare il traffico internet per reagire ad “attacchi” informatici. Altri casi saranno tutti quelli in cui ciò è necessario a tutela di un diritto del controinteressato (ad es., chi per agire in giudizio a tutela del proprio diritto ha interesse e necessità di ottenere dalla P.A. un documento contenente dati personali altrui). Ancora, un caso che è stato studiato e discusso è quello del c.d. whistleblowing nelle aziende. Comunque l’interessato andrà sempre informato del trattamento e del legittimo interesse su cui questo si basa, dal momento che il tutto è iniziato senza il suo espresso consenso.

 

– Il consenso non ha più il primato –

E’ interessante notare che il Regolamento GDPR nel disciplinare i principi non ha distinto in base alla natura pubblica o privata del soggetto che effettua il trattamento e non ha posto il “consenso” in una posizione privilegiata rispetto alle altre condizioni di liceità (in ciò parzialmente discostandosi dal nostro vecchio c.d. Codice della Privacy).

 

– E per i dati sensibili? –

E’ poi essenziale notare che laddove si trattino non dei (meri) dati personali ma dei (più tutelati) “dati sensibili” allora entrano in gioco le loro specifiche c.d. condizioni di liceità di cui si è già parlato nel precedente capitolo. Infatti si fa più pressante l’esigenza di rispetto di alcuni principi. Questo pone però alcuni problemi interpretativi, visto che in parte vi è sovrapposizione, ma in parte vi è diversità tra le condizioni di liceità generali e quelle relative ai dati sensibili. E’ perciò oggi dubbio se quest’ultime deroghino totalmente alle prime o se debbano essere rispettate in aggiunta alle prime. Di fatto, pare prevalga la tesi di valutare caso per caso quale soluzione garantisca il più idoneo livello di tutela. Perciò, ove si proceda al trattamento di dati sensibili è opportuno uno studio più attento del concreto trattamento che si desidera porre in essere da parte dell’esperto.

 

– Per l’estero –

Ulteriormente, specifiche regole (a loro volta frutto di dubbi interpretativi) presiedono al trasferimento di dati (anche sensibili) a Paesi extra-UE ed Organizzazioni Internazionali di per sè non soggetti all’autorità normativa del Regolamento GDPR. Anche in questi casi è opportuna la valutazione in concreto da parte dell’esperto per valutare come aplicare nello specifico i principi in commento.

 

TRASPARENZA

– Informare con ragionevole accuratezza gli interessati –

Chi prende parte al trattamento dei dati deve farlo in maniera trasparente, cioè garantendo nella (ragionevolmente) maggior misura possibile la comprensione da parte degli interessati di tutti gli aspetti rilevanti (finalità, soggetti coinvolti, misure di sicurezza adottate, rischi, ecc.), la possibilità per questi di esercitare i propri diritti (ad es., informare che si può chiedere la cessazione del trattamento e circa come fare, prevedendo modalità semplici ed alla portata di tutti) e la facilità di individuare eventuali responsabili in caso di problemi. Insomma, tra i vari principi a tutela dell’interessato è forse quello la cui funzione è più evidente e di immediata comprensione anche al non giurista.

Ad esempio, a tal fine sono stati previsti specifici simboli (agevolmente reperibili online) da inserire nelle “informative” sulla privacy che vanno presentate agli utenti che stanno per usufruire di un dato servizio, così da rendere standardizzata e facilmente comprensibile la divulgazione di tali informazioni. Ancora, si prescrive di predisporre sia una “informativa” sulla privacy sintetica presentata ad ogni utente, sia un’altra più estesa e dettagliata che sia raggiungibile facilmente in base ad indicazioni/link della prima, così che l’utente che vuole approfondire meglio lo possa fare pur essendo stato ogni utente informato rispetto ai principali aspetti della disciplina. Ulteriormente, sarò opportuno rendere in forma chiara pur se completa, nonché entro tempi brevi e ragionevoli (al massimo 1 o 2 mesi, a seconda dei casi, come si dirà oltre), le informazioni richieste da parte dell’interessato nell’esercizio dei propri diritti. Ancora, la trasparenza implica che le informazioni siano accessibili senza eccessivi disagi e soprattutto gratuitamente.

 

RISPETTO DELLE FINALITA’

– Finalità ben chiare –

Il trattamento non solo deve rispettare i vari principi suddetti, ma può avvenire solo per finalità che, oltre ad essere legittime (il che significa soprattutto rispondenti alle summenzionate c.d. condizioni di liceità), devono essere anche esplicte e ben determinate. Perciò, prima di iniziare il trattamento vanno individuate in maniera precisa e ben intelleggibile i fini dello stesso, cosicché l’interessato li possa adeguatamente comprendere e valutare.

Ad esempio: bisogna fare attenzione, perché il consenso ricevuto dall’interessato per effettuare con i suoi dati marketing personalmente ed in via diretta non vale anche per effettuare marketing con quegli stessi dati per conto di terzi. Se si intende fare entrambe le cose occorre specificarlo e ottenere due consensi.

Bisogna poi prestare attenzione ad alcuni casi potenzialmente dubbi. Ad esempio, è ammesso svolgere con un unico consenso (in ipotesi, per finalità di marketing diretto) più attività diverse sempre riferibili a quel medesimo fine (in ipotesi, sia newsletter tramite email, sia volantinaggio cartaceo nella casella postale). Però certe attività vengono considerate rispondenti a fini diversi; ad esempio, il Garante considera fini distinti quelli di marketing puro e semplice e quello di profilazione dell’interessato. Perciò, è consigliabile consultare il professionista.

 

– Cambiare le finalità –

E’ possibile un mutamento delle finalità in corso d’opera? Cosa accade se sono già stato autorizzato a trattare un dato personale per un determinato specifico fine (ad es., perché ho ricevuto il consenso dell’interessato al trattamento dei suoi dati a fini di ricerca statistica senza scopo di lucro) ma desidero iniziare a trattarlo anche per altri fini (ad es., per fini di marketing)? La regola generale è che ciò è possibile (cioè non serve utilizzare una seconda condizione di liceità, come ad esempio una reiterata prestazione di consenso) a patto che la nuova finalità sia “compatibile” con quella precedente. Si tratta di una valutazione da condurre necessariamente caso per caso, secondo alcuni criteri elaborati tanto dalla normativa stessa, quanto dagli studiosi della materia e che dipendono dalla natura dei dati, dai rapporti tra i soggetti coinvolti, dal contesto, dalle possibili conseguenze e dalle misure di sicurezza previste. Per non correre rischi è quindi opportuno rivolgersi al professionista. Sicuramente compatibili sono poi tutte le finalità ulteriori che costituiscono condizione logico-necessaria per il perseguimento delle prime (ad es., se ho prestato consenso al trattamento dei dati personali relativi alle mie preferenze di shopping online per poter ottenere una migliore pubblicità mirata dei prodotti offerti è evidentemente implicito il mio consenso anche a trattare i dati relativi ai miei recapiti per potermi poi spedire i prodotti acquistati online). Inoltre, la normativa espressamente menziona alcuni usi da ritenersi sempre possibili prescindendo dalla valutazione di compatibilità. Altrimenti, sarà inevitabilmente necessario un (nuovo) consenso dell’interessato o l’esistenza di una norma particolare che lo consenta, pur se nel rispetto dei principi di necessità e proporzionalità.

 

– E se il dato era stato reso pubblicamente accessibile? –

Il problema comunque si pone soprattutto laddove la prima finalità (già autorizzata) implichi la pubblicazione del dato (ad es., quale informazione disponibile liberamente online) o la sua registrazione in banche dati, report o simili che potrebbero divenire pubblici con una certa facilità (ad es., informazioni in possesso della P.A. ottenibili da un privato con un’istanza di accesso agli atti). Infatti, ciò potrebbe far ritenere che chiunque possa utilizzare e trattare per i propri fini, anche ben diversi dal primo, quei dati. Però non è così: chi intenda utilizzare quei dati per un ulteriore fine deve comunque superare il test di compatibilità. Ad es., non è lecito recuperare i dati comunicati obbligatoriamente per fini di interesse pubblico da un professinista al suo Albo di appartenenza, e da tale Albo resi disponibili online, al fine di fare pubblicità mirata agli appartenenti alla categoria in questione.

 

ALTRI PRINCIPI IN TEMA DI CONSENSO

Se la fonte legale del trattamento (vedi sopra) è il consenso dell’interessato, allora occorre che vengano rispettati ulteriori principi.

 

– Effettività ed inequivocabilità –

Innanzitutto occorre garantire che quel consenso sia stato prestato effettivamente ed in modo inequivoco (“espresso“). Quindi occorre evitare il più possibile sistuazioni dubbie dove si vorrebbe ritenere prestato il consenso per fatti concludenti, posto che è facile dar luogo a violazioni. Ad esempio: se si permette di accordare il consenso ad un trattamento mediante un movimento corporeo registrato da un sensore, è certo che l’intenzione fosse davvero quella di acconsentire?

Inoltre vanno sempre evitate forme di raccolta del consenso tramite mera inerzia (ad esempio: “l’utente acconsente se non darà una risposta entro 10 secondi”). Anzi, il conseso deve sicuramente essere “esplicito” (concetto che sottintende un rafforzativo della mera necessità di espressione) in tre casi:

1) per trattamenti di dati sensibili;

2) per decisioni basate unicamente su trattamenti automatizzati;

3) per trasferimenti di dati verso Paesi Terzi/Organizzazioni Internazionali “non adeguati” (nel senso che si chiarirà meglio oltre).

Alla valida raccolta del consenso giova poi sicuramente il rispetto del principio di trasparenza di cui si è detto sopra, da declinarsi pure nel senso della chiarezza e specificità. Ad esempio, occorre distinguere chiaramente tutte le possibili finalità del trattamento e concedere per ciascuna all’interessato la libertà di acconsentire oppure no.

 

– Libertà e non interferenza –

Potrebbe darsi che il consenso sia stato prestato in modo inequivocabile, ma sotto condizionamento di qualche tipo. Ebbene, ciò può renderlo invalido.

Ad esempio, il Garante ha sempre ritenuto invalido il consenso ottenuto mediante form su siti web dove c’è già in automatico la “spunta” di scelta sulla voce “acconsento”, per cui per negare il consenso l’interessato dovrebbe prima rimuoverla e poi premere il tasto per proseguire.

Inoltre nel richiedere il consenso non si deve “interferire immotivatamente” con il servizio per cui lo si domanda. Ciò potrebbe essere inteso, ad esempio, nel senso della illegittimità di forme ricattatorie, come la richiesta di consensi ingiustificati per erogare un servizio erogabile senza che ce ne sia bisogno.

 

MINIMIZZAZIONE ED ESATTEZZA

– Il minimo indispensabile –

Rispettare le finalità del trattamento significa anche non porre alla base dello stesso dati personali non pertinenti o eccedenti rispetto a quel fine. In altre parole, occorre “minimizzare” i dati personali trattati operando un’adeguata cernita circa quali utilizzare seguendo il criterio della “necessità”. Ad esempio, ottenuto il consenso al trattamento di dati personali al solo fine di poter tesserare l’interessato in un’associazione sportiva verosimilmente è del tutto superfluo registrare anche i suoi gusti in fatto di abbigliamento (condotta che potrebbe mirare ad attività di marketing non espressamente autorizzata).

Tra i vari principi finora menzionati quest’ultimo è uno dei più attuali per esempio in fatto di App per smartphone: chissà quante volte ci è capitato di vederci chiedere “autorizzazioni” apparentemente del tutto superflue per ottenere il semplice servizio da noi richiesto (ad es., App che ci chiedono di accedere ai nostri contatti ed alla nostra posizione per una mera funzione di player musicale). Ebbene, ove ciò implichi un’evitabile acquisizione ed utilizzo di dati personali rispetto al fine espresso per il quale abbiamo prestato il consenso allora il trattamento sarà da ritenersi illegittimo.

 

– Lo stretto tempo necessario –

Il principio di “minimizzazione” ha poi anche una dimensione temporale, cioè i dati personali possono essere trattati solo per lo stretto tempo necessario al perseguimento del fine, salvo rare eccezioni (legate a pubblici interessi, per statistica e ricerca scientifica). Perciò, tornando all’esempio dell’associazione sportiva, se questa conserva la registrazione dei dati personali dopo anni che l’ex iscritto ha visto scadere la propria tessera allora vi è molto verosimilmente un trattamento illegittimo. E’ onere del titolare del trattamento verificare periodicamente che lo scorrere del tempo non abbia reso inutile il trattamento di quei dati. Perciò è opportuno che chi effettua il trattamento programmi una specifica routine di verifica periodica.

 

– Up-to-date –

Ancora, visto che l’interessato auspica che i suoi dati possano utilmente ed efficacemente consentire il perseguimento del fine autorizzato, tali dati dovranno essere esatti (anche dal punto di vista della completezza) ed aggiornati. In altri termini, nei limiti di quanto è ragionevole attendersi da lui, il titolare del trattamento deve garantire la tempestiva correzione, integrazione e rettifica dei dati personali. Ciò è curioso, posto che intuitivamente saremmo portati a presumere che sia chi effettua il trattamento dei dati altrui a volere che siano corretti (ad es., chi fa pubblicità ci tiene a che i recapiti registrati corrispondano davvero ai potenziali destinatari del marketing). Tuttavia, dobbiamo considerare che spesso e volentieri il dato corretto è conditio sine qua non affinché lo stesso interessato riceva un servizio di qualità, perciò ha senso porre come vero e proprio obbligo il rispetto di tale standard (ad es., per il paziente ospedalizzato è fondamentale che il servizio di distribuzione pasti abbia correttamente registrato tutte le sue allergie alimentari e non solo alcune). L’interessato potrà peraltro contestare l’inesattezza/incompletezza dei dati e produrre così l’obbligatoria limitazione del trattamento per il tempo necessario alla verifica e correzione/integrazione.

 

SICUREZZA

– Prevenzione ed efficace intervento –

Uno dei principi più importanti, anche alla luce degli adempimenti imposti ad imprese, professionisti, enti e a chiunque altro effettui o (per così dire) partecipi ad un trattamento di dati personali, è quello di adeguata sicurezza. Si avrà modo di analizzare più avanti in maggior dettaglio tali adempimenti. Basti qui premettere che corre l’obbligo di garantire una sicurezza adeguata dal punto di vista delle misure sia tecniche, sia organizzative adottate. Tra l’altro, l’obbligo impone adempimenti sia preventivi (ove possibile utilizzo di pseudonimi invece che dei dati “in chiaro”, redazione di un documento -c.d. DPIA- di valutazione dei rischi, adozione di codici di condotta, ecc.), sia successivi all’eventuale c.d. data breach (comunicazione dell’avvenuta violazione dei dati all’interessato e eventualmente all’Autorità Garante, minimizzazione del danno, adozione di contromisure, ecc.).

 

– Riservatezza –

Ancora, occorre notare che la sicurezza passa necessariamente per la riservatezza (che è da sempre il nocciolo duro delle normative sulla privacy). Per capirci, potremmo dire che non è “sicuro” il modello organizzativo che permette a tutto il personale dell’ospedale di conoscere un dato sensibile del paziente (ad es., l’essere affetto da HIV) invece che solo a quei dipendenti (ad es., il medico che lo ha in curo, l’infermiere che lo accudisce, ecc.) per cui conoscerlo è davvero rilevante.

 

– Autorizzazione del Garante –

Ulteriormente, si può fin d’ora anticipare che se una volta effettuata la valutazione preventiva dei rischi (c.d. DPIA, di cui si dirà oltre) ci si accorge che (a prescindere dalle misure adottate e/o ragionevolmente adottabili) permarrebbe comunque un rischio elevato per i diritti e le libertà degli interessati allora non si potrà iniziare quel trattamento in assenza di una previa autorizzazione dell’Autorità Garante.

Inoltre, non si può trasmettere il dato personale verso un Paese Extra UE o un’organizzazione internazionale senza che la Commissione dell’U.E. abbia previamente accertato che tale Paese/organizzazione garantisce standard di sicurezza adeguati (perciò, ad es., prima di affidare i dati personali trattati dall’azienda ad un servizio di cloud storage localizzato in qualche Paese esotico occorre informarsi un po’).

Si tratta di principi che hanno l’evidente finlità di valorizzare il ruolo del Garante per estendere la tutela a quelle situazioni non immediatamente regolabili dal GDPR stesso.

 

– Responsabilità anche penali –

Le norme ed i principi in materia di sicurezza sono estremamente importanti, in quanto la loro violazione costituisce espressamente una delle ipotesi in cui si ammette la previsione di responsabilità penali in capo ai colpevoli.

 

 

Concluso tale approfondimento sui principi, nella prossima pubblicazione ci concentreremo sui soggetti disciplinati dalla normativa.

TORNA ALL’INDICE DELLA GUIDA

-> PRECEDENTE CAPITOLO:  “PRIVACY N. 2 – Tipologie di dati”

-> PROSSIMO CAPITOLO:  “PRIVACY N. 4 – Soggetti del trattamento”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

↑ Top of Page
error: Gentile Visitatore, sei pregato di rispettare il lavoro altrui e di non copiare i contenuti di questo sito senza il consenso dell\'autore. Se desideri farlo puoi contattarmi.